분실한 사람을 알 수 없는 USB 메모리를 길거리에서 습득한다면 얼마나 많은 사람이 자신의 PC에 꽂아 내용을 확인할까? 구글의 보안 담당자가 실제로 USB 메모리를 길에 떨어뜨리는 실험을 실시했다. 실험자인 구글의 엘리 버스차인은 8월 5일 라스베이거스에서 개최된 보안 컨퍼런스 블랙햇(Black Hat) USA 2016에서 그 결과를 발표했다.

 

버스차인은 실험을 위해 5종류의 USB 메모리 297개를 준비했다. 라벨이 없는 USB 메모리, 열쇠 꾸러미가 달린 USB 메모리, 열쇠 꾸러미와 반납처 명찰(이름과 메일 주소 기재)이 달린 USB 메모리, 비밀(Confidential)이라고 적힌 명찰이 부착된 USB 메모리, 기말시험 정답(Final Exam Solutions)이라는 라벨이 붙은 USB 메모리 등 5종류였다.

 

각각의 USB 메모리에는 HTML 파일이 담겨져 있었다. 예를 들어 비밀이라고 기재된 USB 메모리에는 제안서나 특허 출원, 연도 계획서 등의 파일명으로 HTML 파일이 저장되어 있었다.

 

사실 이 HTML 파일은 멀웨어 대신 담긴 것이다. 습득한 사람이 HTML 파일을 열면 내장된 이미지가 실험용 서버에서 자동으로 읽힌다. 서버 액세스 로그를 보면 어떤 파일이 언제 열렸는지 정확히 확인할 수 있다. 동시에 열린 웹페이지는 설문 페이지로 연결되며, 조사에 대한 설명과 설문에 협력해 줄 것을 부탁하는 내용이 표시된다.

 

실험 장소는 일리노이대학으로 학교 측의 허가를 받은 버츠타인은 캠퍼스 내 교실 복도, 주차장, 공용 공간 등 5곳에 USB 메모리를 떨어뜨리고 2일 간 모습을 지켜보았다. 실험 결과 USB 메모리를 주운 사람 중 45%가 파일을 열어 봤다. 습득된 USB 메모리 개수는 290개(98%), 파일이 열린 USB 메모리 개수는 135개(45%), 반납된 USB 메모리 개수는 54개(19%), 설문에 응답한 사람은 총 62명(21%)이었다.

 

버츠타인은 “USB 메모리 중 대부분은 누군가에게 습득되었고, 그 중 약 45%의 사람들이 그것을 PC에 꽂아 HTML 파일을 클릭했다. 안타깝게도 USB 메모리를 뿌린지 1시간도 안되어 20%의 사람들이 HTML 파일을 클릭했다. 처음 파일이 클릭된 것은 길에 놓은지 6분도 지나기 전이었다.”고 밝혔다.

 

사실은 실험 시작 24시간이 지난 후, 토론 사이트인 레딧(Reddit)에는 이 학교의 IT 부문 직원임을 자처하는 인물이 “수상한 USB 메모리가 캠퍼스 안에 떨어져 있으니 줍지 말라”는 당부의 글을 올렸다. 뜻밖의 변수가 생겼지만 절반 가까운 사람이 HTML 파일을 클릭했다.

 

반납처가 표기된 USB 메모리는 클릭율이 29%로 낮았지만 다른 4종류는 50% 안팎의 클릭율을 보였다. 설문 응답자 중 68%는 USB 메모리 내 HTML 파일을 클릭한 이유에 대해 “USB 메모리를 주인에게 돌려주기 위해서”라고 응답했다. 한편, “파일 내용에 대해 호기심을 느껴서"라고 답한 응답자는 18%에 그쳤다.

 

다만, 서버 측 로그에서 실제 클릭된 파일을 살펴보면 흥미 위주로 열어 본 사람이 더 많은 것이 혹인된다. 라벨이 없는 USB 메모리를 습득한 대부분의 사람들은 주인의 신상을 확인할 수 있는 이력서 파일 대신 방학이라고 적힌 이미지 파일을 클릭했기 때문이다.

 

대학 측의 요청으로 이번 실험에서는 악성 프로그램이 포함되지 않았다. 하지만 실제 USB 메모리를 사용한 공격은 상상 이상으로 쉬웠고, 게다가 상대한테 들키지 않고 PC의 사용 권한을 획득할 수 있었다.

 

USB 메모리를 사용한 공격 수법은 이번처럼 HTML 파일을 클릭하면 피싱 사이트 등으로 유도하는 방법 외에 운영체제의 제로데이 취약성을 노린 고도의 수법, 또 USB 메모리 등의 공격 장치를 만드는 방법 등 3가지가 있다.

베타뉴스 우예진 기자 (w9502@betanews.net)
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로