해커들만 창의적이냐? 보안 담당자도 만만치 않다!
이들이 없었다면 더 큰 사고가 얼마든지 발생했을 수도

[보안뉴스 문가용] 2014년이 저물어간다. 이런 때 타깃(Target)을 시작으로 소니 픽처스까지 각종 해킹 사고로 얼룩진 한 해, 가장 우리에게 깊은 인상을 남긴 공격 방식 한 번 모아놓지 않으면 보안 전문 매체가 아니지만 그것은 또 다른 기사로 미루고, 먼저는 더 큰 사고가 일어날 수 있었지만 사전에 방지해준 화이트해커들의 눈에 띄는 업적을 모아보았다.
 

 ▲ 하얗게 불태웠어...
무기화된 PLC
프로그램 가능 로직 제어장치인 PLC는 제조 공장이나 발전소 같은 곳에 있는 기기들을 통제하는 시스템으로 파괴적인 목적을 가진 해커나 공격자들의 오랜 목표물이었다. 디지털 본드(Digital Bond)의 연구원이자 화이트 해커인 스티븐 힐트(Stephen Hilt)도 올해 초 낮은 가격의 해킹 도구를 사용해 문자 메시지만을 가지고 처리 제어 네트워크를 셧다운 시키는 방법을 고안해 냈다.

이 해킹 툴은 PLC폰(PLCpwn)이라고 명명되었으며 제작 비용이 총 400달러에 그쳤다. 제작 기간도 수주 정도 수준이었다. 이 해킹 툴만 있으면 외곽 방어막을 지나치고 에어 갭 네트워크도 뛰어 넘어 발전소의 밑바닥에 다다를 수 있다. “단 하나의 문자 메시지를 가지고 큰 손상을 입히는 게 가능해집니다. 예를 들어 STOP CPU라는 문자를 전송하면 부분 망 전체를 멈추게 할 수 있고요. 정보를 빼돌리는 기능에, 인젝션 공격도 가능하게 해줍니다.”

힐트는 해킹 툴 제작에 이전부터 디지털 본드에서 작성한 공격 모듈을 차용했고 5볼트짜리 라습베리 파이(Raspberry Pi) 보드에 듀얼콤 탭(DualComm Tap)과 드론셀(DroneCell) 카드를 사용했습니다.

TSA의 가방 검사기 속이기
삼엄하기로 유명한 미국 공항. 그런데 사실 무기나 반입 금지된 물품을 가지고 공항을 무사퇑과하는 게 그다지 어렵지 않은 것으로 드러났다. TSA 검사대에 있는  X-레이 스캐너의 레임 버그(lame bug)를 공격하면 말이다.

유명한 보안 전문가인 빌리 리오스(Billy Rios)와 테리 맥코클(Terry McCorkle)에 의하면 TSA에 있는 X-레이는 라피스칸 522B(Rapiscan 522) X-레이 시스템으로 스캐너 부분에 아주 커다란 보안 구멍이 있다. 그것도 여러 개. 사용자 정보가 평범한 텍스트 형태 그대로 저장되어 있고, 운영 체제는 패치도 되지 않은 윈도우 98이며, 밀수품 등을 여행객 가방에 비트맵 이미지로 주입하는 연습 기능 등 말이다. 로그인 절차도 취약해서 X-레이를 공략하는 게 그리 어렵지도 않다고 한다.

“사실 이는 취약점 중에서도 좀 낯 뜨거운 유형입니다. 보안에 대한 우리의 인식이 얼마나 낮은지 고스란히 드러내는 것이었기 때문이죠. 이걸 정부 기관에 보고하는 것조차도 굉장히 창피했어요, 사실. 그래서 이 취약점들을 ‘레임 버그(lame : 변변찮은)’라고 한 것이죠.”

위성의 지상 터미널 해킹
루벤 산타마르타(Ruben Santamarta)는 인공위성의 지상터미널 장비 중 인기리에 팔리고 있는 몇몇 제품군의 펌웨어서 치명적인 결함을 발견했다. 이 결함을 악용하면 위성을 통해 배, 비행기, 군사작전, 산업 시설, 긴급 상황 대처 서비스 등에 필요한 통신을 가로채 방해할 수 있다는 걸 드러낸 것이다.

공격자가 취할 수 있는 방법은 두 가지로 악성 펌웨어를 설치하거나 더 간편하게 SMS 문자 메시지를 전송해 통신을 스푸핑할 수 있게 된다. 운항 중인 배나 비행기로 가는 통신을 가로챌 수 있다는 것도 충분히 무서운 일인데, 이보다 더 무서운 가능성이 있으니 바로 위성 터미널에 있는 위상 데이터 유닛(Satellite Data Unit)이나 스위프트브로드밴드 유닛 (SwiftBroadband Unit) 인터페이스를 통제하는 것도 가능해진다는 것이다. 그런 경우 파일럿이 직접 사용하는 커뮤니케이션 채널에도 직접 손을 댈 수 있다. 운항을 넘어 조정 자체에 영향을 줄 수 있다는 것.

“이것 때문에 비행기가 추락할 거 같지는 않습니다만, 분명히 안전에 위협이 되는 점임은 분명합니다.” 이 취약점을 악용하려면 일단 물리적인 접근이 사실상 필수다. 또한 위성이라는 어렵고 어려운 전문 분야에 대한 높은 이해도가 있어야 한다.

스마트 홈 기기들, 의외로 허술
집안의 자동 온도 조절 장치인 네스트 러닝 서모스탯(Nest Learning Thermostat)이나 드롭캠(DropCam) 카메라에 누군가 물리적으로 접근할 수 있다면 말로만 듣던 나쁜 일들이 집안에서 벌어지게 된다. 그것도 아주 빨리. 이번 여름 화이트해커 그룹이 발견한 바에 의하면 잠깐의 물리적인 접촉만으로 공격자들이 이 두 기기를 마음대로 껐다가 켤 수 있게 된다. 그리고 사용자를 관찰하거나 네트워크를 통해 다른 기기를 추가로 공격할 수 있다.

센트럴 플로리다 대학의 연구원인 그란트 헤르난데스(Grant Hernandez)와 이어 진(Yier Jin), 그리고 프리랜서 연구원인 다니엘 부엔텔로(Daniel Buentello)는 올 여름에 열린 블랙햇에서 마이크로 USB 케이블만을 가지고 단 15초만에 네스트 러닝 서모스탯을 조작하고 백도어 멀웨어를 심을 수 있다는 걸 시연했다. 또한 이것으로 다른 네트워크형 가전 기기들까지 공격할 수 있다는 것도 증명했다. 이렇게 공격당한 전자기기를 들고 옆집에 놀러간다는 등의 이유로 다른 네트워크에 접속하게 되면, 그 순간 또 다른 공격이 일어나는 것도 가능해진다.

드롭캠은 웹캠의 일종으로 간편한 가정용 영상 감시 시스템이다. 영유아나 휴가 때 빈집을 원격에서 지켜보기 좋은 장치로 사용자가 늘어나고 있다. 하지만 이 역시 네스트 서모스탯처럼 해킹당할 수 있다. 올해의 데프콘에서 사이낵(Synack)의 연구원인 패트릭 워들(Patrick Wardle)과 콜비 무어(Colby Moore)는 와이파이 기반의 감시 카메라의 취약점을 공개했는데, 이 취약점을 잘 공략하면 영상을 가로채는 것뿐 아니라 마이크로 입력되는 소리도 조작할 수 있다. 드롭캠 카메라의 설정을 위해 연결시키는 컴퓨터에 멀웨어를 하나 심음으로써 카메라까지 간단히 장악하는 게 가능하다.

카스퍼스키의 연구원인 데이비드 제코비(David Jacoby)는 여기에 더해 자기 집을 스스로 해킹하기에 이르렀다. 스마트 TV, 위성 송신기, DVD/블루레이 플레이어, 네트워크 저장소, 게임 콘솔까지 전부 말이다. “사실 안전할 거라고 생각하고 해킹을 시작했습니다. 나름 15년 된 보안 전문가가 사는 집인데, 안전하지 않으면 더 이상한 거죠. 게다가 전 사실 굉장히 꼼꼼한 성격이거든요. 패치는 당연히 하나도 빼놓지 않고 하죠.”

하지만 그의 기대와는 달리 취약점들은 너무나 빨리, 무수히도 쏟아져 나왔다. 제일 처음은 네트워크에 연결된 저장소였다. 다음은 스마트 TV였고, 라우터에서도 취약점이 나왔다. 뚜껑을 여는 족족 취약점이 튀어나온 것 같았다. “저희 집의 무선 와이파이를 담당하고 있던 라우터에는 여태까지 몰랐던 위험한 기능들이 있었습니다. 누군가 마음만 먹으면 원격에서 집안 기기들을 조정할 수 있게 해주는 취약점이었죠. 저희 집에 이렇게 취약점이 많다니, 충격이었습니다.”

교통 제어 시스템의 파괴
보안 전문가인 케사르 세루도(Cesar Cerrudo)는 백팩을 메고 워싱톤과 뉴욕 등의 대도시를 돌아다녔다. 백팩 안에는 프로토타입 접근점(access point)이 들어있었다. 이 접근점으로 세루도는 교통 제어 시스템에 접근하는 실험을 감행했다. 그래서 수백 야드 밖에서 교통 제어 시스템에 접근하는 데 성공했다. 그것도 한두 개가 아니라 수백에 달하는 시스템에 말이다.

결국 이 실험을 통해 세루도는 교통 트래픽 센서 및 리피터 장비 수백 대가 취약하다는 결론에 도달할 수 있었다. 게다가 이 취약점이 불러올 결과라는 건 각종 교통 사고 및 트래픽 잼 등 가히 치명적이라 할 수 있는 것들이다. 게다가 이런 센서 및 리피터들 사이의 통신은 평범한 텍스트로 이루어져 있고 인증 과정도 없기 때문에 얼마든지 가로채고 가짜 메시지로 교체하는 게 가능하다.

센시스 네트웍스(Sensys Networks)에서 나온 센서들은 차량을 감지하고 그 정보를 활용해 교통 신호등의 타이밍을 계산하거나 거리 위에서 벌어진 특정 상황에 대해 경고를 송출하는 등의 조치를 취할 수 있게 된다. “그런데 그 정보를 스니핑하는 게 가능합니다. 뿐만 아니라 시스템 설정이 어떻게 되어있는지, 어떤 방식으로 작동하는지도 파악이 가능해지죠. 가짜 메시지를 심는 게 아주 쉽다는 겁니다.” 물론 이 공격을 성공시키려면 시스템 부속품들인 제어 시스템, 센서, 리피터의 위치를 잘 알고 있어야 한다.

최근 센시스는 자사 제품의 소프트웨어를 업데이트 했다. 하지만 세루도가 지적한 것들이 이 패치로 고쳐졌는지는 미지수다.

고약한 USB
이제는 USB를 함부로 믿는 것처럼 안이한 태도도 없다. 보안 전문가 카스튼 놀(Karsten Nohl)과 제이콥 렐(Jakob Lell)이 만든 배드USB(BadUSB)가 입증했듯이 한번 꼽기만 하면 네트워크 전체를 휘저을 수 있기 때문이다. 제작이 그리 어려운 것도 아니었다. 리버스 엔지니어링을 통해 펌웨어를 수정해 정보 탈취 기능 등이 탑재된 공격 무기로 개조한 것이다. 게다가 이 USB를 통한 공격이 실제로 발생했을 때 딱히 감지하거나 방어할 수 있는 수단이 없다는 것도 큰 문제다. 백신 소프트웨어 대부분은 펌웨어 단계까지 스캔하지 않기 때문이다.


멀웨어가 펌웨어에 설치되어 있기 때문에 포맷을 하고 OS를 다시 깐다고 해도 고쳐지지 않는다. 또한 사용자가 누르는 키보드인 것처럼 위장해 컴퓨터의 BIOS를 대체해 숨겨진 파일까지도 열람하는 게 가능하다니, USB를 무서워해야 하는 시대가 되었다.

NAS안에 벌레가
제이콥 홀콤(Jacob Holcomb은 스스로 복제하는 웜을 하나 만들었다. 이 웜은 네트워크를 스캔해서 그 네트워크에 연결된 저장 장치, NAS를 찾아낸다. 그리고 그 NAS가 취약점을 가지고 있을 경우 두 번째 공격을 감행해 기기를 장악하고 다음 NAS 기기를 찾아 나선다. 말 그대로 벌레가 증식하는 듯한 과정을 그대로 가지고 있는 것이다.

“멀웨어를 제작한 건 웜이나 네트워크 취약점이 가지고 있는 파급력을 직접 시연하기 위해서였습니다. 직접 볼 수 있게 해주면 이해가 빠르고 더 널리 퍼질 것이라고 생각한 것이죠. 그런데 6개월 후에 제 웜이 실제 해커들의 손에서 악용되고 있다는 사실을 발견하고는 경악을 했습니다.” 그만큼 그의 화이트해킹 실력이 실제 해커들에 비해 손색없음이 드러난 것이기도 하다.

홀콤은 백엔드에 있는 저장장치에 있는 취약점을 지난 1년간 꾸준하게 연구해왔다. 시게이트, D-Link, 레노보, 버팔로, 큐냅, 웨스턴 디지털, 넷기어, HP, 시놀로지 등 그의 손을 거치지 않은 브랜드는 없다고 봐도 무방하다. “저희의 일상 대부분이 결국은 ‘저장소’에 의존하고 있을 수밖에 없습니다. 그게 스토리지 장치 취약점이 가진 파급력이죠. 저장소는 이제 시대의 필수품이라는 거요.”
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>