오래된 네트워크와 현대 IP 기반 네트워크 사이의 트래픽을 변환해주는 장치
원격 익스플로잇 가능한 취약점 다수 나와...생산 프로세스 마비시키는 것도 가능

[보안뉴스 문가용 기자] ICS 프로토콜 게이트웨이는 작고 사소하며 큰 비중을 차지하지 않는 네트워크 장비들이다. 공장과 같은 산업 현장에서 조용히 운영되며, 오래된 유형의 네트워크와 IP 기반 네트워크가 트래픽을 교환할 수 있도록 중간에서 ‘해석자’ 역할을 해준다. 그런데 이 장비들에서 심각한 오류가 발견됐다. 익스플로잇 될 경우 공격자가 공장 전체의 프로세스를 장악할 수 있다고 한다.


[이미지 = utoimage]

보안 업체 트렌드 마이크로(Trend Micro)의 수석 연구 과학자인 마르코 볼두지(Marco Balduzzi)는 다음 달 ‘가상 행사’로 열릴 블랙햇(Black Hat)에서 이러한 내용에 대해 상세히 발표할 예정이다. 볼두지와 그의 팀원들은 다섯 개의 인기 높은 ICS 게이트웨이 제품들을 분석해 이러한 사실을 알아냈다고 한다. 이전에도 ICS 프로토콜 게이트웨이에 대한 분석이 있었으나 주로 소프트웨어나 프로토콜 자체에 대한 연구가 많았다. 볼두지의 연구는 프로토콜 변환 과정에 초점이 맞춰져 있었다고 한다.

“인기가 높고 널리 활용되고 있는 직렬 프로토콜인 모드버스(Modbus)의 변환 과정을 집중적으로 분석했습니다. 모드버스가 자동차 산업과 공장 시설에서 이미 수년 째 널리 사용되고 있는 프로토콜이라 이를 선택했습니다.” 하지만 다섯 개의 ICS 게이트웨이 제품의 명확한 이름은 아직까지 비공개로 남겨두고 있다. 미국, 유럽, 아시아 회사의 제품들이라는 것만 알려져 있다.

조사 결과 여러 가지 보안 구멍들이 발견됐다고 한다. 생산을 중단시킬 만한 디도스 공격을 가능케 하거나 권한을 상승시키는 구멍도 있었고, 클라우드 인터페이스인데 암호화 기술이 적용되지 않는 사례도 있었다. 온라인으로 데이터가 교환되는데, 전부 평문으로 진행되었다는 것이다. 하지만 볼두지 팀은 현재 시점에서 취약점의 상세 내용을 공개하지는 않았다.

“저희가 발견한 취약점들 대부분 다섯 개 제품에서 거의 공통으로 나타났습니다. ICS 게이트웨이 제품에 만연한 것으로 추측됩니다. 이 취약점들 중 트래픽을 전혀 엉뚱한 결과물로 전환시키게 하는 것들도 있었습니다. 사람으로 치면 번역가가 완전히 오역을 하는 건데요, 이는 심각한 사이버 공격으로 이어질 수 있습니다. 장비를 갑자기 끄거나, 알람을 잘못 울리게 하거나 하는 등 혼란을 주는 것이 가능하죠.”

볼두지와 그의 팀원이 가장 심각하다고 보는 건 권한을 상승시키는 취약점이라고 한다. 공격자들이 침투해 들어와 관리자 권한을 가져갈 수 있게 해주는 것이다. 이를 통해 공격자들은 각종 보안 장치들을 피해가 아무 장비에 접속할 수 있게 되고, 할 수 있는 일이 많아진다. “또한 저희가 이번에 찾아낸 취약점들 전부 원격에서 익스플로잇이 가능합니다. 다만 프로토콜 게이트웨이와 같은 네트워크에 접속해 있어야만 합니다.”

이번 연구 결과의 의의는 “관리자와 보안 담당자가 간과하기 쉬운 장비도 치명적인 공격에 활용될 수 있다는 사실을 증명했다는 것”이라고 볼두지는 설명한다. “보안은 어느 것 하나 놓쳐서는 안 되는 분야입니다. ICS 관련 구성 요소들 중 사소해 보이거나 작다고 해서 중요하지 않은 것은 없습니다. 특히 게이트웨이 제품들은 모든 프로토콜을 통과시키고 변환시키는 것으로, 세심한 관리가 필요합니다.”

3줄 요약
1. 산업 현장에서 오래된 네트워크와 현대적 네트워크 사이에 트래픽을 교환하게 해주는 장치인 프로토콜 게이트웨이.
2. 작고 사소하고 조용하기 때문에 위험하다고 여겨지지 않는 구성 요소.
3. 하지만 여기서 발견된 취약점을 익스플로잇 하면 생산 프로세스가 마비될 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>