스위스에서 만든 산업용 게이트웨이...제어 장치 통신 원활하게 해줘
꽤나 위험할 수 있는 취약점 두 개가 발견됨...펌웨어 업데이트는 없을 것

[보안뉴스 문가용 기자] 보안 전문가들이 스위스 산업 기술 전문 업체인 ABB의 제품에서 취약점들을 찾아냈다. 문제는 펌웨어 업데이트가 없을 예정이라는 것이다. 해당되는 제품들의 지원 기간이 전부 종료됐기 때문이다.


이러한 취약점들을 발견한 건 산업 보안 전문 업체인 어플라이드 리스크(Applied Risk)로, 이번 주 ABB에서 만든 플루토 게이트웨이(Pluto Gateway)에서 발견된 두 개의 취약점에 대한 보고서를 작성해 발표했다.

보다 구체적으로 말하면 이 취약점이 발견된 것은 GATE-E1과 GATE-E2라는 게이트웨이로, ABB의 프로그래밍 가능한 안전 제어 장치(안전 PLC)와 다른 제어 시스템 간의 통신을 원활하게 해주는 기능을 담당하고 있다.

어플라이드 리스크에 따르면 GATE-E1과 GATE-E2는 관리자용 텔넷과 웹 인터페이스에 아무런 인증 장치를 가지고 있지 않다. 따라서 공격자가 쉽게 접근할 수 있게 된다. 어플라이드 리스크와 ABB 모두 이 취약점을 ‘치명적’으로 분류했다. 이 취약점을 익스플로잇 할 경우 장비 환경설정을 조작하고, 서비스 마비 상태로 만들 수 있게 된다.

“이번에 발견된 취약점은 인증 장치가 없다는 것 때문에 나타나는 것”이라고 ABB 측은 규정했다. 그러면서 “해당 제품이 개발될 당시에는 인증이나 보안은 없어도 되는 기능이었다”고 해명했다. 이것이 첫 번째 취약점이다.

어플라이드 리스크는 또 다른 취약점에 대한 내용도 첨부했다. 지속적인 XSS 오류로, 공격자가 관리자 HTTP 및 텔넷 인터페이스에 악성 코드를 주입할 수 있게 해주는 취약점이다. 정상적인 관리자 계정으로 장비의 웹 포탈에 접근함으로써 공격의 기반을 마련할 수 있다. 이 취약점은 ‘치명적’인 것보다 한 단계 아래인 ‘고위험군’에 속하게 되었다.

어플라이드 리스크는 “이 취약점은 원격에서 익스플로잇이 가능하다”고 설명했다. 원격 접근이 가능한 취약점은 대부분 고위험군과 치명적인 취약점으로 분류된다. ABB 측은 별도의 권고문을 통해 이 XSS 취약점에 대한 내용을 발표했다.

진짜 문제는 이 두 가지 취약점에 대해 ABB가 “지원 종료일이 지났으므로 펌웨어 업데이트는 없을 것”이라고 발표한 것이다. “그러나 ABB는 고객들에게 일괄적으로 메일을 보내 기존 장비들을 안전하게 지킬 수 있는 다른 방법들에 대해 안내할 것입니다.”

다행히 현재까지 이 오류들을 실제로 악용한 사례는 없는 것으로 나타났다. ABB의 장비를 보유한 기업들이라면 ABB가 발송한 안내 메일을 받는 대로 적용해야 할 것으로 보인다.

3줄 요약
1. 스위스의 산업 기술 업체 ABB에서 만든 장비에서 두 개 오류 나타남.
2. 하나는 인증 과정이 없는 치명적 오류, 다른 하나는 XSS 공격 가능케 하는 고위험군 오류.
3. 아쉽게도 제품 지원 종료일 지나 펌웨어 업데이트는 없을 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>