FBI가 휴대폰 USB 충전기로 위장한 키로거 해킹이 급속히 늘고 있다며 주의를 당부했다. KeySweeper는 USB 충전기 속에 하드웨어를 몰래 숨겨 무선 키보드 입력정보를 가로채 저장하고 전송하는 해킹 장비로 작년 1월 12일 미국 보안 연구원 새미 캄카가 제작법을 최초 발표했고 소스를 깃허브에 공개한 바 있다.
4월 29일 FBI는 비공개 보안 소식지 PIN을 통해 KeySweeper라 불리는 키로거가 공격에 사용될 수 있으며 사무실이나 무선 키보드를 사용하는 장소에 놓이는 경우 개인정보나 지적 재산, 무역 비밀, 패스워드 등의 민감한 정보가 유출될 수 있다고 전했다. 또한 데이터가 CPU에 도착하기 전에 가로채기가 발생하기 때문에 보안 담당자는 어떤 정보가 도난 당했는지 알아차리지 못할 수 있다고 강조했다.
KeySweeper는 벽에 있는 콘센트에 꽂아 충전하는 일반 USB 휴대폰 충전기처럼 생겼다. 거의 모든 윈도우용 무선 키보드 키보드 입력정보를 가로챌 수 있으며 가로챈 데이터를 충전기에 저장하거나 인터넷이나 GSM 칩을 통해 공격자에게 전송할 수 있다. 사용자가 특정 단어를 입력하면 공격자 폰으로 SMS로 통보하도록 제작도 가능하다. 재충전 배터리를 사용해 충전기를 콘센트에서 뽑은 후에도 키보드 입력 가로채기가 가능하다.
제작 비용은 약 10달러에서 80달러로 부품 조립도 아주 간단하다. 기본 기능 구현에는 아두이노 혹은 Teensy 마이크로컨트롤러(3 ~ 30달러), nRF24L01+ 2.4GHz RF 칩 (1달러), AC USB 충전기(6달러)가 필요하다. 옵션으로 키보드 입력된 내용을 저장하는 장치(2달러), SMS 통보용 미니 심카드(3달러), 키보드 입력을 인터넷으로 전송하는 FONA 보드(45달러), 충전용 배터리(5달러)를 추가할 수 있다.
마이크로소프트에 의하면 데이터 전송 시 암호화를 적용하지 않는 모든 무선 기기가 이 공격에 취약하다고 한다. FBI는 2011년부터 무선 키보드 고급 암호화 표준이적용되었지만 그 이전에 제작된 무선 키보드가 아직도 시중에서 많이 판매되고 있다고 강조했다. FBI는 사무실에서는 가능한 무선 키보드 사용을 자제하고, 불가피하다면 데이터 암호화가 적용되는 키보드인지 여부 확인을 당부했다. 또한 지정된 충전기만 사용하고, 못보던 충전기가 보이면 그 즉시 치우고, 백업 배터리가 장착된 경우 접속을 해제해도 계속 도청할 수 있다고 덧붙였다.
발표된지 이미 1년이 지난 시점에 새삼스럽게 보안 권고문을 발행한 배경은 무엇일까? FBI는 KeySweeper를 이용한 범죄가 발생했는지 여부는 밝히지 않았다.
보안이 필요한 곳에서 유선 키보드 사용은 이미 상식이 된지 오래다. 블루투스 키보드는 다른 채널을 사용해 이번 KeySweeper 공격에는 해당되지 않지만 그렇다고 해서 다른 공격에 안전하다는 의미는 아니다.
- FBI PIN(Private Industry Notification)?
FBI가 수사 과정에서 입수한 정보를 범죄 피해 예방을 위해 관련 산업과 공유하는 비공개 보안 소식지다. PIN 발행 회수는 한달에 1-2건 정도로 그다지 많지 않은 편이며, 가장 최근 발행된(5월 9일) PIN은 안드로이드 맬웨어 SlemBunk와 Marcher에 관한 보안 권고문으로 2014년 유럽 금융기관 고객 정보를 빼내는 목적으로 언더그라운드 포럼에서 거래되어 오다가 2015년 12월부터 미국 금융기관 공격 기능도 패키지로 추가되어 미국인 고객 정보를 빼내는 공격에 사용되니 주의하라는 내용을 담고 있다. 4월 12일부터 미국 변호사 협회(ABA)도 회원에 포함되어 ABA 가입 변호사들에게 이메일로 전달되고, 웹사이트에 로그인하면 해당 권고문을 읽을 수 있다.