3.20 사이버테러부터 ATM 해킹까지...북한의 주요 해킹 공격, PMS 취약점이 원인
PMS 연결포트·프로토콜 취약점, 명령어 유효성 검증 미흡, PMS 업체 영세성 문제

[보안뉴스 김경애 기자] 지난 2013년에 발생한 3.20 사이버테러에서부터 2015년 공기업 해킹사건, 2016년 정보보호 업체 및 방위산업체 해킹, 그리고 지난 3월 발생한 현금인출기 ATM 해킹 사건에 이르기까지 모두 한 가지 공통점이 있다. 해당 기관과 기업 모두 바로 PMS 취약점을 이용해 공격당했다는 점이다.


[이미지=iclickart]

패치관리 시스템(Patch Management System)을 의미하는 PMS는 백신, OA, OS 등 업데이트 관리 시스템으로, 북한에서 우리나라를 공격할 때 단골로 사용하는 게 PMS 취약점을 악용한 공격이다.

이러한 PMS 취약점에 대해 라온시큐어 이종호 연구원은 “최근 망분리를 활용해 보안성을 높이는데, 망들의 효율적인 소프트웨어 업데이트를 위해 PMS을 구축한다”며 “그러나 PMS의 경우 내·외부망과 연결될 수 있고, 해커가 이를 장악하게 되면 업데이트 기능을 이용해 모든 PC를 쉽게 장악할 수 있어 해커의 타깃이 되기 쉽다”고 우려했다.

PMS 취약점의 주요 원인으로는 △PMS와 연결되는 포트(Port) 취약점 △프로토콜 사용 취약점 △명령어에 대한 유효성 검증이 되지 않다는 점 △PMS 솔루션 공급 및 제조업체의 영세성 등이 문제로 꼽히고 있다.

PMS 포트 취약점과 관련해 한국인터넷진흥원 박문범 선임연구원은 “PMS 취약점은 북한에서 자주 이용하는 취약점 공격으로 지난 3월에 발생한 ATM 해킹사건의 경우 업데이트 서버의 특정 포트로 악의적인 명령어를 전송함으로써 소프트웨어 업데이트를 위해 특정 포트 접속을 대기중이던 내부 업데이트 서버를 장악했다”며 “서버를 장악한 해커는 업데이트 대상인 소프트웨어 사용 PC에 명령을 내리거나 악성코드에 감염시켰다”고 설명했다.

이는 PMS 포트로 접속하게 되면 PMS 프로토콜로 통신을 하기 때문이다. 따라서 PMS와 연결된 PC나 서버와의 통신에서 프로토콜상의 취약점이 발생하지 않도록 보안에 신경써야 한다는 지적이다.

이와 함께 프로그램에서 파일 점검을 제대로 하지 않아 망이 대규모로 감염된 북한의 공격사례를 언급한 박 선임연구원은 PMS 관리자 입장에서는 관리자가 승인하기 전 패치 파일이 PC로 전달되지 않도록 항상 확인하고, 가능한 PMS 서버가 인터넷에 연결되지 않도록 주의할 것을 당부했다.

다음으로 PMS 서버 업체에 대한 제품 보안성 검증도 강화돼야 한다는 지적이 나온다. 상당수 PMS 서버 업체는 영세기업으로 알려져 있다. 이러한 영세기업에서 제공한 보안성이 검증되지 않은 제품의 경우 프로토콜 사용에 있어 취약점에 노출될 확률이 높다는 것. 특히, 해커가 지령한 명령어에 대한 유효성이 검증되지 않으면 악성코드에 감염될 수 있다는 얘기다.

이와 관련 박문범 선임연구원은 “PMS를 개발하는 벤더사 입장에서는 PMS와 연결된 PC나 서버와의 통신에서 프로토콜 상의 취약점이 발생하지 않도록 주의해야 하고, 전송되는 파일의 무결성도 반드시 체크해야 한다”고 강조했다.

라온시큐어 이종호 연구원 역시 무결성 검증 절차를 강조하면서 “PMS 서버의 경우 서버와 클라이언트 양쪽에서의 접근인증과 바이너리상의 올바른 디지털 서명 체크 등 무결성 검증 절차를 반드시 거쳐야 한다”고 설명했다.

PMS를 사용하는 기업 입장에서는 PMS에 접근할 수 있는 권한을 최소화 하고 반드시 인가된 사용자만 접근할 수 있도록 해야 한다. 파일을 내부 PC로 배포할 때는 반드시 패치 파일에 대한 무결성을 체크하고, 추후 발생할 수 있는 사고에 효과적으로 대응하기 위해 업데이트 기록 등 모든 로그를 반드시 보존해야 한다는 게 보안전문가들의 설명이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>