2020.07.20

“짝퉁 시스코 스위치 경보” 성능 넘어 기업 네트워크 보안까지 위험

Michael Cooney | Network World
한 기업 네트워크에서 IT 보안 전문가를 당황하게 만드는 사건이 발생했다. 가짜 시스코 카탈리스트(Catalyst) 2960-X 시리즈 스위치들이 발견된 것이다. F-시큐어(F-Secure)의 보고서에 따르면, 전형적인 인증 절차를 우회할 수 있도록 만들어진 가짜 장치인 것으로 드러났다.
 
ⓒ Getty Images Bank

F-시큐어는 조사 결과 가짜 시스코 2960-X 장비에 백도어 같은 기능은 없지만, 여러 방법으로 보안 통제책을 무력화시킨다고 설명했다. 예를 들어, 한 장치는 이전에 알려지지 않았던 소프트웨어 취약점을 악용, 펌웨어 조작을 막는 보안 부트 프로세스를 훼손한다. 

F-시큐어 컨설팅 하드웨어 보안팀 선임 컨설턴트인 드미트리 자누슈케비치는 “이런 가짜 장치는 백도어로 악용되도록 쉽게 조작을 할 수 있다. 이번 경우 이런 일이 일어난 것은 아니지만, 공격 실행 방법은 거의 같을 것이다. 이 문제를 강조하는 이유가 여기에 있다. 이번 경우는 동기가 경제적인 것이다. 돈을 벌기 위해 가짜 장치를 팔았다는 의미이다. 그러나 그 기법과 기회는 조직 보안을 침해하는 공격과 동일하다”고 강조했다.

이익을 얻기 위해 가짜 장치를 팔았지만, 이 역시도 보안 기능들을 무력화시켜 장치의 보안 상태를 약화시킨다. 이미 네트워크 기반 공격을 통해 코드를 실행할 수 있는 공격자가 쉽게 지속성을 확보할 수 있어 전사적인 보안에 영향을 줄 수 있다.

이번 사례가 발견된 것은 2019년이었다. 소프트웨어 업그레이드 직후 일부 네트워크 스위치가 고장 났다. 가짜 장비에서는 드물지 않은 일이다. 문제의 장비는 소프트웨어 업그레이드가 설치되었을 때 네트워크 스위치의 주 기능을 잃었다. 그러나 여전히 콘솔을 통해 액세스할 수 있는 상태였다. 소프트웨어 버전 복구로 문제를 해결할 수 없었다. F-시큐어는 업데이트 프로세스 동안 데이터가 겹쳐 써졌다는 증거가 된다고 설명했다.

자누슈케비치는 “오랜 기간 문제없이 작동하는 가짜 장비가 많다. 이로 인해 가짜 장비를 파악하기 어렵다. 이번 경우에는 하드웨어가 장애를 일으키면서 F-시큐어 하드웨어 보안팀이 가짜 장비로 의심되는 시스코 카탈리스트 2960-X 시리즈 스위치를 조사 및 분석해 달라는 요청을 받았다”라고 말했다. 이 회사는 솔루션 업체와 장비 교체를 협상하는 과정에 의도하지 않게 가짜 장비를 구입했다는 사실을 발견했다.

가짜 장비는 겉모양과 작동 방식이 진짜 시스코 스위치와 비슷했다. 가짜 스위치의 만듦새를 보면, 이 가짜 장비를 만든 이들이 시스코의 원조 디자인을 복제하는 데 많은 돈을 투자했거나, 시스코의 비밀 엔지니어링 문서를 입수, 사람들을 제대로 속일 수 있는 장치를 만들었다는 것을 알 수 있다.

F-시큐어 보고서에 따르면, 각기 다른 방법으로 부트타임 소프트웨어 인증을 무력화하는 2종류의 가짜 스위치가 발견됐다. 가짜 스위치 A는 SLIMpro 소프트웨어 인증 체계를 무력화하기 위해 SLIMpro ROM 코드의 레이스 상태를 악용하는 회로가 추가 내장되어 있다. SLIMpro 코드는 네트워크 장치에 암호화와 인증 기능을 제공하는 코드이다.

가짜 스위치 B는 가짜 스위치 A를 개조한 것으로, EEPROM 대신 알 수 없는 통합 회로가 사용되었다. F-시큐어 보고서에 따르면, 가짜 스위치 A는 조금 더 저렴한 ‘애드혹’ 방식이 사용된 반면, 가짜 스위치 B는 디자인과 제조, 테스트에 상당한 자원이 투자되었다.

기존에 알려지지 않은 취약점의 경우, F-시큐어는 SLMpro 보안 처리 장치의 소프트웨어 서명 확인을 무력화시키기 위해 SLMpro ROM 코드에 영향을 주는 TOCTOU(time-of-check to time-of-use) 버그를 악용한다고 설명했다. 이 문제는 진짜 2960-X 시리즈 스위치에도 영향을 준다. 시스코 카탈리스트 보안 부트 프로세스를 다룬 보고서가 있기는 하지만, 이 보고서가 만들어진 시점에는 카탈리스트 2960-X 시리즈에 영향을 준 것과 유사한 문제를 다룬 공개 자료가 없었다.

시스코는 F-시큐어 보고서를 인지하고, “시스코는 제품과 서비스의 높은 품질, 무결성을 유지하는 것을 가장 크게 중시하고 있다. 가짜 제품은 네트워크 품질, 성능, 안전, 신뢰도에 중대한 위험을 초래한다. 시스코는 고객을 보호하기 위해 전세계 가짜 시장을 적극적으로 감시하고 있고, 가짜 제품을 방지하는 다양한 보안 통제책으로 구성된 종합적인 가치 사슬 보안 아키텍처(Value Chain Security Architecture) 체계를 도입해 활용하고 있다. 또한, 가짜 제품을 만드는 활동을 파악하고, 이를 억제하고, 없애는 활동을 전담으로 하는 브랜드 보호 팀을 운영하고 있다. 가짜 제품과 맞서 싸우고, 지적 재산에 대한 권리를 보호하는 것은 전체 기술 산업이 직면하고 있는 중대한 도전과제이다”라는 내용을 골자로 하는 보도자료를 발표했다.

몇 년에 걸쳐 시스코 가짜 제품을 단속하는 활동이 진행됐다. 예를 들어, 시스코 브랜드 보호팀은 2019년 4월 미국 관세 국경 보호청과 함께 하루 동안 62만 6,880달러 규모의 가짜 시스코 제품을 단속해 압류했다. 월스트리트저널의 12월 보도에 따르면, 시스코는 중국의 여러 제조업체를 상대로 가짜 네트워킹 제품 판매를 중지시키는 법원 명령을 받아냈다. 아마존과 알리바바, 이베이 같은 온라인 마켓플레이스들 또한 웹사이트에서 가짜 시스코 제품을 내려야 하는 명령이었다. 

많은 범죄자가 가짜 하드웨어 판매로 수익을 올리려 하지만, 소프트웨어를 통해서도 부당 이득을 챙길 수 있다.

일반적으로 하드웨어 플랫폼을 복제해 판매하는 것은 큰돈이 되지 않는다. 고시된 정가에서 하드웨어가 차지하는 부분은 상대적으로 많지 않기 때문이다. 시스템 통합업체인 WWT의 네트워크 솔루션 담당 디렉터 닐 앤더슨에 따르면, 각 장치의 일련번호에 대해 라이선스하는 방법으로 통제를 하는 소프트웨어가 돈이 된다. 즉, 시스코 소프트웨어 라이선스 인증 체계를 무력화시키기 위해 사용하는 방법이 중요하다.

앤더슨은 “OEM과 유통업체, SI 협력업체, 고객 사이의 COC(관리 연속성)이 중요하다. WWT의 경우, 항상 모든 주문에서 시스코 유통업체로부터 직접 시스코 장치를 조달한다. 그리고 이 가운데 상당수를 우리 고객들을 위해 배포한다”라고 말했다.

F-시큐어는 다음과 같이 가짜 장비로 피해를 보지 않는 방법을 조언했다. 
 
  • 모든 장치를 공인 재판매업체로부터 조달한다. 
  • 조달 프로세스에 적용할 명확한 내부 프로세스와 정책을 수립한다. 
  • 모든 장치에서 장비 업체가 배포한 가장 최근 소프트웨어를 실행한다. 
  • 동일한 제품군의 장비 간 차이는 아주 작은 것에도 주의를 기울인다. 
editor@itworld.co.kr


2020.07.20

“짝퉁 시스코 스위치 경보” 성능 넘어 기업 네트워크 보안까지 위험

Michael Cooney | Network World
한 기업 네트워크에서 IT 보안 전문가를 당황하게 만드는 사건이 발생했다. 가짜 시스코 카탈리스트(Catalyst) 2960-X 시리즈 스위치들이 발견된 것이다. F-시큐어(F-Secure)의 보고서에 따르면, 전형적인 인증 절차를 우회할 수 있도록 만들어진 가짜 장치인 것으로 드러났다.
 
ⓒ Getty Images Bank

F-시큐어는 조사 결과 가짜 시스코 2960-X 장비에 백도어 같은 기능은 없지만, 여러 방법으로 보안 통제책을 무력화시킨다고 설명했다. 예를 들어, 한 장치는 이전에 알려지지 않았던 소프트웨어 취약점을 악용, 펌웨어 조작을 막는 보안 부트 프로세스를 훼손한다. 

F-시큐어 컨설팅 하드웨어 보안팀 선임 컨설턴트인 드미트리 자누슈케비치는 “이런 가짜 장치는 백도어로 악용되도록 쉽게 조작을 할 수 있다. 이번 경우 이런 일이 일어난 것은 아니지만, 공격 실행 방법은 거의 같을 것이다. 이 문제를 강조하는 이유가 여기에 있다. 이번 경우는 동기가 경제적인 것이다. 돈을 벌기 위해 가짜 장치를 팔았다는 의미이다. 그러나 그 기법과 기회는 조직 보안을 침해하는 공격과 동일하다”고 강조했다.

이익을 얻기 위해 가짜 장치를 팔았지만, 이 역시도 보안 기능들을 무력화시켜 장치의 보안 상태를 약화시킨다. 이미 네트워크 기반 공격을 통해 코드를 실행할 수 있는 공격자가 쉽게 지속성을 확보할 수 있어 전사적인 보안에 영향을 줄 수 있다.

이번 사례가 발견된 것은 2019년이었다. 소프트웨어 업그레이드 직후 일부 네트워크 스위치가 고장 났다. 가짜 장비에서는 드물지 않은 일이다. 문제의 장비는 소프트웨어 업그레이드가 설치되었을 때 네트워크 스위치의 주 기능을 잃었다. 그러나 여전히 콘솔을 통해 액세스할 수 있는 상태였다. 소프트웨어 버전 복구로 문제를 해결할 수 없었다. F-시큐어는 업데이트 프로세스 동안 데이터가 겹쳐 써졌다는 증거가 된다고 설명했다.

자누슈케비치는 “오랜 기간 문제없이 작동하는 가짜 장비가 많다. 이로 인해 가짜 장비를 파악하기 어렵다. 이번 경우에는 하드웨어가 장애를 일으키면서 F-시큐어 하드웨어 보안팀이 가짜 장비로 의심되는 시스코 카탈리스트 2960-X 시리즈 스위치를 조사 및 분석해 달라는 요청을 받았다”라고 말했다. 이 회사는 솔루션 업체와 장비 교체를 협상하는 과정에 의도하지 않게 가짜 장비를 구입했다는 사실을 발견했다.

가짜 장비는 겉모양과 작동 방식이 진짜 시스코 스위치와 비슷했다. 가짜 스위치의 만듦새를 보면, 이 가짜 장비를 만든 이들이 시스코의 원조 디자인을 복제하는 데 많은 돈을 투자했거나, 시스코의 비밀 엔지니어링 문서를 입수, 사람들을 제대로 속일 수 있는 장치를 만들었다는 것을 알 수 있다.

F-시큐어 보고서에 따르면, 각기 다른 방법으로 부트타임 소프트웨어 인증을 무력화하는 2종류의 가짜 스위치가 발견됐다. 가짜 스위치 A는 SLIMpro 소프트웨어 인증 체계를 무력화하기 위해 SLIMpro ROM 코드의 레이스 상태를 악용하는 회로가 추가 내장되어 있다. SLIMpro 코드는 네트워크 장치에 암호화와 인증 기능을 제공하는 코드이다.

가짜 스위치 B는 가짜 스위치 A를 개조한 것으로, EEPROM 대신 알 수 없는 통합 회로가 사용되었다. F-시큐어 보고서에 따르면, 가짜 스위치 A는 조금 더 저렴한 ‘애드혹’ 방식이 사용된 반면, 가짜 스위치 B는 디자인과 제조, 테스트에 상당한 자원이 투자되었다.

기존에 알려지지 않은 취약점의 경우, F-시큐어는 SLMpro 보안 처리 장치의 소프트웨어 서명 확인을 무력화시키기 위해 SLMpro ROM 코드에 영향을 주는 TOCTOU(time-of-check to time-of-use) 버그를 악용한다고 설명했다. 이 문제는 진짜 2960-X 시리즈 스위치에도 영향을 준다. 시스코 카탈리스트 보안 부트 프로세스를 다룬 보고서가 있기는 하지만, 이 보고서가 만들어진 시점에는 카탈리스트 2960-X 시리즈에 영향을 준 것과 유사한 문제를 다룬 공개 자료가 없었다.

시스코는 F-시큐어 보고서를 인지하고, “시스코는 제품과 서비스의 높은 품질, 무결성을 유지하는 것을 가장 크게 중시하고 있다. 가짜 제품은 네트워크 품질, 성능, 안전, 신뢰도에 중대한 위험을 초래한다. 시스코는 고객을 보호하기 위해 전세계 가짜 시장을 적극적으로 감시하고 있고, 가짜 제품을 방지하는 다양한 보안 통제책으로 구성된 종합적인 가치 사슬 보안 아키텍처(Value Chain Security Architecture) 체계를 도입해 활용하고 있다. 또한, 가짜 제품을 만드는 활동을 파악하고, 이를 억제하고, 없애는 활동을 전담으로 하는 브랜드 보호 팀을 운영하고 있다. 가짜 제품과 맞서 싸우고, 지적 재산에 대한 권리를 보호하는 것은 전체 기술 산업이 직면하고 있는 중대한 도전과제이다”라는 내용을 골자로 하는 보도자료를 발표했다.

몇 년에 걸쳐 시스코 가짜 제품을 단속하는 활동이 진행됐다. 예를 들어, 시스코 브랜드 보호팀은 2019년 4월 미국 관세 국경 보호청과 함께 하루 동안 62만 6,880달러 규모의 가짜 시스코 제품을 단속해 압류했다. 월스트리트저널의 12월 보도에 따르면, 시스코는 중국의 여러 제조업체를 상대로 가짜 네트워킹 제품 판매를 중지시키는 법원 명령을 받아냈다. 아마존과 알리바바, 이베이 같은 온라인 마켓플레이스들 또한 웹사이트에서 가짜 시스코 제품을 내려야 하는 명령이었다. 

많은 범죄자가 가짜 하드웨어 판매로 수익을 올리려 하지만, 소프트웨어를 통해서도 부당 이득을 챙길 수 있다.

일반적으로 하드웨어 플랫폼을 복제해 판매하는 것은 큰돈이 되지 않는다. 고시된 정가에서 하드웨어가 차지하는 부분은 상대적으로 많지 않기 때문이다. 시스템 통합업체인 WWT의 네트워크 솔루션 담당 디렉터 닐 앤더슨에 따르면, 각 장치의 일련번호에 대해 라이선스하는 방법으로 통제를 하는 소프트웨어가 돈이 된다. 즉, 시스코 소프트웨어 라이선스 인증 체계를 무력화시키기 위해 사용하는 방법이 중요하다.

앤더슨은 “OEM과 유통업체, SI 협력업체, 고객 사이의 COC(관리 연속성)이 중요하다. WWT의 경우, 항상 모든 주문에서 시스코 유통업체로부터 직접 시스코 장치를 조달한다. 그리고 이 가운데 상당수를 우리 고객들을 위해 배포한다”라고 말했다.

F-시큐어는 다음과 같이 가짜 장비로 피해를 보지 않는 방법을 조언했다. 
 
  • 모든 장치를 공인 재판매업체로부터 조달한다. 
  • 조달 프로세스에 적용할 명확한 내부 프로세스와 정책을 수립한다. 
  • 모든 장치에서 장비 업체가 배포한 가장 최근 소프트웨어를 실행한다. 
  • 동일한 제품군의 장비 간 차이는 아주 작은 것에도 주의를 기울인다. 
editor@itworld.co.kr


X