Home > 전체기사

17년 전에 수명 마친 소프트웨어, 현대 ICS 공격에 활용되고 있다

  |  입력 : 2022-11-24 12:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2005년부터 공식적인 지원이나 패치가 전혀 이뤄지지 않는 소프트웨어가 있다. 무려 17년 전이니 백골이 진토되고 넋도 사라진 지 오래인데, 이걸 다시 무덤에서 건져내 공격에 활용하는 공격자들이 등장했다. 아니, 어쩌면 이 시체 같은 유물을 우리가 너무 오래 붙잡고 있었던 것인지도 모르겠다.

[보안뉴스 문가용 기자] 산업 통제 시스템(ICS)을 무력화시키기 위한 새로운 공격 방법이 동원되고 있음을 마이크로소프트가 발견해 공개했다. 안타깝게도 이 공격 기법을 막기는 힘들다고 한다. 공격에 활용되는 요소가 여러 종류의 인프라 깊숙한 곳에 스며들어 있는 상태이기 때문이다. 이 요소의 이름은 보아(Boa)라는 웹 서버 소프트웨어다.

[이미지 = utoimage]


MS가 발견한 바에 의하면 공격자들은 보아의 취약점들을 통해 자신들이 원하는 피해자 네트워크에 최초로 침투한다고 한다. 주요 피해자들은 인도의 에너지 산업 내 한 기업이라고 하는데, 이 경우 공격자는 중국의 해킹 단체였다고 한다. 여기서 가장 흥미로운 건 중국이 인도를 공격했다는 게 아니다. 보아라는 소프트웨어가 이미 2005년에 유지와 관리가 중단됐다는 것이다. 17년 전에 수명이 다한 소프트웨어라는 뜻이다.

이 부분에서 제일 먼저 드는 의문은 ‘17년 전에 수명이 다한 소프트웨어가 아직도 존재하는 게 가능한가?’일 것이다. 놀랍게도 답은 ‘그렇다’이다. 보아는 다양한 소프트웨어 개발 키트(SDK)에 아직까지 포함되어 있다. 특히 오늘 날 사물인터넷 개발자들이 ICS 관련 요소들을 개발할 때 즐겨 사용하는 SDK에서 보아를 쉽게 찾을 수 있다고 MS는 설명한다. 그러니 사물인터넷 생태계에서는 개발자들이 보아에 대해 잘 모른 채 보아를 사용하는 사례가 비일비재하다.

중국의 인도 공격
보아가 재조명된 건 지난 4월의 사건 때문이다. 당시 보안 업체 레코디드퓨처(Recorded Future)는 “인도의 전력 공급망이 사이버 공격에 당했다”며 “공격자는 중국의 해킹 그룹인 레드에코(RedEcho)”라고 지목했었다. 당시 전력망의 실시간 제어를 담당하는 조직들이 주로 공격을 당했으며, 이 때문에 작년 내내 인도 북부 지역의 주들에서는 전력 공급이 불안정했다. 이 공격을 오랜 시간 추적한 보안 전문가들은 보아에서부터 공격이 시작되었다는 것을 알게 됐다. 공격이 없었다거나 발견되지 않았다면 보아가 에너지 산업 생태계에 존재하고 있었다는 것조차 알려지지 않았을 것이라는 게 업계의 중론이다.

11월 22일 MS가 자사 블로그를 통해 공개한 내용에도 “산업 시설 내 유통되는 사물인터넷 장비들에 보아가 있다는 사실을 인지하지 못하는 개발자가 대다수”라는 부분이 포함되어 있다. 다양한 장비들을 관리해야 하는 관리자들 역시 보아라는 웹 서버 소프트웨어의 존재를 모르고 있는 경우가 많으며, 그러므로 취약점을 관리하거나 패치하지도 못한다. “개발자나 관리자가 보아를 아예 상상조차 못하고 있으니 패치가 나온다 하더라도 아무런 소용이 없게 됩니다.”

보아 찾아내기
서술했듯 4월의 공격 당시에도 문제의 근원의 보아였음을 파악하는 데 어느 정도 시간이 걸렸다. 보아가 너무나 뻔하게 사건의 전면에 드러나지는 않기 때문이다. 침해지표 몇 가지와 사물인터넷 장비와 관련이 있다는 사실 정도만이 당시 알아낸 것의 전부였다. 그러다가 공격과 관련된 IP 주소의 절반이 수상한 HTTP 응답 헤더 값을 되돌려준다는 사실이 발견됐고, 레코디드퓨처는 이것이 공격자가 사용하는 공격 도구와 관련이 있을 거라고 짐작했다.

이를 바탕으로 조사를 더 진행하니 같은 응답 헤더 값을 되돌리는 IP 주소들 중 10% 이상이 사회 기반 시설과 관련이 있는 것들이었음을 알게 됐다. 석유 업체, 석유 탱크 운송 업체 등이 여기에 포함되어 있었다. 그리고 사물인터넷 장비들이 다양하게 공격에 활용되고 있음 또한 파악됐다. 그렇게 여러 날에 걸쳐 공격을 거슬러 올라간 끝에 겨우 보아가 발견된 것이라고 한다.

공급망에서 발견된 심각한 취약점
보아 웹 서버를 잘 아는 사람들 사이에서는 이미 유명한 사실인데, 보아는 활발히 사용되던 그 옛날에도 보안 취약점으로 가득했다. 그 중에도 최근 인도 에너지 분야에서 발견된 공격에 활용된 취약점은 CVE-2017-9833이라는 임의 파일 접근 취약점과, CVE-2021-33558이라는 정보 노출 취약점이다. 둘 다 생애주기가 끝나고서 한 참 후에 발견된 것이라 패치가 존재하지 않는다. 인증 과정을 거치지 않더라도 익스플로잇이 가능하다.

“CVE-2021-35395와 같은 취약점의 경우 리얼텍(RealTek)의 SDK에서 자주 발견됩니다. CVE-2022-27255라는 오버플로우 취약점의 경우 전 세계에 사용되고 있는 수백만 대의 사물인터넷 장비들에서 발견되고 있습니다. 역시 패치가 나오지 않았습니다. 공격자들의 익스플로잇 통로가 다양하다는 것이고, 방어자들이 찾아내서 패치해야 할 것이 상상 이상으로 많다는 겁니다.” MS의 설명이다.

이러한 사실이 알려지면서 리얼텍의 SDK는 패치를 개발해 적용했다. 하지만 아직 더 많은 SDK들과 사물인터넷 장비들의 개발사 측에서 패치를 개발해야 할 필요가 있다. 문제는 이런 패치들이 보아의 취약점을 근본적으로 해결하지는 않는다는 것이다. “지금 당장은 보아라는 요소의 존재 자체가 문제입니다. 패치로도 해결되기 힘든 문제입니다. 차라리 보아라는 요소를 전반적으로 제거하는 게 더 확실한 패치의 방법일 겁니다.”

공격자들, 현재 어떻게 움직이고 있나?
마이크로소프트의 연구원들은 중국의 공격자들이 최근 10월까지도 보아를 익스플로잇 했다고 자사 블로그를 통해 밝히고 있다. “일부 공격자들 사이에서는 보아의 취약점을 익스플로잇 하는 것이 잘 알려져 있는 것 같습니다. 그도 그럴 것이 패치도 나오지 않은 취약한 요소가 꽤나 광범위하게 활용되고 있으니까요. 공격자들로서는 꽤나 오랜 시간 사용할 수 있는 공격 통로가 발견된 것이나 다름이 없습니다.”

그렇다면 이러한 공격을 방어할 방법은 없는 걸까? MS는 “ICS 네트워크 관리자들이 인프라를 점검해 보아 서버들이 얼마나 어디에 사용되고 있는지 확인하는 작업부터 진행해야 한다”고 강조한다. “그런 후 위험을 완화시킬 수 있는 여러 보안 장치들을 마련해야 합니다. 공식 패치는 당분간 나오지 않을 것이니, 보아의 취약점을 통한 공격이 있을 거라고 상정한 뒤 심층적인 보안 강화 노력을 이어가야 합니다.”

이러한 보안 강화 노력에는 다음과 같은 것들이 있다고 MS는 제안했다.
1) 장비 찾기 및 분류 : 취약한 보아가 내포된 것들을 찾아 관리한다
2) 취약점 발굴 및 평가 : 보아와 관련된 여러 가지 알려진 취약점들을 네트워크 내에서 찾아낸다.
3) 워크플로우의 수정 : 취약점을 최대한 발동시키지 않을 만한 워크플로우를 정착시킨다.
4) 망분리 : 취약한 장비나 요소들이 발견된 경우, 해당 요소들을 분리된 다른 망에 편입시켜 따로 관리한다.
5) 능동적인 탐지 : 네트워크 내에서 수상한 행동 패턴이 발견되고 있지는 않은지 주기적으로 모니터링 한다.

3줄 요약
1. 중국의 공격자들, 오랜 시간 간과됐던 네트워크 구성 요소 건들이기 시작.
2. 이 구성 요소는 보아라는 이름의 웹 서버 소프트웨어로 2005년에 지원이 종료됐음.
3. 너무나 오래된 것이라 취약점은 가득한데 패치도 나오지 않고, 관리자나 개발자도 모르고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)