• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

재난재해 경보 시스템에 있던 취약점, 책임감 있게 해결 2018.04.11

자기가 이사한 도시의 기반 시설 혼자서 점검해본 보안 전문가
취약점 발견 후 책임감 있게 공개...패치된 후 연구 성과 발표

[보안뉴스 문가용 기자] 허리케인, 토네이도, 지진 등 자연재해 발생 시 국가는 국민들에게 경고를 발령한다. 그런데 이 경고 시스템에서 취약점이 발견됐다. 이를 익스플로잇하면 비상 경고 체제를 원격의 공격자가 제어할 수 있게 되고, 실제 자연재해가 발생해도 이를 국민들에게 알릴 방법이 없어진다고 한다.

[이미지 = iclickart]


이 취약점은 현재 사이렌잭(SirenJack)이라는 이름으로 불리고 있으며, 암호화되지 않은 프로토콜과 관련된 것이라고만 알려져 있다. 당연한 얘기지만 취약점의 기술 세부 내용은 중요한 국가 기반 시스템에 영향이 있을 수 있어 비공개 처리되고 있다. 경보 시스템을 만들고 관리하는 ATI는 “패치가 된 상태”라고 발표했다.

외신에 의하면 보안 업체 바스틸의 분석가인 발린트 시버(Balint Seeber)가 이 취약점의 발견과 관련이 있다고 한다. 발린트 시버는 2016년 샌프란시스코로 이사를 오면서 도시 내 경보 시스템을 조사하기 시작했다. 사이렌이 샌프란시스코 곳곳에 퍼져 있었기에 가능한 일이었다. 살펴보니 무선 주파수를 잡는 안테나가 달려 있는 걸 알 수 있었고, 때문에 보안 상태가 궁금해졌다고 한다.

또한 샌프란시스코에서는 이러한 경보 시스템을 매주 화요일 점검한다는 것도 알게 됐다. 그래서 시버는 경보 시스템의 주파수를 파악해내고 분석하기 시작했다. “화요일만 되면 라디오 주파수를 찾기 시작했어요. 수백에서 수천 개의 신호를 분석하면서 수상한 것이 없나 찾기 위한 것이었죠. 시간이 조금 걸리는 과정이었습니다.” 시버의 설명이다.

분석을 하면서 시버는 깜짝 놀랐다고 한다. 경보 시스템에서 사용되는 주파수가 공공 서비스나 사회 기반 시설의 제어에 사용되는 것과 달랐기 때문이다. “라디오 아마추어들이 사용하는 주파수와 매우 가까웠어요. 그래서 아마존에서 30달러를 주고 휴대용 라디오를 구매했습니다. 라디오 아마추어들이 많이 사용하는 물건으로 골랐고, 이를 통해 모의 공격을 시도했습니다. 물론 노트북도 한 대 사용하긴 했습니다.”

주파수를 파악한 상태에서 시버는 전파를 분석하기 시작했다. 그리고 제어 신호들이 전송되는 과정에서 아무런 암호화 처리를 받지 않는다는 것을 발견했다. 즉 시버가 한 것과 같은 노력(그리 전문적이거나 기술적이지 않은 것이라고 그는 설명한다)만 들여도 시스템 제어와 관련된 신호를 가로챌 수 있다는 것이다.

여기까지 발견한 시버는 다른 도시로 옮겨 연구를 시작했다. 캔서스의 한 도시였다고 한다. “같은 취약점이 있는가 알아보기 위함이었습니다. 물론 사정은 같았습니다. 같은 방식으로 공격이 가능했어요.”

경보 시스템이 전부 다 같다고 말할 순 없지만, 시버는 “통신 프로토콜에 관한 정보를 가지고 있는 자라면 누구나 이러한 경보 시스템을 농락할 수 있다”고 말한다. “공격에 성공했을 때 경보를 멋대로 울리거나 끌 수 있게 되는 것만이 아닙니다. 공격자가 원하는 메시지를 일반 대중들에게 방송할 수 있게 됩니다. 누군가의 치명적인 선전 도구가 될 수 있는 것이죠.”

여기까지 연구를 진행한 시버는 바스틸의 이름으로 ATI에 이러한 사실을 알렸다. 시버는 “윤리적인 해킹 및 취약점 점검 사항들을 다 지켰고 책임감 있는 보고를 통해 문제를 해결하려 했다”고 강조했다. “오로지 ATI에게만 취약점을 알렸고, 90일 동안 패치를 기다렸습니다. ATI가 자체 조사와 연구를 통해 문제를 해결할 수 있도록 한 것이죠.”

ATI의 CEO인 레이 바시우니(Ray Bassiouni)는 “해킹 위험 가능성을 충분히 인지하고 있으며, 이러한 문제가 발생했을 경우 가장 높은 우선순위를 두고 해결하기 위해 애쓰고 있다”고 설명하며 “문제를 충분히 조사해 해결한 상태”라고 말했다.

시버는 패치까지 확인해보진 않았다고 말한다. 하지만 해결이 어려운 문제가 아니었기 때문에 ATI가 취약점을 잘 다뤘으리라고 보고 있다. “저희는 공공의 패닉을 야기하거나 국가 시스템에 대한 불신을 일으키기 위해 이 같은 연구를 한 게 아닙니다. 오히려 신뢰를 더 견고히 다지는 데 일조하기 위해 한 것이죠. 공익을 추구하지 않는다면, 제가 한 것은 일반적인 해킹과 다를 게 없습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>