미국에서 열리는 블랙햇 컨퍼런스에서 시작부터 ‘폭탄’이 터졌다. 오래된 암호화 통신 프로토콜인 테트라 및 관련 장비들에서 어마어마한 양의 제로데이 취약점들이 공개됐기 때문이다. 오랜 시간 문제 없이 잘 써와서 안전하다고 여겼던 것들에서 문제가 나타나고 있다.

[보안뉴스 문정후 기자] 테트라(TETRA)라는 통신 프로토콜에서 최근 새로운 취약점이 발견되었다. 이 프로토콜은 산업 제어 시스템을 운영하는 데 사용되는데, 거의 모든 국가들이 사용한다고 해도 과언이 아니다. 즉 대단히 민감한 내용이 테트라를 통해 오간다는 것이다. 그런데 이런 테트라의 통신 알고리즘을 실행하고 해독하는 과정에서 민감한 정보가 노출될 수 있다는 경고가 얼마 전에 나왔었다.


테트라는 유럽 전기통신 표준화 기구(ETSI)의 지원을 받아 개발된 양방향 암호화 통신 표준이다. 경찰과 군의 작전 및 비상 상황에서 사용되는 것은 물론, 유틸리티 회사, 철도, 지하철 노선, 발전소, 정유소 및 화학 공장과 같은 산업 분야에서도 활용되고 있다.

미드나잇블루(Midnight Blue)라는 회사의 창립 파트너인 바우터 복슬라그(Wouter Bokslag)는 이번 주 개최된 블랙햇(Black Hat USA)컨퍼런스에서 자세한 내용을 발표했다. 복슬라그에 의하면 테트라 통신은 ‘신뢰할 수 있는 실행 환경(TEE)’ 내에서 구축될 때가 많은데, 외부 공격자가 바로 이 TEE를 공격하여 테트라 내부의 통신 정보를 해독하고 암호화된 키를 획득할 수 있게 된다고 밝혔다. 즉, 지난 수십년 동안 “안전할 거야”라고 당연하게 생각해 왔던 것이 그렇지 않다는 것이다.

다만 “테트라라는 암호화 통신 체제를 완전히 해킹한 것은 아니”라고 복슬라그는 강조했다. “암호화 키를 획득하는 방법 하나를 발견한 것입니다. 이것만으로도 충분히 테트라 통신 체계가 위험해졌다고 말할 수 있습니다만, 그렇다고 테트라 자체가 완전히 무너진 것이라고 할 수도 없습니다.”

이 연구는 다음 네 가지 제로데이 취약점을 기반으로 진행됐다고 복슬라그는 공개했다.
1) CVE-2022-26941 : 임의 코드 실행 취약점으로 공격자가 루트 권한을 가져갈 수 있게 된다.
2) CVE-2022-26943 : 랜덤 숫자 생성기 (RNG)의 취약점이며, 공격자가 라디오의 DCK 고정 취약점 (CVE-2022-24400)을 악용할 수 있게 해 준다.
3) CVE-2022-26942 : 임의 코드 실행 취약점으로 공격자들이 가장 높은 권한을 가져갈 수 있게 해 준다.
4) CVE-2022-27813 : 애플리케이션 프로세서에서 디지털 시그널 프로세서로 횡적 움직임을 가능하게 해 준다.

“이 네 가지 취약점을 익스플로잇 하는 데 성공할 경우 공격자는 테트라가 구축된 장비 내부에 접근할 수 있게 되며 민감한 키 정보를 추출하여 사실상 테트라 망 통신을 도청할 수 있게 됩니다.” 복슬라그의 설명이다. “테트라 암호화 알고리즘이 사용되었는지와는 상관없이 작동하며, 복호화를 시도하는 것보다 훨씬 간단하게 비슷한 효과를 누릴 수 있게 됩니다. 다만 물리적인 접근이 필요합니다.”

칩 내 버그
복슬라그가 테트라의 취약점을 발굴하기 위해 사용한 것은 모토롤라(Motorola) 라디오에서 사용되는 OMAP-L138 시스템온칩(SoC) 장비였다. 여기에서도 제로데이 취약점이 발견됐다고 한다. 테트라와 관련된 문제와 접목된다면 이 취약점들 때문에 문제가 더욱 복잡해질 수 있다고 복슬라그는 강조했다. “여러 공급업체의 테트라 기지국에서 널리 사용되는 장비입니다. 다른 제품들에도 상당히 많이 도입되어 있고요.” OMAP-L138 시스템온칩의 취약점은 다음과 같다.

1) CVE-2022-25332: TEE SK_LOAD에서 테트라 암호화 알고리즘을 복호화 할 수 있게 해 주는 취약점으로, 패치가 불가능하다.
2) CVE-2022-25334: TEE SK_LOAD 서명 관련 필드에서 스택 오버플로우를 일으켜 공격자가 TEE 내에서 임의의 코드 실행을 할 수 있게 해 준다.
3) CVE-2022-25333: TEE SK_LOAD의 오류로 인해 공격자가 악성 모듈을 위조하고 TEE 내에서 임의의 코드 실행을 할 수 있게 해 준다. 이것 역시 TEE 보안 아키텍처를 파괴하는 결과를 가져오며, 루틴이 마스크 ROM에 구현되어 있어 패치가 불가능하다.

기지국 버그
미드나잇블루 측은 테트라 기지국을 공격 플랫폼으로 변환시켜주는 개념 증명용 공격 도구를 개발했고, 이를 통해 모토롤라 MBTS 테트라 기지국에서 다섯 가지 추가 제로데이 취약점을 발견했다고도 공개했다. 이 중 세 가지가 초고위험도로 분류되고 있어 빠른 조치가 필요하다고 복슬라그는 강조했다. “기지국에 물리적으로 접근할 수 있다면 공격자가 키 정보를 추출하거나 키를 교체함으로써 지속적으로 기지국에 접근할 수 있게 됩니다.” 취약점들은 다음과 같다.

1) CVE-2023-23770: MBTS 사이트 컨트롤러에 하드코딩된 백도어 비밀번호를 이용하여 장치의 설정 내용을 변경할 수 있게 해 준다.
2) CVE-2023-23771: MBTS 기지 라디오에 하드코딩된 백도어 비밀번호를 이용하여 장치의 설정 내용을 변경할 수 있게 해 준다.
3) CVE-2023-23772: MBTS 사이트 컨트롤러가 펌웨어의 신뢰성을 검증하지 않아 공격자가 임의의 코드를 실행할 수 있게 된다.
4) CVE-2023-23773: MBTS 기지 라디오가 펌웨어의 신뢰성을 검증하지 않아 공격자가 임의의 코드를 실행할 수 있게 된다.
5) CVE-2023-23774: MBTS 사이트 컨트롤러의 디버그 프롬프트를 통해 임의의 코드를 실행하는 게 가능하게 만든다.

복슬라그는 모토롤라의 MBTS가 오래된 모델이라는 점을 지적한다. “MBTS가 만들어질 당시에는 보안을 고려하지 않은 제품들이 세상에 나왔었죠. 그게 지금까지 활발히 사용되기 때문에 문제가 되기 시작하는 것이고요. 우리 주변에 이런 시스템들이 상당히 많을 겁니다. 그런 오래된 시스템들을 찾아내 현대화시키거나 좀더 현대적인 것으로 대체하는 것이 앞으로 필요할 겁니다.”

글 : 댄 레이우드(Dan Raywood), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>