인터넷에 연결하지 않는 네트워크에서 완전히 분리된 에어-갭(Air-Gap) 상태에 있는 컴퓨터도 냉각팬 진동을 통해 데이터를 훔칠 수 있는 것으로 나타났다.
이스라엘 네게브 벤-구리온대학(Ben-Gurion University of the Negev)에서 보안을 연구하는 모데카이 구리(Mordechai Guri) 교수는 에어 갭 상태에 있는 컴퓨터 냉각팬 진동을 이용해 근처에 놓인 스마트폰과 통신 할 수 있다고 밝혔다.
연구 결과는 arXiv에 논문명 ‘AiR-ViBeR: Exfiltrating Data from Air-Gapped Computers via Covert Surface ViBrAtIoNs(AiR-ViBeR : 은밀한 표면 진동을 통해 에어 갭 컴퓨터에서 데이터 유출)’로 13일(현지시각) 게재됐다.
에어 갭 상태에 있는 컴퓨터를 외부에서 연결하는 방법이 계속 연구되고 있다. 현재 컴퓨터에서 나는 열이나 초음파, 전선에서 흐르는 전류를 통해 통신이 가능하고 데이터를 절취하는 수법이 보고되고 있다.
구리 교수가 새로 발견한 방법은 컴퓨터 내부 냉각팬 회전 속도와 관련이 있는 주파수로 진동하는 것을 발견했다. 내부 팬 속도를 조작해 컴퓨터 진동을 제어할 수 있다는 것이다.
구체적인 방법은 컴퓨터 냉각팬 진동을 악성코드로 제어해 가속도계 데이터를 읽을 스마트폰 앱이 진동을 분석하는 ‘AiR-ViBeR’라는 시스템을 만들었다.
실제로 스마트폰을 사용해 에어 갭 상태 PC에서 데이터를 훔치는 영상을 보면 PC에 들어 있는 기밀 파일이 같은 테이블에 놓인 스마트폰에서 냉각팬 진동을 읽어내며 데이터를 훔친다.
구리 교수에 따르면 “컴퓨터에 숨겨둔 악성코드가 기밀 데이터를 냉각팬 진동으로 인코딩한다는 것이다. 또한 사용 중인 스마트폰 가속도 센서는 약 0.0024m/s2 해상도로 움직임을 감지할 수 있다”고 한다.
연구소와 군사시설, 원자력 발전소 등에서 기밀 파일 유출을 방지하기 위해에어 갭 상태에있는 컴퓨터가 많다. 하지만 AiR-ViBeR를 사용해 내부 직원 협력으로 악성코드를 컴퓨터에 심기만 하면 누구에게도 들키지 않고 데이터를 몰래 꺼내는 것이 가능하다.
구리 교수는 이에 대응 방안으로 최대 전력 모드에서 CPU를 항상 풀가동 시키거나, CPU와 GPU 냉각팬 회전 속도를 일정하게 고정하거나 CPU 주파수를 고정하면 AiR-ViBeR 시스템 도난을 방지할 수 있다고 주장했다.
구리 교수는 2015년에도 에어 갭 상태 컴퓨터 2대로 컴퓨터 내부에서 발생하는 열을 이용해 다른 컴퓨터가 정보를 빼내는 실험에 성공한 바 있다. 그 방법은 내장된 센서 열을 사용해 온도 변화를 감지하고 이진수 ‘1’ 또는 ‘0’으로 변환해 컴퓨터 2대를 통신할 수 있게 만들었다.
한편 에드워드 스노든이 유출한 문서에 따르면 미국 국가안보국(NSA, National Security Agency)은 이란 등지에서 에어 갭 상태인 컴퓨터에서 데이터를 빼돌릴 뿐만 아니라 악성코드를 심기 위해 무선 주파수를 사용해 왔다고 밝혔다.
작은 임베디드 트랜시버가 장착된 코튼마우스-I(Cottonmouth-I)라는 USB를 표적 컴퓨터에 꽂아 발생하는 RF 신호를 사용해 데이터를 추출하고 최대 8마일(약 13km) 떨어진 서류 가방 크기 중계국(Relay Station)으로 전송할 수 있다.
현재 정보기관이 열 방출과 열 센서를 사용해 데이터를 훔치고 에어 갭 시스템을 제어하고 있다는 증거는 아직 없다. 하지만 RF 기술은 열 해킹보다 훨씬 효율이 높다.
김들풀 기자 itnews@