약 20여년 동안 사용되어 온 TCP/IP 소프트웨어 라이브러리...추적 힘들어
패치는 3월달에 나왔으나 온갖 버전으로 유통되어 온 라이브러리를 어떻게 다 찾나

[보안뉴스 문가용 기자] 보안 전문가들이 수억 대의 사물인터넷 장비들에 영향을 주는 19개의 취약점들을 찾아내 공개했다. 이 취약점들에는 리플20(Ripple20)이라는 통칭이 붙었으며, 4개는 치명적인 위험도를 가지고 있는 것으로 분석됐다. 취약점 발원지는 저준위 TCP/IP 소프트웨어 라이브러리로, 사물인터넷 장비를 인터넷에 연결시키는 데 널리 활용되는 것이라고 한다.


리플20을 발견한 건 이스라엘의 사이버 보안 업체인 제이소프(JSOF)로, 원래는 문제의 라이브러리를 분석 중에 있었다고 한다. 해당 라이브러리는 20여년 전 트렉(Treck)이라는 소프트웨어 회사가 개발한 것으로 알려져 있다. 수많은 TCP/IP 라이브러리 중 트렉이 개발한 것을 고른 이유는 여러 사물인터넷 장비에 사용될 것이라고 트렉이 예견했기 때문이라고 제이소프의 CEO인 슐로미 오버만(Shlomi Oberman)이 밝혔다.

“실제 조사를 해보니 정말 거의 모든 장비에 사용되고 있더군요. 저희는 무심코 연못에 돌을 던졌을 뿐인데, 물결(ripple)이 생각보다 크게 번진 것과 같은 상황입니다. 실제로 매일처럼 이 취약점의 영향을 받는 장비와 제조사들을 매일 발굴하고 있습니다. 그래서 이 취약점들을 리플20이라고 부른 겁니다. 다만 20은 취약점의 숫자가 아니라 영향을 받는 산업이 그만큼 많다는 걸 의미하기 위에 붙였습니다.”

제이소프는 취약점을 발견한 후 곧바로 공개하지 않고 트렉, CERT/CC, 미국의 CISA와 협력하여 공개 절차를 마련했다고 한다. 문제가 너무 컸기 때문이다. “사실 트렉은 처음부터 협조적이지는 않았습니다. 연락을 하는 것도 어려웠죠. 하지만 결국 문제의 심각성을 받아들이고 클라이언트들에 취약점 내용을 알리고 패치를 개발하기로 했습니다. 그리고 3월 말에 약속한 모든 것들을 해냈습니다.”

리플20에 노출된 장비들은 산업용 제어 장치, 프린터, 의료 장비, 전력 공급 장치, 가정용 사물인터넷 장비, 도소매 현장에서 사용되는 기계 등 그 종류가 다양하다. 산업별로 봐도 운송, 항공, 석유, 가스, 정부, 군 등 그 영향력이 광범위하다고 제이소프는 경고했다. 1인 제조사에서부터 포춘 500대 기업까지 현재 취약한 장비를 만드는 곳도 다채롭다. 제이소프가 언급한 주요 벤더들은 HP, 슈나이더 일렉트릭, 인텔, 록웰 오토메이션 등이었다. 그 외에 잠재적으로 위험한 벤더사들이 70~80곳 더 있다고 한다.

취약점의 종류와 위험도 역시 다양하다. 그 중 가장 심각한 취약점 2개는 원격 코드 실행을 가능케 하는 것으로 공격자가 장비를 장악하고 마음대로 주무를 수 있게 해준다고 한다. 하나는 CVE-2020-11896으로, 비정상적인 IPv4 패킷을 장비에 전송함으로써 익스플로잇이 가능하다. 이 때 표적이 되는 장비는 IPv4 터널링을 지원하는 것이어야 한다. 다른 하나는 CVE-2020-11897이며, 다수의 비정상 IPv6 패킷을 장비에 전송함으로써 익스플로잇이 가능하다. 두 취약점 모두 CVSS 기준 10점 만점을 받았다.

오버만에 따르면 이번에 발견된 취약점 대부분 공격 표적이 되는 장비와 같은 네트워크에 있어야 익스플로잇이 가능하다고 한다. 즉 미리 네트워크 침투가 이뤄진 다음에 쓸모가 생긴다는 건데, “요즘은 네트워크에 침투하는 게 어려운 일이 전혀 아니”기 때문에 제한 조건이라고 보기 힘들다는 게 오버만의 의견이다. 또한 “모든 사물인터넷 장비 제조사들은 적어도 한 가지 이상의 취약점에 영향을 받고 있다고 믿는다”는 게 제이소프가 말한 내용이기도 하다. “모든 라이브러리와 펌웨어의 코드 베이스를 전면 교체 및 수정하는 회사가 아니라면 말이죠.”

문제의 소프트웨어 라이브러리를 어떤 곳에, 어떤 목적으로, 어떤 방식으로 사용하는가도 중요하다. 이것에 따라 취약점이 어느 정도의 영향을 발휘하느냐가 결정되기 때문이다. “트렉의 라이브러리는 있는 그대로, 디폴트 설정으로 사용할 수도 있지만 용도에 따라 다양한 방식으로 설정을 바꿀 수도 있습니다. 예를 들어 소스코드 형태로 구매해 편집을 하는 곳도 있죠. 그래서 이 라이브러리는 다양한 종류의 장비에 사용되는 것입니다.”

그렇기 때문에 시간이 지나면 원래 라이브러리 구성 요소들이 알아볼 수 없을 정도로 변하기도 한다고 제이소프는 보고서를 통해 설명했다. “그래서 대단히 오래 전에 패치된 취약점이 현장에서 재발견 되기도 하는 겁니다. 누군가 오리지널 코드를 받아 변형시켜 사용하고, 그걸 또 다른 사람이 받아서 편집하는 과정이 거듭되는데, 이걸 다 추적하는 건 불가능하죠. 패치가 나온다 한들 모든 버전에 다 적용하는 것도 어렵고요. 리플20 취약점에 노출되어 있는 기업들 대부분 그러한 사실을 모를 겁니다. 20년 된 라이브러리에서 취약점이 발견됐다는 소식이 가끔 나오는 것도 이 때문입니다.”

3줄 요약
1. 전 세계 거의 모든 사물인터넷 장비에서 발견되는 소프트웨어 라이브러리에서 취약점 19개 나옴.
2. 20년 동안 코드에 변형이 많이 일어났기 때문에 일일이 찾아서 취약점을 보완하는 게 상당히 어려울 것을 보임.
3. 현재 전 세계 수억 대의 사물인터넷 장비들이 이 19개 취약점에 노출된 상황.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>