• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

같은 암호키 돌려쓰는 임베디드 기기 문제점 심각하다 2016.09.07

4000여개 임베디드 기기에서 사용하는 암호키는 고작 580개
지난 11월에 이미 연구 마치고 경고했으나 오히려 취약한 기기 늘어

[보안뉴스 문가용] 애플리케이션 보안 서비스 제공업체인 SEC 컨설트(SEC Consult)가 라우터나 게이트웨이, 모뎀 등 임베디드 제품군들 사이에서 암호화 크리덴셜 재활용 문제가 확산되고 있다고 경고한 것이 벌써 9개월 전이다. 그런데 이 문제는 오히려 그때보다 더 심각해지고 있다. 이번 주 SEC 컨설트(SEC Consult)는 HTTPS 서버 인증서의 비밀키를 가진 웹 기기들이 지난 11월에 비해 40%나 증가했다고 발표했다. SEC 컨설트가 처음 이 문제를 세상에 알렸던 11월, 문제가 되는 기기는 약 3백 2십만 대였는데 현재는 4백 7십만 대로 증가한 것.

▲ 아, 몰라, 귀찮아.


SEC 컨설트는 또한 깃허브(GitHub)에 331개의 HTTPS 서버 인증서와 각 인증서에 할당된 비밀키들을 공개했다. 이는 인터넷 검색만으로 누구나 받아볼 수 있는 자료다. 또한 이 인증서와 키를 사용하는 제품들까지도 목록으로 만들어 공개했다.

이 자료를 공개한 것은 SEC 컨설트의 주장이 일방적이지 않다는 것을 증명하기 위해서이며, 이걸 계기로 많은 보안 전문가들이 더 많은 임베디드 기기를 확인해보도록 하기 위해서라고 업체 측은 설명했다. “저희도 비밀키를 공개한다는 게 어떤 무게감을 갖는지 잘 알고 있습니다. 함부로 해서는 안 될 행위라는 것도요. 하지만 이번에 공개된 비밀키들은 공격을 하고자 하는 의지가 강력한 해커들이라면 이미 누구나 취득할 수 있는 수준의 것들이었습니다.”

암호화 키를 재사용한다는 건 보안에 있어 매우 심각한 문제가 될 수 있다고 SEC 컨설트의 취약점 연구소장인 요하네스 그레일(Johannes Greil)은 설명한다. “이미 공개된 것이나 다름없는 비밀키는 중간자 공격을 가능하게 합니다. 중간자 공격을 할 수 있는 상태가 되면 해커들은 아무런 흔적 없이 기기들의 각종 보안 옵션을 조작할 수 있게 되죠.”

가장 큰 문제는 임베디드 제품들을 만들고 유통하는 업체들이 SSH 키와 HTTPS 서버 인증서를 하드코딩된 채로 남겨두는 경우가 굉장히 많다는 것이다. EAP/802.1X나 FTPS 등 여타 다른 프로토콜을 가지고도 웹을 통해 기기로 접근하는 것을 가능하게 하기 때문이다. 하지만 이 키와 인증서는 여러 제품에서도 이미 널리 사용되고 있는 것이기 때문에 익스플로잇이 쉽다. 이 내용은 지난 11월 SEC 컨설트가 발표했던 것과 하나도 다르지가 않다.

당시 SEC 컨설트는 70여개의 벤더가 만든 4천 개가 넘는 임베디드 기기들의 펌웨어를 분석했다. 특히 라우터, 모뎀, IP 카메라와 같은 기기들의 펌웨어 이미지 속에 있는 암호화 공공키, 비밀키, 인증서의 사용 실태에 집중했다. 그 결과 기기는 4000개가 넘는데 사용되고 있는 암호 비밀키는 580개에 불과하다는 것을 발견했다. 3백 20만 호스트가 사용하는 서버 인증서는 150여개, 1백만 호스트가 사용하는 SSH 호스트키는 겨우 80여개였다.

한 제품군이 몽땅 한 가지 인증서 혹은 비밀키를 사용하는 경우도 있었고, 벤더에 상관없이 널리 사용되는 비밀키도 있었다. “마치 업계 내에서 정해놓고 사용하는 암호키가 있는 것과 같은 분위기였습니다. 물론 그럴 리는 없죠. 어디선가 암호화 비밀키 및 인증서가 유출되거나 도난당했고, 그것이 또 여러 가지 제품에 적용된 것이 아닐까 합니다.”

SEC 컨설트는 현재 CERT/CC 기관과 함께 해당 벤더들에게 연락을 취하고 있다고 한다. 인터넷 제공 업체와 칩셋 제조사들도 연락 대상이다.

하지만 이 문제가 아직도 해결은커녕 오히려 심해지고 있다는 현상이 임베디드 기기 보안의 어려움을 더 극명하게 드러내고 있다. “사용자가 패치를 적용하지 않는다고 하더니, 제조사들도 마찬가지입니다. 자기들이 시장에 내놓은 제품들에 대한 책임을 지려하지 않아요. 한번 팔면 끝이라는 겁니다. 이는 사실 정책적으로 해결하는 수밖에 없습니다. 이런 보고서들을 통해 경각심을 심어주는 것만으로는 효과가 없어요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>