• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

수많은 OT 장비 위협하는 14개 취약점, ‘인프라할트’ 발견돼 2021.08.10

유명 OT 장비 제조사들이 사용하고 있는 TCP/IP 스택에서 취약점 14개가 발견됐다. 이 중 12개가 고위험군 이상으로 분류되고 있다. 해당 TCP/IP 스택인 니쉬스택은 96년부터 사용되어 온 오래된 것으로, 현재 전 세계 수천만 대의 장비가 이 스택을 탑재하고 있다.

[보안뉴스 문가용 기자] 보안 업체 포스카웃(Forescout)의 연구원들이 200개가 넘는 OT 장비 제조사들이 사용하는 TCP/IP 스택인 니쉬스택(NicheStack)에서 14개의 취약점을 발견했다. 연구원들은 이 취약점을 통합해 인프라할트(Infra:Halt)라고 부른다. 인프라할트를 성공적으로 익스플로잇 할 경우 원격 코드, 디도스, 정보 노출, DNS 캐시 포이즈닝, TCP 스푸핑 공격을 가능케 한다.

[이미지 = utoimage]


14개 취약점들 중 12개는 CVSS 기준으로 7.5점 이상을 받았다. 즉 최소 고위험군으로 분류되고 있다는 것이다. 이 중 2개인 CVE-2020-25928과 CVE-2021-31226은 원격 코드 실행을 가능하게 하고, 8개는 디도스 공격을, 2개는 DNS 캐시 포이즈닝을 가능하게 한다. 이 취약점들의 발생 요인은 메모리 변형, 취약한 ISN 번호 설정, DNS 오류 등이라고 분석됐다.

포스카웃의 분석가인 다니엘 도스 산토스(Daniel dos Santos)는 “이 취약점들 중 일부를 성공적으로 익스플로잇 한 공격자는 ICS를 비롯한 여러 OT 장비들을 원격에서 가로채 멀웨어를 퍼트리거나 다른 시스템을 침해하는 데 활용할 수 있다”고 설명한다. “취약점의 종류가 다양하기 때문에 공격자들이 목적에 따라 입맛대로 고를 수 있습니다. 최초 침투를 가능하게 해 주는 취약점이 있는가 하면, 최종 페이로드를 설치하게 해 주는 취약점도 있습니다.”

디도스 공격을 가능하게 해 주는 취약점의 경우, 익스플로잇 난이도도 대단히 낮은 것으로 알려져 있다. 산토스에 따르면 “물리적 접근만 할 수 있다면 누구라도 익스플로잇이 가능하다”고 한다. 원격 코드 실행 공격은 난이도가 살짝 높은 편인데, 장비의 메모리 층위에 대한 지식이 필요하기 때문이다. “하지만 최상위급의 난이도라고 할 수는 없습니다. 조금만 공부하고 자원을 투자하면 익스플로잇 할 수 있습니다.”

인프라할트 취약점에 대해서는 미국 CISA도 보안 권고문을 발표했었다. 취약점 익스플로잇 시도로 야기되는 위험 수위를 낮추려면 기본적인 보안 실천 사항을 따라야 한다는 내용이었다. 실천 사항들은 다음과 같다.
1) OT 네트워크의 인터넷 노출도를 최소화 하기
2) 취약한 버전의 니쉬스택을 인터넷에 직접 연결하지 않기
3) 취약한 시스템을 방화벽 안쪽으로 배치하기
4) 가능하다면 취약한 시스템을 기업 망에서 분리시켜 놓기
5) VPN 활용하기

니쉬스택은 TCP/IP 스택의 일종으로 인터니쉬 테크놀로지스(InterNiche Technologies)라는 기업이 1996년에 개발했다. 사용자 기업으로는 지멘스, 슈나이더 일렉트릭, 록웰 오토메이션, 에머슨, 하니웰 등 200여 곳이 넘는 것으로 알려져 있다. 현재 이 니쉬스택을 유지 및 보수하는 건, 인터니쉬를 2016년에 인수한 헝가리 기업 HCC 임베디드(HCC Embedded)다.

니쉬스택은 오래된 스택이고, 그만큼 여러 장비 제조사들이 활용해 왔기 때문에 추적이 어렵다. 취약점의 영향 아래 있는 장비들을 전수 조사 및 파악하기가 힘들다는 것이다. 산토스는 “약 20년 동안 다양한 산업에서 활용되던 스택이니만큼 적어도 수백만에서 수천만 대의 장비가 취약할 것으로 예상된다”고 말한다. 포스카웃이 쇼단을 통해 인터넷을 검색했을 때 수만 대의 취약한 장비가 발견되기도 했다. 공정제조업, 도소매업, 생산업이 가장 취약한 것으로 나타났다.

인프라할트 취약점으로부터 시설 및 장비들을 보호하려면 HCC 임베디드가 개발 및 배포하고 있는 취약점 패치를 적용하면 된다. HCC는 현재 요청하는 고객사들에 패치들을 제공하는 중이다. 니쉬스택 4.3 미만 버전은 전부 취약하고, 그 이상 버전부터 안전하다고 한다.

4줄 요약
1. 오래된 TCP/IP 스택인 니쉬스택에서 14개의 취약점이 발견됨.
2. 이 14개 취약점은 통합하여 인프라할트라고 불림.
3. 니쉬스택은 96년에 개발된 것이라 피해 규모가 최대 수천만 대에 달할 것으로 예상됨.
4. 버전 4.3 이상으로 패치해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>