안녕하세요! 오늘은 아주 사소한 호기심이 기업 전체를 무너뜨릴 수 있는 무서운 사례를 소개해 드리려고 합니다. 바로 우리 주머니 속에 하나씩은 들어있는 **'USB 저장장치'**에 관한 이야기입니다. 만약 여러분의 회사 정문 앞에 누군가 USB를 떨어뜨려 놓았다면, 여러분은 어떻게 하시겠습니까?

"주인을 찾아줘야겠다"

"내용물이 뭔지 궁금한데..."

"혹시 중요한 자료가 있을지도..."

이런 선의의 호기심이 바로 해커들이 노리는 심리입니다.

호기심이 부른 재앙: 실제 사고 시나리오

시작은 항상 평범하게

사무실 근처에서 주운 USB를 "주인을 찾아주려고" 혹은 "내용물이 궁금해서" 회사 PC에 연결하는 순간, 비극은 시작됩니다.

우리나라에서 가장 많이 발생하는 바이러스 피해 사례 1위가 USB 바이러스, 즉 오토런 바이러스입니다. 휴대가 간편하여 주요 저장매체로 활용되는 USB는 특정 파일을 다운로드하거나 저장이 아닌  단순히 PC에 꽂는 것만으로도  자동으로 복제되어 감염시킵니다.

사회공학적 해킹(Social Engineering)의 함정

해커들은 사람의 심리를 아주 정교하게 이용합니다.

매력적인 파일명의 예:

• '2026년 급여 대장.xlsx'

• '임직원 상여금 내역.pdf'

• '2026 사업계획서_극비.docx'

• '사내 인사발령 명단.hwp'

이런 파일명을 보면 누구나 한 번쯤 호기심이 생기지 않을까요? 바로 이 점을 노리는 것입니다.

1초 만의 감염

USB를 꽂는 순간, 사용자가 파일을 클릭하기도 전에 악성코드가 실행될 수 있습니다. USB와 같은 이동식 저장 매체에는 시스템에 자동으로 인식되도록 하기 위해 'Autorun.ini'와 같은 파일을 갖고 있는데, USB에 유입된 악성코드가 이 파일을 변이하여 악성 행위를 수행합니다.

주로 폴더를 '숨김' 상태나 '바로가기'로 바꿔놓기 때문에 사용자들이 악성코드 감염 여부를 미처 인식하지 못하는 경우가 대부분입니다.

왜 USB는 단순한 저장장치가 아닌가? BadUSB의 위협

파일만 조심하면 될까?

단순히 "바이러스가 들어있는 파일"만 조심하면 될까요?  절대 아닙니다.  최근의 해킹 기술은 더욱 영리해졌습니다.

BadUSB 공격의 원리

BadUSB는 USB 장치의 펌웨어를 악성 소프트웨어로 프로그래밍하는 컴퓨터 보안 공격입니다. 프로그래밍 가능한 Intel 8051 마이크로컨트롤러를 포함하는 USB 플래시 드라이브를 재프로그래밍하여 악의적인 장치로 변환할 수 있습니다.

BadUSB 공격의 작동 방식:

1. 가짜 키보드로 위장 : USB 내부의 컨트롤러 칩을 조작하여, 컴퓨터가 이 USB를 '저장장치'가 아닌 **'키보드(HID, Human Interface Device)'**로 인식하게 만듭니다.

2. 명령어 자동 실행 : USB 메모리 드라이브를 USB 키보드로 변경하면 사전에 입력해둔 명령어의 실행이 가능해집니다. 펌웨어 조작이 된 USB는 아무 데이터가 없더라도 PC에 꽂자마자 자동으로 커맨드프롬프트나 터미널을 실행시켜 악성코드를 감염시킵니다.

3. 인터넷 연결 불필요 : 또 인터넷에 연결되어 있지 않더라도 동작합니다. USB를 꽂을 수 있는 포트만 있다면 얼마든지 응용이 가능합니다.

스텔스 침투: 탐지가 거의 불가능

백신 소프트웨어는 사용자가 일반 키보드로 타이핑하는 것인지 BadUSB 장치가 악의적인 명령어로 키 입력을 보내는 것인지 구별할 수 없기 때문에 탐지하기가 극도로 어렵습니다. 백신 프로그램이 '파일'을 검사하기도 전에 시스템 명령어 수준에서 공격이 이뤄지기 때문에 기존의 보안 솔루션으로는 막을 수 없습니다.

포맷해도 소용없다

주목할 점은 USB의 내부에 자동실행 파일 등을 넣어두는 것이 아니라 USB 컨트롤러의 펌웨어를 조작한다는 것입니다. 실제 변조된 USB 안에는 어떤 파일도 존재하지 않으며, 포맷을 하더라도 악성코드는 여전히 살아있게 됩니다.

급증하는 USB 공격, 숫자로 보는 위협

2023년, USB 공격 3배 급증

맨디언트에 의하면 2023년 전반기 동안 USB 드라이브를 이용한 악성 캠페인은 3배 가까이 늘어났습니다. 이 캠페인의 주요 표적은 아시아의 석유와 가스 관련 기업들입니다.

하지만 갑작스런 USB 캠페인의 증가 이유에 대해서는 아직 명확히 알려진 바가 없습니다. USB를 이용한 사이버 공격은 해커들 사이에서 크게 선호되지 않는 편이었는데, 최근 다시 주목받고 있는 상황입니다.

최신 공격 트렌드: 암호화폐 채굴

안랩 SEcurity intelligence Center(ASEC)는 최근 국내에 USB로 전파되는 암호화폐 채굴 악성코드가 유포되는 정황을 확인했습니다.

이번에 확인된 공격 사례에서는 USB를 통해 전파되는 모네로(Monero) 채굴 악성코드가 발견되었으며, 공격자는 피해자의 시스템 설정을 조작하여 다음과 같은 작업을 수행했습니다:

• Windows Defender 예외 설정 추가

• HVCI(Hypervisor Protected Code Integrity) 비활성화

• 시스템 전력 관리 변경

• 보안 제품 탐지 회피 및 채굴 성능 PC 최적화

암호화폐 채굴 악성코드는 사용자의 동의 없이 PC에 상주하여 CPU 및 GPU 자원을 무단으로 활용하여 암호화폐를 채굴하며, 감염된 시스템의 성능 저하를 초래합니다.

국내 실제 사례로 본 USB 보안의 민낯

Case A. 길거리 USB 하나로 초토화된 전산망 (2012년 사례)

당시 한 직원이 회사 근처에서 주운 USB를 사내 PC에 연결하자마자, 숨겨져 있던 악성코드가 내부망(Intranet)을 타고 삽시간에 번졌습니다.

이는  개인의 부주의가 기업 전체의 셧다운으로 이어질 수 있음 을 보여준 대표적 사례입니다.

Case B. '철벽' 망분리도 뚫린 방위산업체 해킹 (2018~2019년 사례)

가장 충격적인 것은 외부 인터넷과 완전히 차단된 '폐쇄망'을 사용하는 방위산업체조차 USB를 통해 뚫렸다는 점입니다.

공격 경로:  보안 기능이 탑재된 '보안 USB' 자체를 악성코드에 감염시킨 후, 이를 통해 폐쇄망 PC에 침투했습니다.

시사점:  "우리 회사는 망분리가 되어 있어 안전하다"는 고정관념을 완전히 깨버린 사건으로, USB는 물리적인 '데이터 전달자' 역할을 하므로  물리적 보안 없이는 네트워크 보안도 무의미함 을 증명했습니다.

네트워크와 인터넷에서 분리된 시스템들이라도 공격이 가능합니다. 그 모든 방법들에 한 가지 공통점이 있는데, 그건 바로 USB 저장소입니다.

망분리 시스템을 공격하는 17개의 프레임워크를 분석한 결과, 75%의 경우 LNK 파일이나 자동실행 파일들이 USB에 삽입되어 있었고, 이 때문에 USB가 시스템에 꽂히는 순간 악성 행위가 시작됐습니다.

역사를 바꾼 USB 공격: 스턱스넷(Stuxnet)

세계 최초의 사이버 전쟁 무기

2010년부터 스턱스넷 컴퓨터 웜과 그 후속 버전은 국가 인프라를 표적으로 삼고 있습니다. 처음 문서화된 공격은 USB 플래시 드라이브를 통한 이란 핵시설 공격이었으며, 당시 중요한 장비를 파괴했습니다.

지난 2010년 이란 핵발전소를 마비시켰던 스턱스넷의 시작지점이 USB였다는 점을 상기해본다면 이에 대한 위험성은 이미 증명된 셈입니다.

폐쇄망도 뚫은 USB

2010년 이란의 부셰르 원자력 발전소와 나탄즈 우라늄 농축시설의 핵 개발용 원심분리기 1,000여 대가 '스턱스넷(Stuxnet)'이라는 악성코드에 감염돼 심각한 장애가 발생했습니다. 조사 결과, USB를 통해 스턱스넷 악성코드가 폐쇄망 환경에서 운영 중인 발전소 통제 시스템인 SCADA 시스템을 감염시킨 것으로 드러났습니다.

구체적인 피해 규모

스턱스넷은 USB 드라이브를 통해 대상 디바이스를 감염시킨 최초의 멀웨어입니다.

이란은 당시 스턱스넷 공격으로 막대한 피해를 입었습니다. 나탄즈 우라늄 농축시설에서는 원심분리기 1000여대가 파괴됐고, 부셰르 원전의 가동도 수개월간 멈췄습니다. 이란은 자국 컴퓨터 3만대가 스턱스넷에 감염됐다고 발표했습니다.

어떻게 감염되었나?

정보 요원이나 내부 직원이 USB 스틱을 시설 안으로 가져가 감염시켜야 했습니다. 스턱스넷의 목적은 오로지 나탄즈에 위치한 이란 핵시설이었으므로 그 외의 시스템 감염은 염두에 두지 않고 개발됐습니다.

최신 USB 악성코드 동향

숨겨진 폴더와 바로가기 파일

USB는 현재까지도 악성코드를 전파하는데 악용되고 있는데 과거 오토런(autorun.inf) 기능을 악용하던 것과 달리 최근에는 사용자의 실행을 유도하는 방식이 사용되고 있습니다.

최신 공격 방식:

1. 악성코드는 숨김 폴더에 존재

2. "USB Drive"라는 이름의 바로 가기 파일만 보임

3. 사용자가 바로 가기 파일을 실행하면 악성코드와 함께 기존 파일들도 보여줌

4. 사용자들은 악성코드가 감염되었는지 인지하기 어려움

탐지 회피 기술의 진화

공격자는 AntiVirus를 우회하는 여러 기법들을 사용해 모네로 코인을 채굴하는 XMRig를 설치합니다.

진화된 회피 기술:

• 사용자가 게임을 플레이 중이라면 채굴 프로그램 종료

• 프로세스 검사 도구도 함께 감시

• 일반적인 도구로는 XMRig가 실행 중인 것을 확인하기 어려움

FBI도 경고한 BadUSB 공격

FIN7 해킹 그룹의 공격

2020년 3월, FBI는 FIN7 사이버 범죄 그룹 구성원들이 REvil 또는 BlackMatter 랜섬웨어를 전달하도록 설계된 BadUSB 공격으로 소매, 레스토랑, 호텔 산업의 회사들을 표적으로 삼았다고 경고했습니다.

실제 공격 사례:

패키지가 IT, 임원 관리, 인사 부서의 직원들에게 발송되었습니다. 한 표적 대상은 Best Buy의 가짜 기프트 카드와 함께 USB 플래시 드라이브가 포함된 패키지를 우편으로 받았으며, 편지에는 기프트 카드로 구매할 수 있는 항목 목록에 액세스하려면 드라이브를 컴퓨터에 연결하라고 명시되어 있었습니다. 테스트 결과, USB 드라이브는 키보드를 에뮬레이션한 후 PowerShell 창을 열고 테스트 컴퓨터에 멀웨어를 다운로드하는 명령을 실행하고 러시아의 서버에 연결했습니다. 2022년 1월에도 FBI는 FIN7이 운송 및 보험 회사(2021년 8월 이후), 그리고 방위 회사를 표적으로 삼고 있다고 다시 경고했습니다.

기업 보안을 지키는 5가지 필수 골든룰

USB로 인한 사고를 막기 위해서는 개인의 주의도 중요하지만,  기업 차원의 시스템 구축이 필수적 입니다.

1. 매체 제어 솔루션 도입

승인되지 않은 USB는 PC에서 아예 인식되지 않도록  하드웨어 수준에서 차단 해야 합니다.

구현 방법:

• USB 포트 화이트리스트 관리

• 등록된 USB만 사용 가능하도록 설정

• 미승인 USB 연결 시 즉시 경고 및 차단

• 사용 이력 모니터링 및 로그 관리

2. 오토런(Autorun) 완전 비활성화

USB 삽입 시 프로그램이 자동으로 실행되는 기능을 OS 설정 및 그룹 정책(GPO)을 통해 강제로 막아야 합니다.

설정 방법:

• Windows 그룹 정책에서 자동 실행 비활성화

• 레지스트리 설정으로 오토런 기능 차단

• 모든 드라이브에 대해 자동 실행 금지

• 주기적인 설정 점검 및 유지보수

3. 전용 스캔 스테이션 운영

외부 USB를 내부망으로 들여오기 전,  독립된 전용 PC에서 악성코드 여부를 정밀 검사 하는 절차를 거쳐야 합니다.

운영 프로세스:

• 인터넷과 분리된 독립 PC 설치

• 최신 백신 및 악성코드 검사 도구 구비

• 샌드박스 환경에서 파일 실행 테스트

• 검사 완료 후에만 내부망 반입 승인

4. 물리적 파기 및 관리 정책

사용 기한이 지난 USB나 출처 불명의 저장매체는 반드시  물리적으로 파쇄 하여 정보 유출 가능성을 원천 차단해야 합니다.

관리 원칙:

• USB 수명 주기 관리

• 폐기 대상 USB 전문 업체 위탁 파기

• 파기 증명서 보관

• 재사용 금지 원칙 수립

5. 정기적인 보안 캠페인

**"길에서 주운 USB는 폭탄과 같다"**는 인식을 직원들에게 심어주는 교육이 병행되어야 합니다.

교육 내용:

• USB 공격 사례 공유

• 사회공학적 공격 기법 이해

• 의심스러운 USB 발견 시 대응 절차

• 분기별 모의 훈련 실시

USB 공격의 실제 피해 범위

개인 사용자의 경우

USB를 통한 악성코드 감염은 '나 한 사람만의 문제'로 끝나지 않을 수도 있습니다. 악성코드에 감염된 내 USB가 내 자료나 컴퓨터를 못쓰게 만드는 것에서 끝나지 않고 회사 또는 사회를 마비시킬 수도 있다는 의미입니다.

조직 전체로 확산

대학생 정 모양은 미처 출력하지 못한 자료를 USB에 담아 서둘러 학교 앞 인쇄소를 찾았습니다. 다행히 출력한 자료를 받아들고 학교로 돌아왔지만, 그 USB에는 인쇄소 PC에 있던 악성코드가 감염되어 있었습니다.

이후 그 USB를 통해:

• 학교 도서관 PC 감염

• 조별 과제 팀원들 PC 감염

• 연구실 서버까지 감염 확산

한 개인의 작은 실수가 조직 전체의 보안 사고로 이어진 것입니다.

망분리 시스템도 예외는 아니다

USB, 망분리의 유일한 약점

"이번 연구를 통해 얻어낸 가장 중요한 성과는, 망분리 시스템을 공략하는 유일한 방법이 USB라는 것을 확인했다는 것입니다. 따라서 중요한 시스템을 인터넷과 네트워크로부터 분리해냈다면, 그와 더불어 USB에 대한 보호 방책도 강구해야 더욱 단단히 중요한 정보를 보호할 수 있게 됩니다."

패치 관리의 중요성

또한 원데이 취약점들이 주로 익스플로잇 되고 있었습니다. "원데이 취약점이란, 공격이 시작됐을 때 패치가 존재하는 취약점들을 말합니다. 제로데이는 패치가 없는 취약점들이죠. 따라서 망분리 시스템에 대한 패치 관리를 보다 철저히 하는 것 역시 보안에 큰 도움이 됩니다."

현실적인 USB 관리의 어려움

생산성과 보안의 균형

"USB는 누구나 가지고 있고, 어느 책상에서나 쉽게 발견되는 장비입니다. 업무에도 거의 항상 사용되고, 사용이 대단히 편리하죠. 이걸 단순히 못 쓰게 한다고 될 일이 아닙니다.  생산성에 직접적인 타격이 올 수도 있거든요. "

현명한 관리 방안

따라서 무조건 금지하기보다는:

1. 승인된 USB만 사용하도록 화이트리스트 관리

2. USB 사용 전후 스캔 의무화

3. 중요 데이터는 클라우드 등 대체 수단 활용

4. 정기적인 보안 교육으로 인식 개선

5. 위반 시 명확한 책임 소재 규정

최신 보안 트렌드: BadUSB 방어 기술

키보드 인증 시스템

BadUSB 공격 방지 구성 요소는 키보드를 에뮬레이션하는 감염된 USB 장치가 컴퓨터에 연결하지 못하도록 차단합니다. USB 장치가 컴퓨터에 연결되고 운영 체제가 이를 키보드로 인식하면 애플리케이션은 사용자에게 이 키보드 또는 화상 키보드를 이용해 애플리케이션이 생성한 숫자로 이루어진 코드를 입력하도록 요청합니다.

이 절차는 키보드 인증을 의미하며, 올바르게 입력했다면 애플리케이션은 인증된 키보드 목록에 식별 파라미터(키보드의 VID/PID와 키보드가 연결된 포트 번호)를 저장합니다.

지속적인 연구 개발

USB 취약점 해소 방법에 대해 전문가들은 "펌웨어를 수정할 수 없도록 하는 것이 제일 현실적이다. 하지만 이는 쉬운 일이 아니며 최소 2년에서 3년의 시간은 걸릴 것"이라며 "그전까지는 알면서도 당할 수밖에 없을 것"이라고 강조했습니다.

결론: 정보의 시작부터 끝까지, 책임지는 자세가 필요합니다

USB는 작고 편리하지만, 그 안에는 **기업의 명운을 가를 수 있는 '독'**이 담길 수 있습니다. 보안은 가장 약한 고리에서부터 뚫리기 마련이며, 그 고리는 종종 우리의 사소한 행동에서 시작됩니다.

우리가 기억해야 할 핵심 메시지 :  길에서 주운 USB = 폭탄

아무리 강조해도 지나치지 않습니다. 회사 정문 앞에 떨어진 USB, 주차장에서 발견한 USB, 화장실에 놓인 USB... 이 모든 것이 의도적으로 놓인 '미끼'일 수 있습니다.

체크리스트: 지금 바로 점검하세요

• 우리 회사에 USB 매체 제어 솔루션이 있나요?

• 오토런 기능이 완전히 비활성화되어 있나요?

• 외부 USB 스캔 절차가 수립되어 있나요?

• 직원들이 최근 보안 교육을 받았나요?

• 폐기 USB에 대한 관리 정책이 있나요?

보안 3원칙

1. 의심하라 : 출처가 불분명한 USB는 절대 사용하지 않는다

2. 검증하라 : 외부 USB는 반드시 스캔 후 사용한다

3. 관리하라 : 사용 후에는 안전하게 폐기한다

   
   

정보 저장매체의 안전한 라이프사이클 관리

도입부터 폐기까지

정보 저장매체의 안전한 사용부터, 수명이 다한 데이터의 완벽한 물리적 파기까지. **기업 보안의 완성은 '철저한 관리'**에 있습니다.

USB 라이프사이클 관리:

1. 도입 단계

• 신뢰할 수 있는 제조사 제품만 구매

• 구매 시 일련번호 등록

• 초기 보안 검사 실시

2. 사용 단계

• 업무용과 개인용 USB 분리

• 정기적인 바이러스 검사

• 사용 이력 로그 관리

• 분실 즉시 보고 체계 구축

3. 폐기 단계

• 데이터 완전 삭제

• 물리적 파쇄

• 폐기 증명서 발급

• 재활용 불가 원칙 준수

  
  

왜 전문 업체가 필요한가?

기업의 정보 자산 관리는 단순히 USB 몇 개를 관리하는 수준이 아닙니다. 수백, 수천 개의 저장매체가 조직 내부를 떠돌아다니며, 각각이 잠재적인 보안 위협이 될 수 있습니다.

전문 업체가 제공하는 서비스:

1. 체계적인 매체 관리 시스템 구축

2. 정기적인 보안 점검 및 모니터링

3. 직원 보안 교육 프로그램 운영

4. 안전한 데이터 파기 서비스

5. 보안 사고 대응 컨설팅

알테크코리아의 종합 솔루션

USB 및 저장매체 전문 관리 서비스:

• 매체 제어 솔루션 구축

• 보안 USB 공급 및 관리

• 정기 보안 점검

• 직원 보안 교육

• 폐기 USB 물리적 파쇄

• 파기 증명서 발급

정보의 마지막 흔적까지 책임지는 보안 파트너,  알테크코리아가 여러분의 안전한 비즈니스 환경을 응원합니다.

오늘 소개해드린 USB 공격 사례들은 결코 남의 이야기가 아닙니다. 2023년 들어 USB 공격이 3배나 증가했고, 국내에서도 꾸준히 피해 사례가 보고되고 있습니다.

기억하세요:

• 호기심은 금물입니다

• 의심이 생명을 구합니다

• 작은 실수가 큰 재앙을 부릅니다

• 보안은 모두의 책임입니다

여러분의 소중한 정보 자산, 오늘 한 번 더 점검해 보시는 건 어떨까요?