산업 장비 제조사인 로크웰오토메이션의 유명 PLC 장비에서 취약점이 두 개 발견됐다. 패치하지 않을 경우 공격자들은 스턱스넷 공격을 할 수 있게 된다고 한다. 두 취약점은 고위험군 이상으로 분류됐다. 문제가 된 장비들이 워낙 여러 곳에서 사용되고 있어 주의가 요구된다.
[보안뉴스 문가용 기자] 유명 산업 장비 제조사인 로크웰오토메이션(Rockwell Automation)의 PLC 플랫폼에서 두 개의 고위험군 취약점이 발견됐다. 이 취약점들을 익스플로잇 하는 데 성공할 경우 공격자들은 자동화 프로세스를 조작함으로써 생산이나 관리 등 여러 가지 운영 사항들을 중단하거나 마비시킬 수 있게 된다. 또한 물리적 피해를 입힐 가능성도 충분하다고 한다.
[이미지 = utoimage]
이 취약점들을 발견한 건 보안 업체 클래로티(Claroty)로, 스턱스넷(Stuxnet)과 유사한 공격을 가능하게 한다고 한다. “비정상적인 행동으로 인한 경보를 발동시키지 않고 악성 코드를 실행시킬 수 있게 해 준다는 측면에서 특히 그렇습니다.” 로크웰 측은 보안 권고문을 발표해 해당 취약점에 대해 고객들이 조치를 취할 수 있도록 하고 있다.
미국의 사이버 보안 전담 기관인 CISA도 이 사태를 심각하게 인지하고 있으며, 조속한 취약점 패치를 촉구하는 보안 경고문을 발표했다. 뿐만 아니라 탐지를 보다 빠르고 쉽게 하게 하고, 위험을 완화시킬 수 있는 방법들도 고안하고 적용하라고 촉구했다. CISA는 이번에 발견된 취약점들이 전 세계 사회 기반 시설 관련 업체들에 영향을 주는 것이므로 주의를 기울여야 한다고 강조했다. 또한 원격 코드 실행 취약점이 가진 태생적 위험 역시 강조됐다.
원격 익스플로잇이 취약점
취약점 중 하나는 CVE-2022-1161이며, 위험도 점수에서 10점을 기록했을 정도로 심각한 것으로 분석됐다. 위에서 경고된 원격 익스플로잇 취약점이 바로 이것이다. 로크웰의 콘트롤로직스(ControlLogix), 콤팩트로직스(CompactLogix), 가드로직스(GuardLogix)에 탑재된 PLC 펌웨어에서 발견됐다. 이 세 가지 제품은 로크웰 PLC 제품군 중 주력 상품이라고 볼 수 있는 것들이라고 클래로티의 부회장 아미르 프레밍어(Amir Preminger)는 말한다. “즉 자동차, 식료품, 에너지 등 각종 산업에서 흔히 볼 수 있는 제품들이라는 뜻이죠. 이번에 발견된 취약점이 거의 모든 산업에 영향을 미칠 수 있다는 겁니다.”
프레밍어는 CVE-2022-1161에 대해 “PLC에 실행파일 혹은 바이트코드가 저장된다는 사실과 관련이 있다”고 설명한다. “그리고 소스코드(텍스트 코드)가 PLC에 따로 저장되죠. 그래서 공격자들은 이 바이트코드를 소스코드 변경 없이 조작할 수 있게 됩니다. PLC에서는 이 둘이 반드시 호환되지 않아도 되도록 만들어져 있죠. 악성 코드로 변경된 바이트코드가 실행되도 텍스트 코드에는 아무런 변화가 없습니다. 그래서 경보가 울리지 않고요.” 클래로티는 이러한 문제에 노출된 로크웰 PLC 모델이 총 17개 있다고 발표했다.
코드 주입 취약점
두 번째 취약점은 CVE-2022-1159로, 로크웰의 스튜디오5000 로직스 디자이너(Studio 5000 Logix Designer)라는 소프트웨어에서 발견됐다. 이 소프트웨어는 엔지니어들이 PLC를 프로그래밍 하는 데에 사용된다. 엔지니어는 이 소프트웨어를 사용해 로직을 새롭게 개발하고 컴파일링 하여 옮길 수 있게 된다. OT 엔지니어들은 자주 이런 방식을 통해 복잡한 PLC를 제어하거나 업그레이드 한다. 꽤나 중요한 요소에서 발견된 취약점이라는 것이다.
프레밍어는 “스튜디오 5000 로직스 디자이너 소프트웨어에서 발견된 취약점 덕분에 공격자는 코드 컴파일링 과정을 중간에서 가로채거나, 악성 코드를 주입할 수 있게 된다”고 설명한다. “때문에 어떤 경보도 울리지 않은 채 PLC에 악성 코드를 실행시키는 게 가능해집니다. 컴파일링이 되고 있는 과정 중에 코드를 변경시킬 수 있게 되니 사용자가 알아채기가 무척 힘들기도 하죠. 엔지니어가 의도하는 것과 전혀 다른 방향으로 PLC를 변경시킬 수 있게 됩니다.” 이 취약점에는 7.7점이 부여됐다.
스턱스넷과 유사한 공격이 가능?
이 두 가지 취약점으로 공격자들이 할 수 있는 일은 결국 “PLC의 논리 흐름을 변경시켜 새로운 명령이 실행되도록 하는 것”이라고 프레밍어는 설명한다. “그리고 이를 통해 물리적인 영향을 주는 것 역시 가능합니다. 엔진 가동 속도를 급작스럽게 높인다거나, 화학 물질의 배합 비율을 망가트린다거나 하는 일들을 할 수 있다는 겁니다. 바로 수십 년 전 스턱스넷(Stuxnet)이 실행했던 공격이죠. OT 세계에서 파괴적인 사이버 공격의 대명사처럼 여겨졌던 스턱스넷 공격이 지금 구현 가능한 상태가 되었다는 뜻입니다. 스턱스넷도 이란의 핵 시설 내 원심분리기 속도를 높여 예상하기 힘든 피해를 야기시켰죠.”
ICS 시스템 내에 존재하는 위협들에 대해서는 오래 전부터 이야기가 나왔었다. 하지만 최근 들어 그 위협의 수위는 급속도로 높아졌다. 클래로티가 조사한 바에 의하면 2021년 한 해 동안 ICS에서 발견된 취약점의 양은 2020년에 비해 52% 증가했다고 한다. 2019년과 2020년 사이의 증가 비율은 25%였는데 말이다. 그 중 장비 제조사가 공개하지 않았던 취약점들이 21개나 되었다. 보안 전문가들과 사이버 공격자들이 이전보다 더 적극적으로 ICS 버그를 연구하고 있다는 뜻이 된다. 실제 미국 정부는 사회 기반 시설의 보안에 대한 투자 규모를 크게 확대하고 있기도 하다.
4줄 요약
1. 로크웰오토메이션 대표 PLC 제품들에서 초고위험군과 고위험군 취약점 발견됨.
2. 초고위험도 취약점은 원격 코드 실행을 가능하게 하는 취약점.
3. 고위험도 취약점은 코드 주입 취약점.
4. 두 개를 합하면 스턱스넷과 비슷한 공격을 하는 게 가능해짐.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 유명 산업 장비 제조사인 로크웰오토메이션(Rockwell Automation)의 PLC 플랫폼에서 두 개의 고위험군 취약점이 발견됐다. 이 취약점들을 익스플로잇 하는 데 성공할 경우 공격자들은 자동화 프로세스를 조작함으로써 생산이나 관리 등 여러 가지 운영 사항들을 중단하거나 마비시킬 수 있게 된다. 또한 물리적 피해를 입힐 가능성도 충분하다고 한다.
[이미지 = utoimage]
이 취약점들을 발견한 건 보안 업체 클래로티(Claroty)로, 스턱스넷(Stuxnet)과 유사한 공격을 가능하게 한다고 한다. “비정상적인 행동으로 인한 경보를 발동시키지 않고 악성 코드를 실행시킬 수 있게 해 준다는 측면에서 특히 그렇습니다.” 로크웰 측은 보안 권고문을 발표해 해당 취약점에 대해 고객들이 조치를 취할 수 있도록 하고 있다.
미국의 사이버 보안 전담 기관인 CISA도 이 사태를 심각하게 인지하고 있으며, 조속한 취약점 패치를 촉구하는 보안 경고문을 발표했다. 뿐만 아니라 탐지를 보다 빠르고 쉽게 하게 하고, 위험을 완화시킬 수 있는 방법들도 고안하고 적용하라고 촉구했다. CISA는 이번에 발견된 취약점들이 전 세계 사회 기반 시설 관련 업체들에 영향을 주는 것이므로 주의를 기울여야 한다고 강조했다. 또한 원격 코드 실행 취약점이 가진 태생적 위험 역시 강조됐다.
원격 익스플로잇이 취약점
취약점 중 하나는 CVE-2022-1161이며, 위험도 점수에서 10점을 기록했을 정도로 심각한 것으로 분석됐다. 위에서 경고된 원격 익스플로잇 취약점이 바로 이것이다. 로크웰의 콘트롤로직스(ControlLogix), 콤팩트로직스(CompactLogix), 가드로직스(GuardLogix)에 탑재된 PLC 펌웨어에서 발견됐다. 이 세 가지 제품은 로크웰 PLC 제품군 중 주력 상품이라고 볼 수 있는 것들이라고 클래로티의 부회장 아미르 프레밍어(Amir Preminger)는 말한다. “즉 자동차, 식료품, 에너지 등 각종 산업에서 흔히 볼 수 있는 제품들이라는 뜻이죠. 이번에 발견된 취약점이 거의 모든 산업에 영향을 미칠 수 있다는 겁니다.”
프레밍어는 CVE-2022-1161에 대해 “PLC에 실행파일 혹은 바이트코드가 저장된다는 사실과 관련이 있다”고 설명한다. “그리고 소스코드(텍스트 코드)가 PLC에 따로 저장되죠. 그래서 공격자들은 이 바이트코드를 소스코드 변경 없이 조작할 수 있게 됩니다. PLC에서는 이 둘이 반드시 호환되지 않아도 되도록 만들어져 있죠. 악성 코드로 변경된 바이트코드가 실행되도 텍스트 코드에는 아무런 변화가 없습니다. 그래서 경보가 울리지 않고요.” 클래로티는 이러한 문제에 노출된 로크웰 PLC 모델이 총 17개 있다고 발표했다.
코드 주입 취약점
두 번째 취약점은 CVE-2022-1159로, 로크웰의 스튜디오5000 로직스 디자이너(Studio 5000 Logix Designer)라는 소프트웨어에서 발견됐다. 이 소프트웨어는 엔지니어들이 PLC를 프로그래밍 하는 데에 사용된다. 엔지니어는 이 소프트웨어를 사용해 로직을 새롭게 개발하고 컴파일링 하여 옮길 수 있게 된다. OT 엔지니어들은 자주 이런 방식을 통해 복잡한 PLC를 제어하거나 업그레이드 한다. 꽤나 중요한 요소에서 발견된 취약점이라는 것이다.
프레밍어는 “스튜디오 5000 로직스 디자이너 소프트웨어에서 발견된 취약점 덕분에 공격자는 코드 컴파일링 과정을 중간에서 가로채거나, 악성 코드를 주입할 수 있게 된다”고 설명한다. “때문에 어떤 경보도 울리지 않은 채 PLC에 악성 코드를 실행시키는 게 가능해집니다. 컴파일링이 되고 있는 과정 중에 코드를 변경시킬 수 있게 되니 사용자가 알아채기가 무척 힘들기도 하죠. 엔지니어가 의도하는 것과 전혀 다른 방향으로 PLC를 변경시킬 수 있게 됩니다.” 이 취약점에는 7.7점이 부여됐다.
스턱스넷과 유사한 공격이 가능?
이 두 가지 취약점으로 공격자들이 할 수 있는 일은 결국 “PLC의 논리 흐름을 변경시켜 새로운 명령이 실행되도록 하는 것”이라고 프레밍어는 설명한다. “그리고 이를 통해 물리적인 영향을 주는 것 역시 가능합니다. 엔진 가동 속도를 급작스럽게 높인다거나, 화학 물질의 배합 비율을 망가트린다거나 하는 일들을 할 수 있다는 겁니다. 바로 수십 년 전 스턱스넷(Stuxnet)이 실행했던 공격이죠. OT 세계에서 파괴적인 사이버 공격의 대명사처럼 여겨졌던 스턱스넷 공격이 지금 구현 가능한 상태가 되었다는 뜻입니다. 스턱스넷도 이란의 핵 시설 내 원심분리기 속도를 높여 예상하기 힘든 피해를 야기시켰죠.”
ICS 시스템 내에 존재하는 위협들에 대해서는 오래 전부터 이야기가 나왔었다. 하지만 최근 들어 그 위협의 수위는 급속도로 높아졌다. 클래로티가 조사한 바에 의하면 2021년 한 해 동안 ICS에서 발견된 취약점의 양은 2020년에 비해 52% 증가했다고 한다. 2019년과 2020년 사이의 증가 비율은 25%였는데 말이다. 그 중 장비 제조사가 공개하지 않았던 취약점들이 21개나 되었다. 보안 전문가들과 사이버 공격자들이 이전보다 더 적극적으로 ICS 버그를 연구하고 있다는 뜻이 된다. 실제 미국 정부는 사회 기반 시설의 보안에 대한 투자 규모를 크게 확대하고 있기도 하다.
4줄 요약
1. 로크웰오토메이션 대표 PLC 제품들에서 초고위험군과 고위험군 취약점 발견됨.
2. 초고위험도 취약점은 원격 코드 실행을 가능하게 하는 취약점.
3. 고위험도 취약점은 코드 주입 취약점.
4. 두 개를 합하면 스턱스넷과 비슷한 공격을 하는 게 가능해짐.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
