본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

지금 USB 메모리가 예전에 사용하던 3.5인치 디스켓에 비해 용량도 비교할 수 없을 정도로 크고 사이즈도 열쇠고리에 끼우고 다닐 정도로 매우 작으며 이제는 가격까지 저렴해져 누구나 가지고 있을 정도로 매우 보편화되었습니다.


하지만, USB 메모리와 윈도우의 자동 실행 기능이 만나면서 악성코드를 유포시키는 대표적인 매개체로 자리 잡게 되었습니다.


 
USB 이미지
 

윈도우의 자동실행(Autorun) 기능


윈도우에서 제공하는 자동실행(Autorun)은 CD나 USB 메모리 등을 컴퓨터에 연결했을 때 자동으로 특정 프로그램을 실행할 수 있는 기능입니다.


예를 들자면, 알약 설치 CD를 넣었을 때 자동으로 설치 프로그램(Setup.exe)이 열리는 것이나 USB 메모리를 PC에 연결했을 때 “원하는 작업을 선택하십시오.”라는 창을 나오게 합니다.


 
알약 프로그램 설치 과정 이미지

<알약 프로그램 설치 과정 이미지>


 

이것을 가능하게 하는 것은 CD나 USB 메모리의 첫 폴더(루트 폴더)에 있는 AUTORUN.INF 파일에 있으며, AUTORUN.INF에 PC에 연결되었을 때 자동으로 실행할 파일을 지정합니다.


 
autorun.inf 파일 정보

<autorun.inf 파일정보>


 
 

악성코드가 악용하는 자동실행(Autorun) 기능


악성코드는 USB 메모리를 PC에 연결했을 때 자동실행 기능을 통해 곧바로 PC에 감염되도록 시도합니다. 대표적으로 컨피커(Conficker), Virut(Virtob)를 예로 들 수 있고 알약 진단명과 관련하여 Autorun이 들어가있다면 윈도우의 자동실행 기능을 통해 PC에 감염시키는 악성코드입니다.


예) Autorun 관련 악성코드 진단명


V.WOM.Autorun.yz / V.WOM.Autorun.SysLive / V.WOM.Autorun.JS.faizal / V.WOM.Autorun.acq / V.WOM.Autorun.c / Worm.VBS.Autorun.D / Trojan.Autorun.RG 등


 
conficker로 암호화된 autorun.inf 파일

<Conficker는 Autorun.inf 파일을 내용 해독이 어렵도록 암호화 시켜두었다>


 
중국에서 제작된 autorun.inf 내용

<중국에서 제작된 악성코드의 Autorun.inf 내용>


 
정상적인 USB메모리(좌측)와 악성코드에 감염된 USB메모리(우측)

<정상적인 USB메모리(좌측)와 악성코드에 감염된 USB메모리(우측)>


 

그림에서 보신 것처럼 오른쪽 버튼을 눌렀는데 알 수 없는 글자들이 나온다던지, USB 메모리의 아이콘이 폴더 모양으로 되어 있고, 연결 프로그램이 계속 뜨는 경우 악성코드의 감염을 의심할 수 있습니다.


자동실행 차단으로 USB 메모리를 통한 악성코드 감염을 예방할 수 있어요!


자동실행 기능은 거의 모든 윈도우에서 기본적으로 활성화되어 있습니다. 알약을 통해서 USB 메모리에 존재하는 악성코드의 실행을 예방하고 치료할 수 있지만 아예 자동실행이 안 되도록 시스템 설정을 변경한다면 더욱 금상첨화라고 할 수 있습니다.


자동실행 차단은 윈도우의 레지스트리 값을 변경해야 되어 약간 어려울 수도 있습니다. 하지만 국가정보원에서 PC 사용자가 레지스트리를 직접 수정하지 않고도 간편하게 클릭 하나로 윈도우의 자동실행 기능을 끌 수 있는 무료 프로그램을 제작했습니다.


국가정보원 제작 USBGuard

<국가정보원 제작 USBGuard>


아래의 주소에서 USBGuard 프로그램을 다운로드 받아 실행하면 “자동실행 차단” 버튼을 누르면 모두 끝납니다.


마지막으로 알약 2.0에서는 USB 메모리를 PC에 연결했을 때 자동으로 검사하는 기능을 제공하고 있습니다.


환경설정 클릭 이미지

먼저 “환경설정”을 클릭합니다.


이동식 디스크 자동검사 체크 후 확인 이미지


“검사 일반”의 “이동식 디스크 자동 검사”를 체크한 후 “확인”을 누르면 완료됩니다.


이동식 디스크 검사 이미지

알약의 실시간 감시, USB 자동 실행 차단, 이동식 디스크 자동 검사를 모두 설정했다면 이제 더 이상 USB 메모리를 통한 악성코드 감염을 걱정할 필요가 없습니다.