지난해 OT 환경 내 취약점의 20%가 기업망 연결되는 원격 접근 취약점
초기 설정된 비밀번호 재변경 없이 사용하거나 인증과정 및 접근제어 미흡으로 사고 발생
패치 및 업데이트 적용과 강력한 인증 사용 등 7가지 대응 노하우 준수 필요
[보안뉴스 김영명 기자] 운영기술(Operation Technology, OT) 시스템에서 인증 취약점이 눈에 띄게 증가하고 있다. 최근 발표된 보고서들에 따르면 OT 장치에 대한 공격이 지속해서 증가하는 것으로 나타났다. 특히 주목할 만한 점은 제조 시 설정된 기본 비밀번호를 여전히 사용하거나 기초적인 수준의 인증 과정이나 접근제어가 미흡해 발생하는 사건사고가 적지 않다는 것이다.
[이미지=gettyimagesbank]
인증보안 전문기업 센스톤은 최근 OT 환경에서 인증 취약점이 증가하는 것과 관련해 원인과 대응전략에 대해 분석했다. OT 시스템을 공격하는 경로는 처음에 기업 네트워크에 접근한 후 OT 네트워크로 이동해 ICS 네트워크 내부의 깊숙한 시스템을 손상시키는 방식이 자주 목격된다. 팔로알토 네트웍스가 발표한 ‘Unit 42 Attack Surface Threat Report’에 따르면, 지난해에 이러한 취약점 중 20%가 기업망으로 연결되는 원격 접근 취약점이었으며, 나머지 80%는 ICS 네트워크 내부에 위치했다. 이 가운데 62%는 퍼듀(Purdue) 모델의 0-3 레벨에서 발견된 취약점에 해당한다.
OT 환경에서의 인증 취약점 예시를 살펴보면 다음과 같다. 먼저 CVE-2022-30242 및 CVE-2022-30245는 2022년 5월 4일까지 하니웰(Honeywell) Alerton Ascent Control Module(ACM)에서 발견된 취약점으로 인증되지 않은 원격 사용자가 컨트롤러의 설정을 변경할 수 있게 하는 취약점이다.
CVE-2022-46650 및 CVE-2022-46649는 알레오스(ALEOS) 소프트웨어 4.16 버전 이전의 Acemanager에서 발견된 취약점이다. 이 취약점은 유효한 자격 증명을 가진 사용자가 장치를 재구성할 수 있으며, 로그인 전 상태 페이지에 ACEManager 자격 증명이 노출된다. 이를 통해 ACEManager 인터페이스에 접근한 공격자는 이러한 자격 증명을 볼 수 있거나 조작할 수 있으며, 이는 무단 접근으로 이어질 수도 있다.
또한, CVE-2023-27394는 오스프리(Osprey) Pump Controller 1.01 버전에서 발견된, 인증되지 않은 운영체제 명령어 주입 취약점이다. 공격자는 HTTP GET 매개변수를 통해 임의의 셸 명령어를 주입하고 실행할 수 있으며, 이를 통해 장치에 무단으로 접근하거나 제어할 수 있다.
이와 함께 CVE-2021-30116는 카세야(Kaseya) VSA(Virtual System Administrator) 소프트웨어 9.5.7 버전 이전에서 발견된 취약점으로, 자격증명이 누출될 수 있다. 실제로 이 취약점은 2021년 7월에 악용되기도 했다. 이 자격증명은 로그인 및 인증에 사용될 수 있으며, 그 이후 공격에서 인증을 우회하는 데 사용될 수 있는 세션 쿠키를 반환한다.
▲2023년 OT 취약점의 20%는 원격 접근 취약점, 62%는 퍼듀 모델의 0-3 레벨에서 발견된 취약점이었다[자료=팔로알토 네트웍스]
소프트웨어 카세야 VSA 사례로 살펴본 인증 취약점 악용
2021년 7월 2일, 레빌(REvil) 랜섬웨어 그룹에 의해 카세야 VSA 랜섬웨어 공격이 발생했다. 이 공격을 간략하게 살펴보면 크게 4단계로 구분할 수 있다. 먼저 ‘취약점 악용’이다. 해커는 카세야의 VSA 소프트웨어에서 발견된 취약점인 CVE-2021-30116을 악용했으며, 이를 통해 카세야 VSA 서버에 접근할 수 있었다.
두 번째로 ‘랜섬웨어 배포’다. 시스템에 침투한 해커는 카세야 VSA가 관리하는 엔드포인트에 레빌 랜섬웨어를 배포했다. 이는 MSP(Managed Service Provider)와 그들의 고객을 포함해 1,000개 이상의 기업에 광범위한 다운타임을 초래했다.
다음은 ‘대응 및 영향’이다. 카세야는 공격 사실을 인지한 후 VSA SaaS 인프라를 중단하고 온프레미스 고객들에게 VSA 서버를 종료하라는 통보를 했다. 이 공격은 소프트웨어 공급망과 정교한 랜섬웨어 그룹이 제기하는 심각한 위협을 부각시켰다.
마지막으로 ‘후속 조치’다. 이 사건은 신속한 패치 적용과 강력한 보안 조치의 중요성을 강조했다. 이와 함께 소프트웨어 공급망 보안에 대한 관심을 높이고, 보다 나은 사고대응 전략의 필요성을 일깨우는 계기가 됐다.
OT 취약점 관리를 위한 노하우 7가지
OT 취약점 관리는 산업 환경에서의 보안을 강화하는 데 필수다. 따라서 효과적인 OT 취약점 관리에 도움이 되는 몇 가지 팁을 살펴본다. 먼저 ‘패치 및 업데이트 적용’이다. 모든 소프트웨어와 펌웨어를 최신 패치로 업데이트하는 것으로 이는 알려진 취약점을 수정하는 데 매우 중요하다.
다음으로 ‘강력한 인증 사용’이다. 고유하고 강력한 비밀번호를 사용하고, 다중 요소 인증(MFA)을 고려해 보안 수준을 한층 더 강화해야 한다.
세 번째로 ‘네트워크 분할’이 있다. 네트워크를 분할해 중요한 시스템을 별도로 격리하고, 권한이 있는 인원만 접근할 수 있도록 조치하는 것이 필요하다.
‘정기적인 보안 감사’도 중요하다. 정기적인 보안 감사 및 취약점 평가를 실시해 잠재적인 약점을 식별하고 해결해야 한다.
다음은 ‘불필요한 서비스 비활성화’다. 사용자는 공격 표면을 줄이기 위해 필요하지 않은 서비스나 기능을 비활성화할 필요가 있다.
여섯 번째는 ‘활동 모니터링 및 로그 기록’의 사용이다. 비정상적인 활동을 감지하고 잠재적인 위협에 신속히 대응할 수 있도록 모니터링과 로그 기록을 구현하는 것이 중요하다.
마지막으로 ‘직원 교육’이 있다. 직원들에게 보안 모범 사례와 보안 프로토콜을 준수하는 것의 중요성을 꾸준히 교육한다면 OT 취약점 관리에 많은 도움이 될 것으로 보인다.
[김영명 기자(boan@boannews.com)]
초기 설정된 비밀번호 재변경 없이 사용하거나 인증과정 및 접근제어 미흡으로 사고 발생
패치 및 업데이트 적용과 강력한 인증 사용 등 7가지 대응 노하우 준수 필요
[보안뉴스 김영명 기자] 운영기술(Operation Technology, OT) 시스템에서 인증 취약점이 눈에 띄게 증가하고 있다. 최근 발표된 보고서들에 따르면 OT 장치에 대한 공격이 지속해서 증가하는 것으로 나타났다. 특히 주목할 만한 점은 제조 시 설정된 기본 비밀번호를 여전히 사용하거나 기초적인 수준의 인증 과정이나 접근제어가 미흡해 발생하는 사건사고가 적지 않다는 것이다.
[이미지=gettyimagesbank]
인증보안 전문기업 센스톤은 최근 OT 환경에서 인증 취약점이 증가하는 것과 관련해 원인과 대응전략에 대해 분석했다. OT 시스템을 공격하는 경로는 처음에 기업 네트워크에 접근한 후 OT 네트워크로 이동해 ICS 네트워크 내부의 깊숙한 시스템을 손상시키는 방식이 자주 목격된다. 팔로알토 네트웍스가 발표한 ‘Unit 42 Attack Surface Threat Report’에 따르면, 지난해에 이러한 취약점 중 20%가 기업망으로 연결되는 원격 접근 취약점이었으며, 나머지 80%는 ICS 네트워크 내부에 위치했다. 이 가운데 62%는 퍼듀(Purdue) 모델의 0-3 레벨에서 발견된 취약점에 해당한다.
OT 환경에서의 인증 취약점 예시를 살펴보면 다음과 같다. 먼저 CVE-2022-30242 및 CVE-2022-30245는 2022년 5월 4일까지 하니웰(Honeywell) Alerton Ascent Control Module(ACM)에서 발견된 취약점으로 인증되지 않은 원격 사용자가 컨트롤러의 설정을 변경할 수 있게 하는 취약점이다.
CVE-2022-46650 및 CVE-2022-46649는 알레오스(ALEOS) 소프트웨어 4.16 버전 이전의 Acemanager에서 발견된 취약점이다. 이 취약점은 유효한 자격 증명을 가진 사용자가 장치를 재구성할 수 있으며, 로그인 전 상태 페이지에 ACEManager 자격 증명이 노출된다. 이를 통해 ACEManager 인터페이스에 접근한 공격자는 이러한 자격 증명을 볼 수 있거나 조작할 수 있으며, 이는 무단 접근으로 이어질 수도 있다.
또한, CVE-2023-27394는 오스프리(Osprey) Pump Controller 1.01 버전에서 발견된, 인증되지 않은 운영체제 명령어 주입 취약점이다. 공격자는 HTTP GET 매개변수를 통해 임의의 셸 명령어를 주입하고 실행할 수 있으며, 이를 통해 장치에 무단으로 접근하거나 제어할 수 있다.
이와 함께 CVE-2021-30116는 카세야(Kaseya) VSA(Virtual System Administrator) 소프트웨어 9.5.7 버전 이전에서 발견된 취약점으로, 자격증명이 누출될 수 있다. 실제로 이 취약점은 2021년 7월에 악용되기도 했다. 이 자격증명은 로그인 및 인증에 사용될 수 있으며, 그 이후 공격에서 인증을 우회하는 데 사용될 수 있는 세션 쿠키를 반환한다.
▲2023년 OT 취약점의 20%는 원격 접근 취약점, 62%는 퍼듀 모델의 0-3 레벨에서 발견된 취약점이었다[자료=팔로알토 네트웍스]
소프트웨어 카세야 VSA 사례로 살펴본 인증 취약점 악용
2021년 7월 2일, 레빌(REvil) 랜섬웨어 그룹에 의해 카세야 VSA 랜섬웨어 공격이 발생했다. 이 공격을 간략하게 살펴보면 크게 4단계로 구분할 수 있다. 먼저 ‘취약점 악용’이다. 해커는 카세야의 VSA 소프트웨어에서 발견된 취약점인 CVE-2021-30116을 악용했으며, 이를 통해 카세야 VSA 서버에 접근할 수 있었다.
두 번째로 ‘랜섬웨어 배포’다. 시스템에 침투한 해커는 카세야 VSA가 관리하는 엔드포인트에 레빌 랜섬웨어를 배포했다. 이는 MSP(Managed Service Provider)와 그들의 고객을 포함해 1,000개 이상의 기업에 광범위한 다운타임을 초래했다.
다음은 ‘대응 및 영향’이다. 카세야는 공격 사실을 인지한 후 VSA SaaS 인프라를 중단하고 온프레미스 고객들에게 VSA 서버를 종료하라는 통보를 했다. 이 공격은 소프트웨어 공급망과 정교한 랜섬웨어 그룹이 제기하는 심각한 위협을 부각시켰다.
마지막으로 ‘후속 조치’다. 이 사건은 신속한 패치 적용과 강력한 보안 조치의 중요성을 강조했다. 이와 함께 소프트웨어 공급망 보안에 대한 관심을 높이고, 보다 나은 사고대응 전략의 필요성을 일깨우는 계기가 됐다.
OT 취약점 관리를 위한 노하우 7가지
OT 취약점 관리는 산업 환경에서의 보안을 강화하는 데 필수다. 따라서 효과적인 OT 취약점 관리에 도움이 되는 몇 가지 팁을 살펴본다. 먼저 ‘패치 및 업데이트 적용’이다. 모든 소프트웨어와 펌웨어를 최신 패치로 업데이트하는 것으로 이는 알려진 취약점을 수정하는 데 매우 중요하다.
다음으로 ‘강력한 인증 사용’이다. 고유하고 강력한 비밀번호를 사용하고, 다중 요소 인증(MFA)을 고려해 보안 수준을 한층 더 강화해야 한다.
세 번째로 ‘네트워크 분할’이 있다. 네트워크를 분할해 중요한 시스템을 별도로 격리하고, 권한이 있는 인원만 접근할 수 있도록 조치하는 것이 필요하다.
‘정기적인 보안 감사’도 중요하다. 정기적인 보안 감사 및 취약점 평가를 실시해 잠재적인 약점을 식별하고 해결해야 한다.
다음은 ‘불필요한 서비스 비활성화’다. 사용자는 공격 표면을 줄이기 위해 필요하지 않은 서비스나 기능을 비활성화할 필요가 있다.
여섯 번째는 ‘활동 모니터링 및 로그 기록’의 사용이다. 비정상적인 활동을 감지하고 잠재적인 위협에 신속히 대응할 수 있도록 모니터링과 로그 기록을 구현하는 것이 중요하다.
마지막으로 ‘직원 교육’이 있다. 직원들에게 보안 모범 사례와 보안 프로토콜을 준수하는 것의 중요성을 꾸준히 교육한다면 OT 취약점 관리에 많은 도움이 될 것으로 보인다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
