디지털카메라, 스마트폰, PC나 노트북 등에서 보조메모리로 사용되는 마이크로SD카드는 해킹용으로 쓰이거나 저렴한 마이크로컨트롤러(MCU)를 대체해 사용할 수 있다는 점에서 두얼굴을 지녔다.
테크크런치 등 외신은 하드웨어 전문 해커 버니 후앙이 자신의 블로그에 올린 글을 인용해 이 같이 보도했다.
최근 독일 함부르크에서 개최된 해킹 컨퍼런스인 카오스 컴퓨팅 콩그레스에 참석한 후앙은 마이크로SD카드에 탑재된 MCU가 아두이노를 활용한 취미생활을 즐기는 사람들에게 유용한 도구가 될 수 있는 반면 보안적으로는 상당히 취약하다고 지적했다.
후앙이 블로그에 올린 글에 따르면 마이크로SD카드 외에도 SD카드, MMC, eMMC, iNAND 등 플래시메모리는 MCU와 메모리 영역으로 구분된다. MCU는 플래시메모리에서 발생할 수 있는 오류를 수정하고 읽기/쓰기 속도를 높이는 역할을 한다. 메모리는 말 그대로 저장영역이다.
문제는 MCU 영역이 해킹을 위한 툴로 악용될 수 있다는 점이다. 후앙에 따르면 마이크로SD를 활용해 실험해 본 결과 메모리를 꽂으면 악성코드가 실행돼 정보를 유출시키는 중간자 공격(MITM)과 같은 해킹이 가능하다.
이밖에도 마이크로SD카드 등에는 눈에 보이지 않는 여유분의 저장공간이 존재한다. 펌웨어를 업데이트하기 위한 공간이다.
후앙은 이 역시도 악성코드 은닉처로 악용될 수 있다고 설명했다. 펌웨어와 같은 업데이트 영역에 대해서는 제조사들 대부분이 별다른 보안조치를 취해놓고 있지 않은 실정이다.
때문에 마이크로SD카드와 같은 플래시메모리에 저장된 내용을 지웠다고 하더라도 아예 텅빈 상태로 있는 것은 아니다. 이곳에 악성코드를 숨겨놓은 뒤 PC에 꽂아 여러가지 악성행위를 유도할 수 있는 것이다.
이와 함께 2기가바이트(GB)짜리 메모리를 4GB인 것처럼 속여서 판매하는 일이 가능하다는 것이다. 사용자가 가짜 저장공간 여부를 확인하려면 일부 툴로 마이크로SD카드를 체크해 볼 필요가 있다.
해킹 위협과는 다른 시각에서 마이크로SD카드의 일부 영역을 수정할 수 있다는 점은 오픈소스 기반 로봇, 쿼드로콥터 등을 개발할 수 있게 해주는 아두이노 프로젝트에 활용될 수도 있다. 마이크로SD카드에 포함된 MCU영역을 재프로그래밍해 로봇이나 모형 헬기를 동작시키는 프로그램을 만드는데 활용할 수 있기 때문이다.
관련기사
- USB로 ATM서 돈 빼가는 신종해킹 등장2014.01.02
- 요즘 뜨는 메신저 스냅챗, 해킹 위협 노출2014.01.02
- PC 통해 스마트폰 감염...신종 해킹 등장2014.01.02
- iOS7 해킹...탈옥툴 등장2014.01.02
후앙은 아두이노에 탑재되는 8비트 16메가헤르츠(MHz) 마이크로컨트롤러는 약 20달러 가격에 사용할 수 있으나 마이크로SD카드를 사용할 경우 수 기가바이트 메모리를 훨씬 저렴한 가격에 활용할 수 있다고 말했다.
보안적으로 취약한 마이크로SD카드에 보안성을 높이는 대신 다른 분야로 활용될 수 있는 가능성을 낮출지, 그 반대를 선택할지는 사용자들의 선택에 달렸다.
