브이엑스웍스 취약점 얼마 전에 공개됐으나 보안 전문가들 대부분 무관심
임베드 OS로 20억 대 넘는 장비에 심겨져 있어...세계 주식에 영향 줄 수도

[보안뉴스 문가용 기자] 최근 브이엑스웍스(VxWorks)에서 중요한 취약점이 발견됐었다. 하지만 대부분의 IT 및 보안 담당자들에게는 그리 실제적인 문제가 아닌 것처럼 받아들여졌다. 자동화 프로세스 제어나 건물 자동화 분야의 종사자들만 빼고는 말이다. 브이엑스웍스를 통한 사이버 공격에 당할 수 있다는 가능성을 아예 인지하지조차 못하고 있는 조직들이 대다수인 채로 남았다.


[이미지 = iclickart]

그래서 최근 리스크 평가 업체인 코브르(Kovrr)에서 브이엑스웍스 TCP/IP 관련 취약점이 어떤 의미를 가지고 있는지 해석해주려는 취지의 보고서를 새롭게 발표했다. 코브르의 공동 창립자인 샬롬 부블릴(Shalom Bublil)에 의하면 “브이엑스웍스는 현재 20억 대가 넘는 장비에 임베드 되어 있다”고 한다.

“가장 놀라운 건 생산 분야에서는 아주 흔하게 사용되고 있는 장비들에 브이엑스웍스가 임베드 되어 있는데, 그 수가 엄청나다는 겁니다. 저희도 이번에 조사를 하면서 처음 알게 된 사실인데, 아마 저희에게만 놀라운 건 아닐 겁니다.”

또한 브이엑스웍스에서 발견된 취약점으로 인한 공격은 데이터 유출만이 아니라 사업 운영과 서비스 제공을 중단시킬 수도 있다는 것도 많은 보안 전문가들이 간과하는 부분이라고 부블릴은 지적한다. “정보 유출도 심각한 문제죠. 그런데 이번 취약점의 위험성은 그걸 넘어섭니다. 고객의 필요를 채워줄 수 없게 되기 때문입니다.”

코브르는 아직 이러한 공격에 특히 취약한 업체들을 구체적으로 밝히지 않고 있다. 다만 “세계 주식 시장과 GDP에도 영향을 줄 수 있을 만한 기업들이 다수 포함되어 있다”고 설명했다. 또한 이 위험 요소가 발동되는 방식과 잠재적인 경제 비용에 대해서는 상세하게 밝히고 있다. “예를 들어 자동차 생산자가 가지고 있는 금전적인 위험을 액수로 환산하면 이론상 4,377,011,494 달러입니다. 공업 쪽으로 옮겨가면 110억 달러가 넘습니다.”

부블릴은 “브이엑스웍스에서 발견된 취약점을 기업들이 결국에는 해결할 것이 분명하지만 그 기간이 꽤나 길어질 것이 걱정된다”고 말한다. “브이엑스웍스 취약점을 오랜 시간 패치하지 못하는 건 기술적으로 부족해서가 아니라 사업 운영과 밀접하게 엮여있기 때문입니다. 사업상 멈출 수 없는 장비들에 많이 설치된 게 브이엑스웍스라서요. 기술 부족이라면 차라리 나을 상황입니다. 아마 많은 조직들이 당분간은 위험을 감수할 것입니다.”

여기에 더해 “브이엑스웍스를 포함하고 있는 장비들의 환경설정 상황 상 브이엑스웍스 OS가 눈에 띄지 않을 가능성이 높다는 것도 문제”라고 코브르의 보고서는 지적한다. “그렇다는 건 수많은 관계자 및 조직, 기능들이 공급망에 얽히고설켜 있다는 것도 제대로 인지가 되지 않는다는 뜻이고, 이 때문에 많은 생산 관련 조직들의 공급망도 취약한 상태라는 겁니다. 생산업체만의 문제가 아니라, 생산업체를 서드파티로 두고 있는 중소기업과 대기업들도 위험합니다.”

코브르는 “단 하나의 오류로 얼마나 많은 위험 가능성이 확산되는지 잘 드러내는 사례”라며 “임베디드 요소가 현대 네트워크 및 산업 환경에 보이지 않게 큰 역할을 담당하고 있으며, 사실상 거의 모든 곳에 편만하게 퍼져있다는 걸 깨달아야 한다”고 주장한다. “이런 요소들이 네트워크와 공급망 어디에 있는지 알고, 그에 대한 올바른 공격 시나리오를 갖춰서 대비하는 것이 중요합니다.”

3줄 요약
1. 얼마 전 발견된 브이엑스웍스 OS의 취약점, 공업 단지나 자동화 공장에서만의 문제일까?
2. 브이엑스웍스가 임베드 된 장비가 전 세계 20억 대가 넘음. GDP와 세계 주식에 영향을 미칠 수도 있음.
3. 임베드 요소들의 편만함에 대한 대책과 보안 전략이 필요함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>