주요 시설 내 전력 관리 장비로 활용되는 GE사의 유니버설 릴레이 제품군에서 위험한 취약점들이 발견됐다. 이에 CISA가 “얼른 패치를 적용하라”는 보안 경고문을 발표하며 사용자들의 패치 적용에 박차를 가하기 시작했다.

[보안뉴스 문가용 기자] 미국의 국토안보부 산하 사이버 보안 전담 기관인 CISA가 새로운 보안 경고문을 발표했다. GE사의 유니버설 릴레이(Universal Relay, UR) 장비에서 치명적인 위험도의 취약점들이 발견됐기 때문이다.


GE사의 UR 장비들은 일종의 ‘전력 관리 시스템’으로, 사회 기반 시설 등에서 주로 사용된다. 시설 내 여러 장비들에 사용되는 전력의 양을 관리자가 제어할 수 있게 해 준다. 이번에 취약점이 발견되고, GE가 패치를 발표한 UR 장비들은 B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35, T60이다.

CISA의 경고에 의하면 이번 패치가 제대로 적용되지 않고, 공격자들이 취약점을 성공적으로 익스플로잇 할 경우 다음과 같은 현상들이 발생할 수 있다고 한다.
1) 민감한 정보 탈취
2) UR 장비 리부팅
3) 권한 상승
4) 디도스 공격

정보 보안의 관점에서 UR 장비들의 핵심은 “전력의 흐름과 방향을 제어한다”는 것이다. CISA는 이번 경고문을 통해 “보유하고 있는 UR 장비의 펌웨어를 8.10 이상으로 업데이트 할 것”을 강력하게 권고하는 것도 이 이유다. GE 역시 고객들에게 업데이트를 강력하게 권장하는 중이다.

문제가 되고 있는 취약점은 다음과 같다.
1) CVE-2021-27426 : 9.8/10을 기록하고 있으며, 보안 장치를 원격에서 회피할 수 있게 해 준다. UR 내 IED(Intelligent Electronic Device)에 존재한다.
2) CVE-2021-27430 : 8.4/10을 기록하고 있으며, 하드코딩 된 크리덴셜이 바이너리 내에 포함되어 있는 취약점으로, 로컬의 공격자가 UR 장비들을 리부트 할 수 있게 해 준다.
3) CVE-2021-27422 : 고위험군으로 분류되며, 웹 서버 인터페이스의 통신이 HTTP 프로토콜로 이뤄지기 때문에 민감한 정보가 새나갈 수 있게 된다.
4) CVE-2021-27428 : 웹 기반 UR 설정 장비에서 발견된 취약점으로 원격 공격자가 임의의 파일을 업로드 할 수 있게 해 준다.

CISA에 의하면 이 취약점들이 처음 발견된 건 지난 7월의 일이라고 한다. 이 취약점을 전부 해결한 펌웨어인 8.10 버전이 발표된 건 12월이다. GE 측은 패치를 고객사들에게 배포하긴 했지만, 일반 대중들에게 취약점 정보나 패치 소식을 알리지는 않았다. 워낙 중요한 기반 시설에 들어가는 장비들이었기 때문이다. 그리고 약 3개월이 지난 시점에서 CISA가 보다 강력하게 패치를 권고하기 위해 대국민 경고문을 발표하게 된 것이다.

“현재 문제가 되고 있는 장비들과 UR IED라는 요소들은 ‘심층 보안’ 수칙을 지킴으로써 보호할 수 있습니다. 즉 UR IED를 제어 시스템 네트워크 보안 반경 내에 위치시키거나, 접근 제어 시스템을 강화하고 모니터링을 보다 철저하게 함으로써 보호가 가능하다는 겁니다. 패치를 적용하는 것 역시 ‘심층 보안’ 행위의 일부이며, 강력하게 권고합니다.” CISA의 설명이다.

3줄 요약
1. 주요 시설 내 전력 관리 시스템인 UR 패밀리에서 위험한 취약점 발견됨.
2. 이 취약점을 익스플로잇 할 경우, 원격 코드 실행, 디도스, 권한 상승, 정보 탈취 등이 가능하게 됨.
3. 12월에 패치된 펌웨어 나오고, 오늘은 정부 기관으로부터 패치 촉구하는 경고문 나옴.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>