트렉의 소프트웨어 라이브러리에서 발견된 여러 취약점의 통칭, 리플20
의료 업계 장비들은 대단히 오래되었고, 보안 강화가 의료비 상승시킬 수도 있어
[보안뉴스 문가용 기자] 이번 달 초 JSOF의 보안 전문가들이 리플20(Ripple20)이라고 통칭되는 취약점들을 발견했다. 기업 내 사용되는 IoT 장비들을 위협하는 것으로 생산 시설과 의료 분야 등이 특히 위험한 것으로 나타났다. 공격자들이 리플20을 성공적으로 익스플로잇 할 경우, IoT 장비를 통해 조직 전체의 네트워크에 침투할 수 있게 된다.
[이미지 = utoimage]
리플20은 소프트웨어 업체인 트렉(Treck)이 개발한 TCP/IP 소프트웨어 라이브러리에 존재한다. 문제는 이 라이브러리가 수많은 IoT 장비에 삽입되고 있다는 것으로, 사용자 기업 입장에서는 스스로 리플20에 노출되어 있는지 아닌지 확실히 인지 못하고 있을 가능성이 높다. 리플20은 여러 취약점을 통칭하는 것으로, 작고 사소한 버그부터 디도스나 정보 노출, 원격 코드 실행까지 이어지는 대형 취약점까지 포함되어 있다.
최근 보안 업체 사이버MDX(CyberMDX)는 리플20에 대한 보고서를 추가로 발표하며 “의료 업계가 특히 더 위험할 수 있다”고 경고했다. 왜냐하면 추가 연구 조사를 통해 백스터(Baxter)의 인퓨전 펌프, 브라운(Braun)의 인퓨전 펌프, 케어스트림(Carestream)의 여러 제품들, 슈나이더(Schneider)의 UPS 장비, 디지(Digi) 네트워크 도구, HP 프린터, 리코(Ricoh) 프린터 등에서 리플20이 고루 발견되었기 때문이다. 이 장비들은 병원과 의료 기관에서 흔히 볼 수 있는 것들이라고 한다.
사이버MDX의 수석 연구원인 엘라드 루즈(Elad Luz)는 “병원 안에서 사용되는 각종 장비들에서 리플20 취약점을 다수 발견할 수 있었다”며 “진찰과 의료 행위에 직접 사용되는 장비와, 병원 인프라를 구성하는 장비 양쪽에서 모두 이러한 점들이 나타났다”고 밝혔다. “대부분 병원에는 여러 대의 인퓨전 펌프를 사용하죠. 만약 공격자가 이 취약점들을 성공적으로 익스플로잇 한다면 환자에 주입되는 약의 양을 마음대로 조정할 수도 있습니다. 물리적 피해를 일으킬 수 있다는 것이죠.”
병원에 사이버 공격을 가하는 자들은 보통 ‘돈’을 목적으로 삼고 있었다. 아직까지 생명을 직접적으로 건드리는 행위는 발견되지 않았었다. 대부분 랜섬웨어로 병원 운영을 마비시키고 돈을 내라고 협박하거나, 환자들의 진찰 정보를 다크웹에 파는 선에서 그쳤다. 그러나 루즈는 “시장은 언제나 변하기 마련”이라며 “어떤 공격자가 나타나 생명을 직접 겨누는 공격을 할지 아무도 모르는 것”이라고 말한다. “솔직히 시간 문제라고 생각합니다.”
취약한 의료 업계 장비들
병원의 의료 행위가 점점 더 디지털화 되고 온라인으로 플랫폼이 옮겨감에 따라 사이버 보안 문제는 더 심각해지고 있다. 병원은 환자들의 치료가 목적인 곳으로, 의료 연구와 행위에 대부분의 자원과 역량을 투자한다. 따라서 보안은 소홀해지기 쉽다. 또한 최근 들어 도입되고 있는 ‘텔레메디슨’ 즉 원격 의료 행위 역시 보안의 구멍으로서 작용할 가능성이 크다. 여기에 보안 강화 과정이 추가되면 의료비가 더 높아질 것이 우려되고 있는 상황이라 ‘병원도 보안을 강화하라’고 쉽게 말할 수 없는 상황이다.
“현실은, 수많은 병원에서 이미 디지털화 된 치료 및 진찰 장비를 15~20년 동안 사용하고 있다는 것이고, 이를 통해 사이버 공격이 발생한 건 극히 드물다는 것입니다. 병원이 갑자기 보안에 귀를 기울일 이유가 없습니다. 하지만 현재 제기되고 있는 우려들은 전혀 다른 차원의 위협입니다.” 의료 기술 전문 회사인 벡턴, 디킨슨 앤 컴파니(Becton, Dickinson and Company)의 CISO인 롭 수아레즈(Rob Suarez)의 설명이다. 보안의 필요성을 현장에서 덜 느낄 수밖에 없지만, 현실은 그렇지 않다는 것이다.
그가 말하는 새로운 위협이란 사물인터넷 생태계에서 발생하는 위협들이다. 그 중에서도 의료 장비들은 특히 더 위험하다고 루즈는 주장한다. “사물인터넷 의료 장비들이 더 위험한 이유는, 현재 사용되는 것들이 대부분 엄청나게 오래되었기 때문입니다. 10~20년은 족히 넘죠. 게다가 제조사들도 제각각이라 취약점도 전부 다르고 다양합니다. 설계 오류가 나타난 것도 많아 사실상 소프트웨어 패치가 어렵습니다. 게다가 가격도 비싸서 함부로 최신식으로 바꾸라고 권할 수도 없죠.”
다행히 리플20은 코딩에서 나타난 오류들이라, 소프트웨어 패치로 해결이 가능하다. “다만 병원 측에서 이러한 소식을 전혀 모르고 있는 경우가 많습니다. 리플20 취약점이 있다는 것도 모르고, 그런 취약점에 대한 패치가 있다는 것도 더더욱 모릅니다. 사물인터넷 보안 문제는, 철저히 보안 업계 내에서만 회자되다가 사그라집니다. 병원과 같은 곳들에 좀 더 다가가고, 병원은 좀 더 보안의 말을 들어야 하는데 그 간극이 사라지지 않고 있습니다.”
병원이 할 수 있는 일
트렉은 리플20에 대한 패치를 전부 진행해 새로운 버전의 소프트웨어 라이브러리를 발표했다. 6.0.1.67 버전이다. 문제는 트렉이 장비들에 자동 업데이트를 적용할 수 없다는 것이다. 장비를 만든 벤더들이 해야 하는 일이다. 트렉은 벤더들을 위해 개발자 키트를 배포하고 있기도 하다. 벤더들은 이 키트를 적용해 자사 제품들에 대한 펌웨어 업데이트를 개발한 후 배포할 수 있다.
병원은? “제일 먼저 취약한 장비가 어디에 얼마나 있는지부터 파악해야 하는데, 이것부터 어려운 일입니다. 대형 병원의 보안 담당자가 1만개가 넘는 장비들, 게다가 제조사도 다르고 모델도 제각각인 기계들 속에서 취약점을 찾는 건 대단히 어려운 일일 겁니다. 그런 후에는 각 벤더에 연락해 펌웨어 업데이트를 요청하고 받아서 적용해야 하겠지요. 험난한 과정입니다.”
3줄 요약
1. 얼마 전 사물인터넷 장비들 대다수에서 발견된 리플 20 취약점, 다시 연구됨.
2. 현장에서 조사해보니 병원에 있는 장비들이 특히 위험한 것으로 나타남.
3. 최악의 경우 환자 생명도 위협할 수 있는데, 병원은 보안 강화할 여력이 안 됨.
[국제부 문가용 기자(globoan@boannews.com)]
의료 업계 장비들은 대단히 오래되었고, 보안 강화가 의료비 상승시킬 수도 있어
[보안뉴스 문가용 기자] 이번 달 초 JSOF의 보안 전문가들이 리플20(Ripple20)이라고 통칭되는 취약점들을 발견했다. 기업 내 사용되는 IoT 장비들을 위협하는 것으로 생산 시설과 의료 분야 등이 특히 위험한 것으로 나타났다. 공격자들이 리플20을 성공적으로 익스플로잇 할 경우, IoT 장비를 통해 조직 전체의 네트워크에 침투할 수 있게 된다.
[이미지 = utoimage]
리플20은 소프트웨어 업체인 트렉(Treck)이 개발한 TCP/IP 소프트웨어 라이브러리에 존재한다. 문제는 이 라이브러리가 수많은 IoT 장비에 삽입되고 있다는 것으로, 사용자 기업 입장에서는 스스로 리플20에 노출되어 있는지 아닌지 확실히 인지 못하고 있을 가능성이 높다. 리플20은 여러 취약점을 통칭하는 것으로, 작고 사소한 버그부터 디도스나 정보 노출, 원격 코드 실행까지 이어지는 대형 취약점까지 포함되어 있다.
최근 보안 업체 사이버MDX(CyberMDX)는 리플20에 대한 보고서를 추가로 발표하며 “의료 업계가 특히 더 위험할 수 있다”고 경고했다. 왜냐하면 추가 연구 조사를 통해 백스터(Baxter)의 인퓨전 펌프, 브라운(Braun)의 인퓨전 펌프, 케어스트림(Carestream)의 여러 제품들, 슈나이더(Schneider)의 UPS 장비, 디지(Digi) 네트워크 도구, HP 프린터, 리코(Ricoh) 프린터 등에서 리플20이 고루 발견되었기 때문이다. 이 장비들은 병원과 의료 기관에서 흔히 볼 수 있는 것들이라고 한다.
사이버MDX의 수석 연구원인 엘라드 루즈(Elad Luz)는 “병원 안에서 사용되는 각종 장비들에서 리플20 취약점을 다수 발견할 수 있었다”며 “진찰과 의료 행위에 직접 사용되는 장비와, 병원 인프라를 구성하는 장비 양쪽에서 모두 이러한 점들이 나타났다”고 밝혔다. “대부분 병원에는 여러 대의 인퓨전 펌프를 사용하죠. 만약 공격자가 이 취약점들을 성공적으로 익스플로잇 한다면 환자에 주입되는 약의 양을 마음대로 조정할 수도 있습니다. 물리적 피해를 일으킬 수 있다는 것이죠.”
병원에 사이버 공격을 가하는 자들은 보통 ‘돈’을 목적으로 삼고 있었다. 아직까지 생명을 직접적으로 건드리는 행위는 발견되지 않았었다. 대부분 랜섬웨어로 병원 운영을 마비시키고 돈을 내라고 협박하거나, 환자들의 진찰 정보를 다크웹에 파는 선에서 그쳤다. 그러나 루즈는 “시장은 언제나 변하기 마련”이라며 “어떤 공격자가 나타나 생명을 직접 겨누는 공격을 할지 아무도 모르는 것”이라고 말한다. “솔직히 시간 문제라고 생각합니다.”
취약한 의료 업계 장비들
병원의 의료 행위가 점점 더 디지털화 되고 온라인으로 플랫폼이 옮겨감에 따라 사이버 보안 문제는 더 심각해지고 있다. 병원은 환자들의 치료가 목적인 곳으로, 의료 연구와 행위에 대부분의 자원과 역량을 투자한다. 따라서 보안은 소홀해지기 쉽다. 또한 최근 들어 도입되고 있는 ‘텔레메디슨’ 즉 원격 의료 행위 역시 보안의 구멍으로서 작용할 가능성이 크다. 여기에 보안 강화 과정이 추가되면 의료비가 더 높아질 것이 우려되고 있는 상황이라 ‘병원도 보안을 강화하라’고 쉽게 말할 수 없는 상황이다.
“현실은, 수많은 병원에서 이미 디지털화 된 치료 및 진찰 장비를 15~20년 동안 사용하고 있다는 것이고, 이를 통해 사이버 공격이 발생한 건 극히 드물다는 것입니다. 병원이 갑자기 보안에 귀를 기울일 이유가 없습니다. 하지만 현재 제기되고 있는 우려들은 전혀 다른 차원의 위협입니다.” 의료 기술 전문 회사인 벡턴, 디킨슨 앤 컴파니(Becton, Dickinson and Company)의 CISO인 롭 수아레즈(Rob Suarez)의 설명이다. 보안의 필요성을 현장에서 덜 느낄 수밖에 없지만, 현실은 그렇지 않다는 것이다.
그가 말하는 새로운 위협이란 사물인터넷 생태계에서 발생하는 위협들이다. 그 중에서도 의료 장비들은 특히 더 위험하다고 루즈는 주장한다. “사물인터넷 의료 장비들이 더 위험한 이유는, 현재 사용되는 것들이 대부분 엄청나게 오래되었기 때문입니다. 10~20년은 족히 넘죠. 게다가 제조사들도 제각각이라 취약점도 전부 다르고 다양합니다. 설계 오류가 나타난 것도 많아 사실상 소프트웨어 패치가 어렵습니다. 게다가 가격도 비싸서 함부로 최신식으로 바꾸라고 권할 수도 없죠.”
다행히 리플20은 코딩에서 나타난 오류들이라, 소프트웨어 패치로 해결이 가능하다. “다만 병원 측에서 이러한 소식을 전혀 모르고 있는 경우가 많습니다. 리플20 취약점이 있다는 것도 모르고, 그런 취약점에 대한 패치가 있다는 것도 더더욱 모릅니다. 사물인터넷 보안 문제는, 철저히 보안 업계 내에서만 회자되다가 사그라집니다. 병원과 같은 곳들에 좀 더 다가가고, 병원은 좀 더 보안의 말을 들어야 하는데 그 간극이 사라지지 않고 있습니다.”
병원이 할 수 있는 일
트렉은 리플20에 대한 패치를 전부 진행해 새로운 버전의 소프트웨어 라이브러리를 발표했다. 6.0.1.67 버전이다. 문제는 트렉이 장비들에 자동 업데이트를 적용할 수 없다는 것이다. 장비를 만든 벤더들이 해야 하는 일이다. 트렉은 벤더들을 위해 개발자 키트를 배포하고 있기도 하다. 벤더들은 이 키트를 적용해 자사 제품들에 대한 펌웨어 업데이트를 개발한 후 배포할 수 있다.
병원은? “제일 먼저 취약한 장비가 어디에 얼마나 있는지부터 파악해야 하는데, 이것부터 어려운 일입니다. 대형 병원의 보안 담당자가 1만개가 넘는 장비들, 게다가 제조사도 다르고 모델도 제각각인 기계들 속에서 취약점을 찾는 건 대단히 어려운 일일 겁니다. 그런 후에는 각 벤더에 연락해 펌웨어 업데이트를 요청하고 받아서 적용해야 하겠지요. 험난한 과정입니다.”
3줄 요약
1. 얼마 전 사물인터넷 장비들 대다수에서 발견된 리플 20 취약점, 다시 연구됨.
2. 현장에서 조사해보니 병원에 있는 장비들이 특히 위험한 것으로 나타남.
3. 최악의 경우 환자 생명도 위협할 수 있는데, 병원은 보안 강화할 여력이 안 됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
