해킹(Hacking)이라고 하면 대개 인터넷에 연결된 컴퓨터나 서버에 무단으로 접속해 데이터를 탈취하는 행위를 떠올리게 된다. 올해 5월 발생한 인터파크의 대규모 개인정보 유출 사고나 북한의 대기업 계열사 기밀 문서 탈취 사건도 모두 해커가 인터넷망의 허점을 뚫고 들어가면서 이뤄졌다.

▲대부분의 해킹은 인터넷에 연결된 컴퓨터나 서버를 대상으로 하지만, 해커들은 인터넷에 연결돼 있지 않은 컴퓨터를 해킹하는 기상천외한 방법도 찾아내고 있다. / 시만텍 제공

때문에 민감한 정보를 취급하는 기관이나 기업, 연구소 등은 아예 내부에서 사용하는 업무용 컴퓨터와 외부 인터넷에 접속할 수 있는 범용 컴퓨터를 물리적으로 분리하는 조치를 취한다. 이렇게 망이 분리된 업무용 컴퓨터는 어떤 네트워크와도 연결돼 있지 않기 때문에 일일이 데이터를 별도의 매체에 담아 옮겨야 하는 등 사용에 불편함은 따르지만, 보안 측면에서는 가장 안전하다고 할 수 있다.

하지만 해커들은 네트워크에 연결돼 있지 않은 컴퓨터에서도 정보를 빼낼 수 있는 기상 천외한 방법을 계속해서 찾아내고 있다. 최근 이스라엘 벤구리온 대학의 한 사이버 보안 연구팀은 USB에서 발생하는 전자파를 조작하는 방법으로 인터넷에 연결되지 않은 컴퓨터에서 데이터를 탈취할 수 있는 새로운 해킹 기법을 개발했다.

USB를 발신기로 활용하는 해킹은 실제로도 활용되고 있다. 미국 중앙정보국(CIA) 출신 에드워드 스노든의 폭로로 실체가 알려진 미 국가안보국(NSA)의 '퀀텀 프로그램'이 좋은 예다. 퀀텀 프로그램은 무선 주파수 발신 장치를 내장한 USB를 타깃의 컴퓨터에 은밀하게 설치한 후 원격에서 컴퓨터에 접속하는 기술이다. 설치만 성공하면 최장 13km 거리에서 정보를 빼내거나 컴퓨터에 악성코드를 심을 수도 있다.

연구팀이 NSA의 퀀텀 프로그램에서 영감을 받아 개발한 새로운 해킹 기법은 특수 제작된 USB가 아닌 일반 USB를 활용하는 점이 다르다. 이들은 USB에서 발생하는 미세한 전자파를 제어할 수 있는 'USBee'라는 악성코드를 제작했다. 실제 공격은 우선 사회공학적 기법을 총동원해 이 악성코드가 담긴 USB를 공격 타깃이 되는 기관이나 기업의 담당자가 내부로 반입하도록 유도하는 것에서 시작한다.

▲A 컴퓨터에 꽂힌 USB에서 발생하는 전자파를 B 컴퓨터에서 인식해 데이터를 탈취하는 시연 장면. / 벤구리온대학 연구팀 보고서 캡쳐

담당자가 USB를 컴퓨터에 꽂으면 악성코드에 감염되고, USB가 다른 두 가지 주파수의 전자파를 방출시킨다. 두 주파수는 각각 디지털 신호의 기본인 0과 1을 의미한다. 근처에서 무선 안테나를 활용해 전자파의 주파수 변화를 인식하면 일련의 데이터를 얻게 된다. 전송 속도는 초당 80바이트(Byte) 수준으로 대량의 데이터를 유출하기에는 부족하지만, 관리자 계정 비밀번호나 암호화 키 유출에 활용할 수 있다.

과거에도 컴퓨터의 쿨링팬에서 발생하는 소리나 하드디스크 드라이브(HDD)의 공진음을 조작해 인터넷이 연결되지 않은 컴퓨터에서 데이터를 훔치는 해킹 기법이 소개됐다. 이러한 해킹 기법이 현실에 그대로 적용되기는 쉽지 않지만, 망 분리만 하면 무조건 안전하다는 방심이 큰 사고를 부를 수 있다는 메시지를 주기에는 충분하다. 실제로 2009년과 2010년 이란 핵시설에 장애를 일으킨 '스턱스넷(Stuxnet)'도 직원이 무심코 주운 USB 하나에서 시작됐다는 점을 상기할 필요가 있는 대목이다.

http://it.chosun.com/news/article.html?no=2824088