보안뉴스 창간 17주년을 축하합니다!!

Home > Security

수천만 사물인터넷 장비들을 위험에 빠트리는 취약점들 발견돼

입력 : 2024-05-14 17:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
여러 사물인터넷 장비들에 탑재된 모뎀에서 취약점이 7개나 발견됐다. 전부 위험한 것들이다. 그런데 제조사는 아직도 패치를 다 완료하지 않았다. 사용자와 통신사가 나서야 할 차례다.

[보안뉴스 문가용 기자] 금융, 통신, 의료, 자동차 산업에서 사용되는 사물인터넷 장비들 수천만 대가 침해 위협에 노출되어 있다는 경고가 나왔다. 여러 장비들에 탑재되어 있는 셀룰라 모뎀 기술에서 취약점이 발견됐기 때문이다. 이 취약점을 빠르게 해결하지 않는다면 원격 코드 실행 공격에 당할 수 있다고 한다.

[이미지 = gettyimagesbank]


문제의 중심에 있는 건 텔릿(Telit)에서 만든 신테리온(Cinterion) 모뎀들이다. 이 모뎀 기술에서 발견된 취약점들 중 가장 심각한 건 CVE-2023-47610으로, 원격의 공격자들이 이를 익스플로잇 하는 데 성공할 경우 SMS를 통해 임의의 코드를 실행할 수 있게 된다. 하지만 모든 취약점들이 전부 원격에서 익스플로잇 할 수 있는 건 아니다. 일부는 로컬에서만 공격이 가능하다.

심각한 취약점이 7개
문제의 취약점들을 발견한 건 보안 업체 카스퍼스키(Kaspersky)다. 취약점의 수는 총 7개로, 지난 11월 텔릿에만 제보했다. 텔릿은 일부 취약점에 대해서만 패치를 개발해 배포했고 일부는 남겨두었다. 그 이유에 대해서는 알려진 바가 없다. 카스퍼스키는 제보 이후 충분한 시간이 지났다고 판단해 취약점들의 세부 내용을 공개했다.

많은 사물인터넷 제조사들이 신테리온 모뎀들을 자사 제품들에 탑재시키고 있다. 특히 셀룰라 통신을 필요로 하는 산업용 장비들이 그런 경우가 많은 것으로 알려져 있다. 스마트 미터기, 차량 추적기, 의료 통신 기기 등 그런 기기들의 종류도 수없이 많다. 현대 사물인터넷 장비들에는 모뎀 성능을 갖춘 칩셋이 아주 작게, 여러 다른 칩셋에 통합되어 탑재되기 때문에 일일이 파악하기가 어렵고, 따라서 이번에 발견된 취약점이 미치는 영향을 전부 가늠한다는 건 불가능에 가깝다고 카스퍼스키는 설명한다. “그래도 족히 수천만은 될 것으로 예상하고 있습니다.”

위에서 언급된 CVE-2023-47610의 경우 7개 중 가장 심각한 것으로 알려져 있으며, 익스플로잇에 성공한 공격자들은 모뎀의 OS에 접근하여 RAM을 조작할 수 있게 된다. 그리고 이를 통해 메모리와 관련된 여러 기능들을 조작할 수 있게 된다. 따라서 각종 커넥티드 장비들의 무결성은 물론 가용성도 훼손시킬 수 있다고 카스퍼스키는 경고한다. “예를 들어 의료 장비의 모뎀에 이런 접근을 한다고 생각했을 때 사용자에게 치명적인 결과를 야기할 수 있습니다.”

SMS 기능을 비활성화 시켜야
카스퍼스키는 취약한 사물인터넷 장비를 사용할 경우 불필요한 SMS 기능들을 전부 비활성화 시키는 게 안전하다고 권고한다. “지금으로서는 SMS 기능을 반드시 사용해야 할 경우 비밀 APN을 엄격하게 설정하여 활용하는 게 낫습니다. 즉 특정 장비들과만 통신할 수 있도록 하라는 것이죠.” 카스퍼스키의 설명이다. 이는 사용자들이 취할 수 있는 조치이다.

여기에, 통신사들도 할 일이 있다고 카스퍼스키는 설명을 잇는다. “CVE-2023-47610은 SMS를 통해 익스플로잇 되는 취약점입니다. 따라서 통신사들이 중간에 개입할 경우 상황이 좀 나아질 수 있습니다. 악성 SMS 메시지들이 취약한 장비들에 도달하지 못하도록 역할을 할 수 있지요. 네트워크 단에서의 제어 장치들을 발동시킬 수만 있다면요.”

그 외 여섯 개의 취약점에는 CVE-2023-47611~CVE-2023-47616이라는 번호가 붙었다. 자바 애플릿을 처리하는 방식과 관련이 있으며, 익스플로잇에 성공한 공격자들은 다음과 같은 악성 행위를 실시할 수 있게 된다.
1) 디지털 서명 확인 절차 우회
2) 권한 상승
3) 비승인 코드 실행

“이런 악성 행위들은 매우 심각한 결과를 초래할 수 있습니다. 따라서 디지털 서명 확인 절차를 강화시키고 보안 점검과 업데이트 확인 역시 더 빠듯하게 진행하는 게 안전합니다.” 카스퍼스키의 권고 내용이다.

3줄 요약
1. 많은 사물인터넷 장비들에 탑재된 모뎀에서 취약점 7개 발견됨.
2. 모뎀 제조사는 취약점을 전부 패치하지 않음.
3. 불필요한 SMS 기능을 비활성화 하고 디지털 서명 확인 절차 강화할 필요 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)