미국 산 물 관리 제어 기술에서 발견된 다양한 취약점...제조사는 묵묵부답

요약 : 보안 외신 시큐리티위크에 의하면 물 공급 및 관리 장치들에서 사용되는 시스템에서 취약점이 발견됐다고 한다. 미국의 프로펌프앤컨트롤즈(ProPump and Controls)라는 기업에서 만든 오스프리 펌프 컨트롤러(Osprey Pump Controller)에서 발견된 문제들로, 원격 코드 실행, XSS, CSRF, 인증 우회, 명령 주입, 백도어 접근, 파일 노출, 세션 하이재킹 등을 가능하게 한다고 한다. 한 마디로 종합 선물세트와 같은 기술이었던 것이다. 하지만 프로펌프앤컨트롤즈 측은 그 어떤 연락에도 대응을 하지 않고 있으며, 따라서 많은 사용 기업들이 위험에 노출되어 있는 상황이라고 한다.


배경 : 오스프리 펌프 컨트롤러는 골프 코스 관리, 공공 수자원 관리 및 제어 등 다양한 조직에서 사용되는 사물인터넷 기술이다. 사물인터넷 장비 제조사들은 보안을 고려하지 않은 채 제품을 설계하는 경우가 대다수이며, 이 때문에 사물인터넷 생태계는 갖가지 취약점들로 넘쳐난다. 게다가 대응마저 느린 편인데, 이번 사건으로 사물인터넷 생태계의 전형적인 약점이 드러났다.

말말말 : “공격자가 제어 시스템에 침투한 후 수질을 현저히 바꿀 수 있고, 그렇게 함으로써 적잖은 사회적 혼란을 야기할 수 있습니다.” -제로사이언스랩(Zero Science Lab)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>