• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 주유소 5천여 곳의 주요 장비에서 취약점 발견 2018.05.31

탱크 게이지 장비, 공공 인터넷에 고스란히 노출돼 있어
3년 전 지적된 사안...하지만 아무런 변화 없어...사업에 큰 지장 초래 가능

[보안뉴스 문가용 기자] 3년 전 미국의 주유소가 발칵 뒤집힌 일이 있었다. 자동 탱그 계량기(ATG) 약 5천 대가 비밀번호와 같은 기본적인 보호 장치 없이 공공 인터넷에 노출되어 있었던 것이다. 3년이 지난 최근 다시 스캔을 해보니 5635대가 정확히 같은 문제를 겪고 있었다.

[이미지 = iclickart]


3년 전 주유소들에서 문제를 발견한 건 보안 업체 래피드7(Rapid7)의 수석 연구 책임자인 HD 무어(HD Moore)였다. 그는 ATG 기기들의 TCP 포트 10001번이 인터넷에 그대로 열려 있다는 사실을 알아내고, 이를 발표했다.

에너지 산업 내 기술 전문 기업인 보스턴베이스(BostonBase)의 CEO 잭 샤도위츠(Jack Chadowitz)는 “기존의 문제가 그대로 남아있을 뿐만 아니라 또 다른 취약점도 발견했다”고 말한다. 문제가 발견된 곳은 Vedeer-Root TLS450 탱크 게이지로, 이는 PCI DSS 규정 위반과 이어질 수도 있다고 지적한다.

샤오위츠에 의하면 인터넷에 노출된 Vedeer-Root 장비를 가진 주유소의 경우 공격자들이 데이터에 접근 및 조작하는 게 가능하다고 한다. 이를 통해 작게는 석유를 훔칠 수도 있고, 크게는 주유소 사보타주도 가능하다고 설명한다. “최근 뉴햄프셔에 있는 한 주유소 주인에게 연락을 했어요. 당신의 Vedeer-Root 장비가 위험하다고요. 얘기를 나눴더니 최근에 PCI DSS 규정 감사에서 낙제점을 받았다고 하더군요. 22번 포트에 OpenSSH 7.0이라는 오래된 버전의 소프트웨어를 돌리고 있었거든요. 알고 보니 ATG 시스템 유지보수 업체가 원격 관리를 위해 열어둔 것이었습니다.”

보스턴베이스에 의하면 해당 주유소는 ATG 시스템에서 발견된 포트가 열려있었다는 것과, 오래된 OpenSSH 버전을 사용하고 있었다는 점 때문에 PCI 준수 위반 판정을 받았다고 한다. “그나마 이 사장님은 보안에 대한 지각이 있으신 분이셨어요. 시스템 비밀번호도 설정했고, PCI 검사를 받았다는 것만 봐도요. 보통 주유소엣 PCI 검사를 받진 않죠. 그런데도 결과는 낙제점이었다니, 다른 주유소의 상태가 걱정됩니다.”

하지만 Vedeer-Root 측은 샤도위츠의 문제 제기가 그리 대단한 것이 아니라는 입장이다. “사용자들이 강력한 비밀번호를 사용하고 방화벽을 설치하는 등 설정만 제대로 하면 없었을 문제입니다. 인터넷에 연결된 장비라면 모바일부터 컴퓨터까지 전부 그런 식으로 보관해야 안전하고요. 저희 장비도 마찬가지입니다.” Vedeer-Root의 개발 책임자인 알란 잉글리시(Alan English)의 설명이다.

입장이 상충하는 것 같지만 두 사람의 말을 종합해보면 그리 어렵지 않은 결론에 도달할 수 있다. 미국 주유소 5천여 곳에서 발견된 이 취약점 문제의 본질은 ‘사물인터넷 보안’이라는 것이다. 또한 외주업체로 인한 보안 구멍 생성의 문제이기도 하다.

보안 업체 트렌드 마이크로(Trend Micro)도 최근 가스 탱크 조사를 2015년에 독립적으로 실시한 바 있다. 그리고 해커들이 가스 탱크 모니터링 시스템인 가디언 AST(Guardian AST)를 침해하거나 가지고 논 정황을 발견했다. Diesel이라고 표기되어 있었어야 할 부분에 We_Are_Legion이라는 말이 입력되어 있었던 것이다. 이는 어나니머스가 즐겨 사용하는 슬로건인데, 당시 주유소를 해킹한 인물이 어나니머스와 관련이 있는지는 정확히 밝혀진 바가 없다.

트렌드 마이크로의 부사장인 마크 누니코벤(Mark Nunnikhoven)은 이번 ATG 취약점 사태에 대하여 “주유소 사업주들은 이것이 얼마나 심각한 문제인지 인지해야 한다”고 강조한다. “ATG 장비를 공격했을 때 해커들이 얻을 수 있는 가장 단기적인 이득은 기름값입니다. 기기를 조작해 무료이다시피 기름을 가져가고 싶을 사람들은 드물지 않을 겁니다. 이것만으로도 주유소 사업에 큰 타격일 수 있습니다.”

그렇다고 샤도위츠가 언급한 ‘사보타주’를 시나리오에서 제외하라는 말은 아니다. “석유가 있는데 게이지 상으로 바닥난 것처럼 만들어 사업 운영을 방해한다든지, 주유가 정상적으로 되지 않도록 만듦으로서 장사 공치게 만들 수 있습니다. 단순히 재미를 위해서 이런 짓을 벌일 사람들도 충분히 많습니다.”

샤도위츠는 “ATG 시스템 전면에 방화벽 라우터를 설치해야 한다”고 권장한다. 그래서 특정 IP 주소로부터 들어오는 트래픽만 허용하도록 해야 한다는 것이다. “그리고 VPN을 사용하는 것도 좋은 방법입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>