레노보 웹캠, ‘BadCam’ 취약점 발견
- 운영체제 무관하게 키 입력 주입, 추가 장치 가장해 악성 행위
- 리눅스 기반 동작 USB 주변기기 펌웨어 무결성 검증 부재
-“주변기기도 소프트웨어다” 사실 인지해야...펌웨어 중요
레노보의 일부 웹캠 모델에서 원격으로 ‘BadUSB’ 공격 장치로 변조될 수 있는 취약점이 확인됐다. 공격자는 운영체제와 무관하게 은밀하게 키 입력을 주입하고, 추가 장치를 가장해 악성 행위를 수행할 수 있다. 해당 취약점은 ‘BadCam’으로 명명됐으며, 제조사는 완화 조치를 담은 펌웨어를 배포했다.
이번 취약점의 핵심은 리눅스 기반으로 동작하는 USB 주변기기의 펌웨어 무결성 검증 부재다. 문제의 웹캠은 USB Gadget 기능을 통해 다양한 USB 클래스(HID 등)로 동작할 수 있는데, 펌웨어가 서명되지 않았거나 검증 절차가 미흡해 원격에서 임의 코드 실행(RCE)을 획득한 공격자가 카메라 펌웨어를 재플래시(reflash)할 수 있다. 이렇게 변조된 웹캠은 겉보기에는 정상 카메라처럼 작동하지만, 내부적으로는 키보드 에뮬레이션을 통해 명령을 타이핑하거나 추가 USB 장치를 가상으로 붙여 악성 페이로드를 주입하는 등 호스트 컴퓨터를 교란할 수 있다.
BadUSB는 2010년대 초반부터 알려진 공격 개념으로, 파일 시스템 상의 악성코드가 아니라 USB 장치의 펌웨어 계층을 악용한다는 점이 특징이다. 안티바이러스가 탐지하기 어렵고, 한 번 연결된 장치가 사용자의 개입 없이도 키 입력 주입, 트래픽 리다이렉션, 백도어 설치, 키로깅 등 다양한 행위를 수행할 수 있다. 과거에는 공격자가 장치를 우편으로 보내거나 물리적으로 꽂아 사용하는 방식이 주류였다면, 이번 사례는 이미 연결된 합법적 주변기기를 원격에서 ‘무기화’할 수 있음을 보여줬다는 점에서 보안 위협의 수위를 끌어올렸다.
공격 시나리오는 여러 가지다. 가령 피해자에게 취약한 모델의 웹캠을 배송해 교체를 유도하거나, 내부자가 잠시 물리 접근해 장착할 수 있다. 더 우려스러운 시나리오는 공격자가 이미 피해자의 PC 상에 원격 코드 실행 권한을 얻은 뒤, 물리적 분리·재연결 없이도 연결된 웹캠의 펌웨어를 곧바로 변조하는 경우다. 이 경우 사용자는 카메라 LED가 켜지고 영상이 전송되는 등 정상 동작을 확인하더라도, 백그라운드에서는 키 입력 주입이나 추가 장치 에뮬레이션이 진행될 수 있다.
지속성(persistence) 측면의 위험도 크다. 공격자가 웹캠 펌웨어를 변경해 악성 동작을 내장해 두면, 호스트 PC를 포맷하고 운영체제를 재설치해도 위협이 제거되지 않을 수 있다. 심지어 변조된 웹캠을 다른 컴퓨터에 옮겨 연결할 때 새로운 호스트를 다시 감염시키는 전파 가능성까지 거론된다. 이는 기업과 가정 환경 모두에서 ‘주변기기는 신뢰할 수 있다’는 전제를 근본부터 흔든다.
영향을 받는 모델은 레노보 510 FHD, Lenovo Performance FHD 웹캠으로 파악됐다. 두 모델은 펌웨어 검증이 이뤄지지 않아 카메라 소프트웨어 전반이 BadUSB 스타일 공격에 취약했다. 제조사는 2025년 4월 취약점 통보를 받은 뒤 문제 완화가 반영된 펌웨어 4.8.0을 배포했으며, 칩셋 공급사와 협력해 보완 도구도 제공했다. 사용자와 기업은 모델명과 현재 펌웨어 버전을 확인한 뒤, 즉시 최신 버전으로 업데이트할 필요가 있다.
보안 업계는 이번 사안을 USB 에코시스템 전반의 구조적 위험으로 본다. 오늘날 많은 내부·외부 주변기기가 자체 운영체제와 네트워크 스택, 원격 업데이트 기능을 갖추고 있어, 호스트가 주변기기를 일방적으로 신뢰하는 모델은 더 이상 유효하지 않다는 지적이다. 특히 화상회의 장비처럼 상시 연결되는 카메라는 조직 전반에 두루 배치되는 경우가 많아 공격 표면이 넓다. 원격근무와 화상회의가 일상화된 환경에서는 개인 사용자도 예외가 아니다.
기업과 기관은 단기적으로 다음과 같은 대응이 권고된다. 첫째, 취약 모델에 대해 펌웨어 4.8.0 이상으로 즉시 업데이트하고, 업데이트 전후의 USB 장치 식별자(벤더ID·제품ID·시리얼 등) 변화를 기록해 이상 징후를 모니터링한다. 둘째, 단말 보안 정책에서 무인 입력장치(HID) 자동 인식을 제한하고, 승인된 장치 목록(화이트리스트) 기반으로 포트 제어를 강화한다. 셋째, EDR·UEM 등 관리 콘솔에서 연결된 USB 장치 목록과 클래스 변화를 주기적으로 수집해, 카메라가 비정상적으로 키보드나 복합 장치로 인식되는지 확인한다. 넷째, 고위험 자산에 대해서는 USB 데이터 차단 기능이 있는 케이블(전원만 통과)·포트 블로커·데이터 다이오드 등 물리적 보완책을 병행한다.
중장기적으로는 주변기기 보안의 기본 설계를 재검토해야 한다. 펌웨어 서명과 검증(코드 서명·안전한 부트 체인), 디버그 인터페이스(JTAG·UART) 비활성화, 롤백 방지, 업데이트 도구의 무결성 검증, 사용자에게 투명한 업데이트 고지 및 확인 절차가 제조 단계에서 강제돼야 한다. 조달·구매 단계에서도 장치의 보안 부트 지원 여부, 펌웨어 업데이트 정책, 취약점 공개·패치 SLA를 점검 항목에 포함하는 것이 바람직하다.
개인 사용자도 실천 가능한 수칙이 있다. 사용 중인 웹캠의 정확한 모델명을 확인해 최신 펌웨어 배포 여부를 점검하고, 신뢰할 수 없는 장치를 임의로 PC에 연결하지 않는다. 공용 공간이나 사무실에서 타인이 손쉽게 장치에 접근할 수 있는 환경이라면, 사용하지 않을 때 카메라를 분리하거나 포트 잠금 장치를 활용한다. 운영체제에서 갑작스런 키 입력, 알 수 없는 장치 인식 팝업이 발생할 경우 즉시 연결 장치를 점검하고, 의심될 경우 해당 웹캠을 교체하는 것이 안전하다.
이번 사건은 “주변기기도 소프트웨어다”라는 사실을 상기시킨다. 카메라, 마이크, 허브, 독(dock) 등 일상적인 USB 장치는 더 이상 수동적 액세서리가 아니다. 펌웨어가 안전하지 않다면, 일반 사용자가 눈치채기 어려운 방식으로 시스템의 신뢰 경계를 우회할 수 있다. 제조사의 신속한 패치 배포는 환영할 만하지만, 사용자의 업데이트 실행과 조직 차원의 정책 강화 없이는 근본적 위험이 남는다. 취약 모델을 보유한 이용자는 지체 없이 펌웨어 4.8.0 이상으로 업데이트하고, USB 장치에 대한 신뢰 가정을 재설정해야 한다.
Related Materials
- Fortinet Warns About FortiSIEM Vulnerability (CVE-2025-25256) — 실질적 공격 코드 발견, 중요 SIEM 서비스 대상 RCE 취약점 상세 - The Hacker News, 2025년
- Fortinet warns about FortiSIEM vulnerability with in-the-wild exploit code (CVE-2025-25256) — 취약 버전 및 권고 패치, phMonitor 포트 보안 가이드 - Help Net Security, 2025년
- FortiSIEM exploited in the wild via OS command injection, Fortinet confirms — 국내외 기관 공격 사례, RCE 구조 및 IOC 파악 포인트 - SC World, 2025년
- Fortinet SIEM issue coincides with spike in brute-force, CVE-2025-25256 — 취약점 폭로 전후 공격자 활동·네트워크 이상 탐지 보고서 - CyberScoop, 2025년
CheifEditor
CheifEditor
CheifEditor
