산업용 이더넷 스위치의 취약점들, 커뮤니티 내에서 대응해야
패치에 수개월에서 수년 걸리는 제조사만 기다려서는 너무 늦어
[보안뉴스 문가용] 산업용 이더넷 스위치(Industrial Ethernet Switch) 제품에서 취약점들이 발견되고 있는 가운데 제조사의 패치를 기다리기만 해서는 안 된다는 주장이 나왔다. SCADA 커뮤니티에서 이런 구성품의 취약점을 모니터링하고 직접 대응할 수 있다는 게 이 주장의 핵심이다.
산업용 이더넷 스위치 제품을 만드는 유명 기업으로는 가렛콤(Garrettcom), GE, 오픈기어(Opengear), 지멘스(Siemens) 등이 있는데, 보안 전문가들은 최근 이 브랜드 제품들에서 총 11개의 취약점을 발견했다. XSS 취약점부터 디폴트 키 익스플로잇 등 종류도 다양했다.
산업 제어 시스템(Industrial Control System, ICS)이나 SCADA 사용자 커뮤니티에서는 이런 취약점들이 발견될 때 ‘제조사가 패치해야 할 일’이라고 여기고 업데이트 소식을 기다리기만 하는데, 캠브리지대학 리스크연구센터의 에이리안 레버렛(Eireann Leverett) 보안전문가는 조금 다른 주장을 펼친다.
“물론 제조사도 더 신경을 써야 합니다. 그건 당연한 전제조건이죠. 하지만 사용자 커뮤니티도 잘 해야 합니다. 특히 ICS와 SCADA 사용자 커뮤니티는 다른 보안 커뮤니티와 달리 제조사의 업데이트만을 요구할 수는 없는 위치에 있다고 봅니다. 이미 드러난 많은 취약점들을 보면 제조사가 아닌 사용자도 충분히 모니터링하고 탐지해 조치를 취할 수 있는 것들입니다. 당하는 것도 우리고 피해를 보는 것도 우리라면, 목마른 사람이 우물을 파듯 우리가 좀 더 적극적으로 달려들 필요가 있어 보입니다. 넋 놓고 앉아 손가락질만 한다고 상황이 더 좋아지지 않죠.”
아이오액티브(IOActive)의 콜린 카사디(Colin Cassady) 컨설턴트도 레버렛에 동의한다. “산업용 이더넷 스위치를 보면요 사용자가 고치고 수정할 수 있는 환경설정 옵션이 많습니다. 즉 보안 상황에 따라 사용자가 얼마든지 손을 볼 수 있게끔 만들어졌다는 것이죠. 일일이 제조사를 찾아가 민원을 넣지 않아도 되도록 설계되었다는 겁니다.”
사이버전이 본격화되면서 정보보안은 ICS를 주목할 수밖에 없게 되었다. 산업용 이더넷 스위치란 변전소, 공장, 정제소, 항만, 산업자동화 시스템에 자주 사용되는 요소로, 공격자가 여기에 손을 대기 시작해 악성 펌웨어라도 심겨지게 되면 공장의 가동을 갑자기 중단하거나 원자로를 멈추게 할 수도 있기 때문이다.
그래서 보안전문가들을 ICS에서 최대한 많은 취약점을 찾아내려 애썼고, 성과가 있을 때마다 제조사에 알렸다. 하지만 패치가 하나 나오기까지 수개월이 걸리는 건 보통이고 어떤 건 1년이 넘기도 했다. 그렇기 때문에 얼마 전 오픈기어의 제품에서 발견된 CVE-2006-5229 취약점에 대한 패치가 1주일만에 나왔을 때 업계는 적잖이 놀란 것이다. 지멘스 같이 큰 회사도 패치 하나 내놓는 데 6개월씩 걸리는 게 이 계통이다.
“오픈기어 측에서는 자신들의 제품을 해킹한 것에 대해 소송을 걸기는커녕 오히려 문제점을 더 찾아달라고 부탁까지 해왔습니다. 자신들의 솔루션과 툴을 제공까지 해가면서요. 화이트해커들에겐 감사한 경우죠. 하지만 제조사가 다 이런 태도를 보이지는 않습니다.” 어떤 제조사들은 취약점을 알려주면 오히려 고소하겠다고 으름장을 놓기도 한다.
“보안점검을 하는 게 늘 인정받거나 칭찬받는 일이 아니기 때문에 다양한 전문가들이 필요합니다. 엔지니어, 오퍼레이터, 기술 보안 전문가, 관리자, 네트워크 전문가 등이죠. 이런 사람들의 다양한 시각이 합쳐질 때 분석하고자 하는 환경에 대한 보다 자세한 이해가 가능해지죠. 공격이 어떤 각도로, 어떤 층위에서 들어올지도 모르는 거고요.”
이런 사람들을 다 어디서 구하나? 바로 커뮤니티다. “다양한 사람들이 있다는 게 커뮤니티의 힘입니다. 다양한 전문가들의 다채로운 시각들이 모이면 당연히 공격의 징후가 더 빨리 발견됩니다. 취약점도 그렇고요. 네트워크 설계자, 오퍼레이터, 프로세스 엔지니어 등 IT 환경에 대한 이해가 남다른 사람들이 참여하면 더 그렇습니다. 물론 커뮤니티의 한계라는 것도 있죠. 자발성을 기초로 하기 때문에 관리가 힘들다는 것.”
결국 한번의 사고가 대단히 치명적으로 작용할 수 있는 부분이라면 사고의 책임을 묻는 기존 사고대응의 태도가, 실제 결과로 이어지는 적극적이고 긍정적인 태도로 바뀌어야 한다는 것이다. “쉽지 않을 거예요. 하지만 꼭 해볼 만한 가치가 있고, 불가능하지도 않습니다. 보안은 다 같이 하는 거라는 말, 가장 위험하기 때문에 가장 시급한 여기에서부터 시작해야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.png)
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
