이 문제는 최근 게임용 주변기기 제조사 레이저(Razer)를 시작으로 스틸 시리즈 등이 제조한 USB 주변기기에서 지속적으로 발견되고 있다.
이미 깃헙에는 USB 저장장치를 게임용 키보드나 마우스로 인식하도록 속이는 프로그램도 등장했다. 그러나 윈도 운영체제에 비밀번호를 설정하고 하드웨어용 드라이버나 소프트웨어 자동 설치를 무효화하면 이 문제를 해결할 수 있다.
■ 레이저·스틸시리즈 마우스 PC에 꽂으면 '권한상승'
레이저 게임용 마우스가 의도치 않은 보안 문제를 일으킨다는 사실은 지난 달 말 하순 처음 드러났다. 게임용 마우스를 꽂으면 자동으로 전용 소프트웨어 '시냅스'가 설치되는데 이 과정에서 문제가 발생했다.
시냅스 설치 과정에서 설치 폴더를 지정할 때 마우스 오른쪽 버튼을 클릭하고 명령 프롬프트를 관리자 권한으로 실행하면 아무런 제재 없이 파일 삭제나 복사가 가능하다.
게임용 주변기기 제조사 스틸시리즈 제품도 비슷한 문제를 일으킨다는 사실이 뒤이어 드러났다. 프로그램 다운로드 후 설치 과정에서 '더 알아보기'를 누르면 인터넷 익스플로러 창이 열린다.
이후 '다른 이름으로 저장'을 선택하고 다시 명령 프롬프트를 실행하면 시스템 권한으로 실행된 것을 확인할 수 있다.
■ "설치 프로그램까지 시스템 권한 주는 것이 문제"
이런 문제가 일어나는 것은 원래 일반 이용자, 혹은 관리자 권한에서만 실행되어야 하는 설치 프로그램이 엉뚱하게 윈도 운영체제의 시스템 권한으로 실행되기 때문이다.
윈도 운영체제는 처음 부팅 후에는 민감한 파일을 쉽게 건드릴 수 없도록 일반 이용자 권한으로 실행된다. 그러나 프로그램을 설치하거나 운영체제 파일을 건드릴 경우 화면이 어두워지고 실제로 설치를 진행해도 되는지 물어본다.
반면 문제가 된 사례는 모두 이용자의 동의나 확인 없이 바로 시스템 권한을 쥔 상태에서 실행된다. 설치 프로그램은 물론 이 설치 프로그램이 별도로 여는 창이나 프로그램까지 시스템 권한을 그대로 이어받아 작동한다.
미국 IT매체 톰스하드웨어는 윈도 운영체제의 설계가 잘못되었다고 지적했다. 이 매체는 "윈도 운영체제가 장치 드라이버 파일과 소프트웨어 구분 없이 모두 시스템 권한을 적용해서 생긴 일"이라고 분석했다.
■ USB 메모리를 마우스로 속이는 프로그램도 등장
오픈소스 저장소 '깃헙'에는 USB 저장장치를 레이저나 스틸시리즈 게임용 키보드로 위장해 주는 프로그램도 등장했다. 용량이 작아서 용도를 잃은 USB 플래시 메모리를 안드로이드 스마트폰에 꽂은 다음 이 프로그램으로 초기화하면 된다.
작업이 끝난 USB 플래시 메모리를 윈도 PC에 꽂으면 레이저 마우스, 혹은 스틸시리즈 키보드로 인식해 설치 과정이 진행된다.
그러나 이런 방식의 공격은 사람이 직접 PC 앞에서 USB 기기나 플래시 메모리를 꽂은 다음 파일을 설치하는 과정을 거쳐야 가능한 방법이다. 악성코드 등을 이용해 원격으로 공격하는 것은 불가능하다.
따라서 업무용 데스크톱PC나 노트북을 쓰고 있다면 비밀번호를 설정해 아무나 함부로 PC에 접근할 수 없게 만드는 것이 좋다.
■ 윈도 운영체제 설정 바꿔 자동 설치 방지
보안업체 소포스는 "윈도 업데이트에서 제조사의 앱을 자동으로 설치하지 않도록 설정을 바꾸면 이 문제를 해결할 수 있다"고 소개했다.
윈도10에서 '설정→시스템→정보'를 선택한 다음 '고급 시스템 설정'을 누르면 '시스템 속성' 창이 나타난다.
여기서 '하드웨어' 탭을 누르고, '장치 설치 설정'에서 '제조업체 앱 및 사용자 지정 아이콘을 자동으로 다운로드 하시겠습니까?' 아래의 '아니요'를 선택하고 '변경 내용 저장'을 누르면 된다.
이후에는 새로운 USB 기기를 꽂아도 드라이버나 설정 프로그램이 자동으로 설치되지 않는다. 필요한 경우 제조사 웹사이트에서 직접 수동으로 받아 설치해야 한다는 것이 단점이다.
