보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

점점 커지는 선박 해킹 위협... 공격 표면에 노출된 1,600개 이상 장치 발견

입력 : 2024-02-16 15:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
선박 위성통신 장치 VSAT, 해킹에 취약해 피해 발생 우려 있어 보안 주의 필요
에이아이스페라, 지난해 12월 한달간 크리미널 IP 위협 인텔리전스 노출 1,627개 장치 분석


[보안뉴스 김영명 기자] 모든 산업 분야가 그렇듯이 해양·선박 산업도 다양한 ICT 기술의 적용과 함께 자동화·디지털화되고 있다. 선박 기술의 발전과 함께 선박을 타깃으로 한 사이버 공격 우려도 함께 증가하고 있다. 특히 인터넷, 위성 통신 등 네트워크를 통해 연결돼 있는 해양·선박 시스템은 여러 취약점으로부터 사이버 공격 표면에 노출될 수 있어 사이버 보안 업계에서도 중요한 어젠다로 꼽히고 있다.

[이미지=gettyimagesbank]


사이버 보안 전문기업 에이아이스페라(AI Spera)는 Criminal IP 분석을 통해 선박 분야의 사이버 보안 위협을 분석했다. 선박 해킹은 공격자가 선박에 직접 접근하는 공격보다는 취약점을 가진 채 인터넷에 노출된 선박 시스템이 공격의 타깃이 되는 경우가 많다. 현재 얼마나 많은 선박 시스템과 장치가 인터넷에 연결돼 해킹 위협을 받고 있을까?

사이버 위협 인텔리전스 검색엔진 크리미널 IP(Criminal IP)를 사용하면 인터넷에 연결된 전 세계 선박 관련 시스템을 찾을 수 있다. ‘Asset Search’에서 ‘tag:’ 필터를 사용해 Ships 태그를 검색해 보자. tag 필터는 특정 분야나 카테고리에 관련된 사이버 위협을 검색할 수 있는 필터다. 그 가운데 ‘Ships’ 태그는 해상 무선통신 장비 및 정보 시스템 등 선박 항해에 필요한 인프라를 찾을 수 있는 키워드가 된다.

2023년 12월 3일부터 2024년 1월 3일까지 한달간 Criminal IP의 위협 인텔리전스에 수집된 인터넷에 노출된 선박 관련 장치를 보면 총 1,627개의 공개 IP 주소에서 선박과 관련된 장치가 발견됐다.

1,627개의 IP 주소에 연결된 선박 장치가 모두 심각한 취약점을 보유하고 있는 것은 아니지만, 어떤 선박 시스템은 공개되는 것 그 자체만으로도 심각한 보안 결함이 될 수 있다. 실제로 Criminal IP의 Ships 태그 검색 결과에서 찾아낸 사례를 살펴본다.

선박과 통신 위성을 연결하는 장치 ‘VSAT’의 노출
VSAT(Very Small Aperture Terminal)란 선박의 위성 통신 장치를 말한다. 선박에 연결하는 위성 장치는 해킹에 가장 취약하며, 해킹으로 인한 여러 가지 피해가 발생할 수 있어 보안에 주의해야 한다. 따라서 선박과 위성을 연결하는 장치 역시 외부에 노출되는 자체만으로도 공격 표면이 될 수 있다.

Criminal IP의 Ships 태그에 탐지된 한 선박 시스템의 IP 주소 위협 보고서를 보면, IP 주소 위협 스코어는 인바운드 점수 99% Critical, 아웃바운드 점수 60%로 확인되며, ‘CVE-2022-22707’, ‘CVE-2019-11072’, ‘CVE-2018-19052’ 등 총 3개의 심각한 취약점을 보유한 것으로 확인된다.

▲Criminal IP에 Ships 태그에 탐지된 선박 시스템의 IP 주소 리포트[자료=AI스페라]


80포트와 443포트 등 두 개의 포트에서 ‘SAILOR 900 VSAT High Power’라는 타이틀의 웹 서버가 확인되고, 모든 포트에서 취약점이 발견됐다. 이번에 발견된 세 가지 취약점 중 CVE-2018-19052 취약점은 깃허브에 익스플로잇 개념 증명이 공개돼 있기도 하다.

‘SAILOR 900 VSAT’는 선박 위성통신 분야 다양한 솔루션을 제공하는 기업인 코밤(COBHAM)의 인기 제품이다. 이 IP 주소의 80포트와 443포트에 접속하면 실제로 운영 중인 코밤 사의 SAILOR 900 VSAT 웹 인터페이스에 접근할 수 있다.

만약 해커가 이 서버에 접근해 취약점을 찾아내고 공개된 개념 증명을 이용해 익스플로잇을 시도하면 이 시스템뿐만 아니라 선박의 위성 네트워크와 연결된 다른 시스템 역시 해킹될 수 있다.

시스템의 웹 대시보드에는 선박의 위치정보부터 사용 중인 장치의 모델명, 버전 정보가 그대로 나타난다. 또 다른 메뉴에서는 위성 네트워크 연결 설정 등 기능도 제공하고 있어 해커가 침투해 관리자 권한을 얻게 되면 큰 보안 사고로 이어질 수 있다.

Criminal IP에 탐지된 선박 관련 위협 인텔리전스 통계를 확인하면 공격 표면에 노출된 선박 시스템을 보유한 국가 통계를 알 수 있다. 확인 결과 위협에 노출된 선박 시스템을 보유한 국가는 총 38개 국가이며 시스코 IOS XE 웹 UI 장치를 사용 중인 것으로 보인다. 그 가운데 미국이 367개로 가장 많이 나타났으며, 노르웨이 128개, 중국 117개 등 두 나라가 뒤를 이었습니다. 한국은 13위로, 총 51개의 취약한 선박 시스템을 보유하고 있는 것으로 확인됐다.

▲공격 표면에 노출된 선박 관련 장치를 보유한 국가 통계[자료=AI 스페라]


선박 보안 위한 공격표면 관리가 필요한 때
선박 위성 시스템 말고도 선박 해킹의 주요 타깃이 되는 다양한 디지털 시스템과 장치가 매우 많다. 예를 들어 선박과 터미널을 모니터링하는 중앙집중관리 시스템 또는 군과 국가기관의 선박 시스템은 해킹 시 국가적인 위협으로도 커질 수 있다.

선박 해킹으로 발생할 수 있는 피해는 정보 유출, 사이버 테러, 랜섬웨어, 직접적인 해상 안전사고 등이 있다. 이를 방지하기 위해 국제기구와 조선산업 등 각 기관과 기업이 나서서 선박 사이버 보안에 대한 규제를 강화하고 기술을 발전시키고 있지만, 뛰어난 보안 시스템과 철저한 규제 관리보다 더 중요한 것은 시스템 운영자, 그리고 보안담당자의 공격표면 관리다.

이러한 공격이 발생하기 전에 검색엔진 또는 솔루션 형태의 공격표면 관리 솔루션을 사용해 사전 보안조치를 강화하는 것이 필요하다. 사전 보안조치는 선박 해킹뿐만 아니라 모든 인터넷 연결 장치 및 애플리케이션에도 해당한다.

에이아이스페라 관계자는 “선박 보안 조치를 위한 점검사항으로는 공인 네트워크에 연결돼 외부에 노출된 장치를 점검해 노출을 차단하고 공인 네트워크에 연결해야 하는 시스템이라면 권한 및 보안 세팅을 철저히 점검해야 한다”며, “기본 비밀번호로 설정된 선박 장치 및 시스템의 관리자 계정 비밀번호 변경, 모든 장치 및 시스템의 최신 보안 업데이트 버전 유지 등도 매우 중요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)