주유부터 결제까지, 자동화 관리 가능케 해주는 사이트오맷
미국과 인도에서 주로 사용돼...해킹 기술 낮아도 해킹 가능

[보안뉴스 문가용 기자] 전 세계 주유소가 원격 해킹 공격에 노출되어 있다고 카스퍼스키가 보안 커뮤니티에 알려왔다. 보다 정확히 말하면 많은 주유소에서 사용하고 있는 관리 소프트웨어에서 취약점이 발견된 것이다.


문제의 제품은 사이트오맷(SiteOmat)으로 오팍(Orpak)이란 회사가 만든 솔루션이다. 오팍에 의하면 사이트오맷은 “주유소의 심장”과 같은 기능을 한다. 임베드된 리눅스 기기나 표준 PC에서 모두 작동하며, 완벽하고 안전한 자동화 운영을 가능케 해준다고 홍보된다. 주유 기기는 물론 각종 지불 단말기, 기름 탱크, 기록과 거래 관리까지 모두 이 솔루션으로 할 수 있다.

하지만 카스퍼스키의 보안 전문가들은 “다양한 기능을 가진 건 사실이지만 안전한 건 사실이 아니다”라고 말한다. 그러면서 “현재 이 솔루션을 사용하고 있는 주유소 모두 시스템으로의 불법적인 원격 접근을 허용하고 있는 상태”라고 설명한다. 이 솔루션은 특히 미국과 인도의 주유소에서 많이 활용되고 있는 것으로 나타났다.

카스퍼스키는 “주유 시스템 자체는 인터넷과 분리되어 있을 줄 알았는데, 연구를 진행하다보니 그게 아니더라”라고 말하며 “실상은 인터넷을 통해 실력이 낮은 아마추어 해커들조차도 주유소 네트워크에 접속해 주유 시스템에 접근해 통제권을 장악할 수 있는 상태”라고 그 심각성에 대해 말했다.

심지어 사이트오맷에서 발견된 취약점들은 다양한 목적으로 익스플로잇 될 수도 있다. “연료 가격을 변경시킬 수도 있고, 아예 주유가 되지 않도록 조작할 수도 있습니다. 아니면 기름이 어디론가 새나가도록 할 수도 있고요.”

네트워크에 침투한 해커들은 횡적으로 움직이며 지불 시스템으로도 침투할 수 있다. 거기서부터는 금융 정보, 고객 정보, 각종 문건, 라이선스 정보, 차량 정보, 면허증 정보 등도 해커의 것이 된다. “간단하게는 운영을 못하게 막고, 돈을 내라고 요구할 수도 있죠. 마치 랜섬웨어 사용하듯이요.”

사이트오맷에서 발견된 취약점은 한두 개가 아니다.
1) 하드코드된 크리덴셜(CVE-2017-14728)
2) XSS(CVE-2017-14850)
3) SQL 인젝션(CVE-2017-14851)
4) 통신 취약점(CVE-2017-14852)
5) 코드 인젝션(CVE-2017-14853)
6) 원격 코드 실행(CVE-2017-14854)

게다가 제조사인 오팍은 사이트오맷의 기술 정보와 사용자 매뉴얼을 찾기 쉽게 공개하기도 했다. 그렇기 때문에 실력이 좋은 해커들에겐 더 없이 좋은 표적이 될 수 있다고 카스퍼스키는 경고했다.

카스퍼스키는 이미 지난 9월 오팍에 이러한 사실을 통보했다. 오팍은 한 달 후 안전한 버전을 개발 중에 있다는 답장을 보내왔다. 그러나 그것이 오늘까지 마지막 답장이었으며, 그 어떤 패치나 업데이트를 배포한 적이 없다고 카스퍼스키는 말했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>