2020.08.12

프로토콜 게이트웨이 결함으로 드러난 ICS의 약점…블랙햇 컨퍼런스에서 트렌드 마이크로 발표

Lucian Constantin | CSO
한 보안 연구진이 산업용 장비와 센서를 TCP/IP 네트워크에 연결하는 소형 장비인 프로토콜 게이트웨이(protocol gateways)의 광범위한 취약점에 대해 경고했다. TCP/IP 네트워크는 이런 장비와 센서를 자동화하고 제어하는 데 사용된다.
 
ⓒ Getty Images Bank

트렌드 마이크로(Trend Micro)가 최근 블랙햇 USA 가상 보안 컨퍼런스에서 프로토콜 변환 공격(protocol translation attacks)을 통한 새로운 위협을 살펴보고 여러 공급업체의 프로토콜 게이트웨이에서 발견된 9가지 결함을 공개했다.

이번에 파악된 취약점은 운영 프로세스를 방해할 수 있는 은밀한 명령 실행부터 무단 액세스 권한 획득, 구성 데이터베이스 암호해독, 민감한 정보 노출, 핵심 장비 장애 유발에 이르기까지 다양한 공격 시나리오를 촉발할 수 있다.


프로토콜 게이트웨이란 무엇인가?

산업 설비는 상호 연결된 다양한 기계와 모터, 센서, 컨트롤러로 구성된다. 이런 구성 요소의 사용 기간은 대체로 매우 길다. 운영 기술(Operational Technology, OT) 네트워크가 IT 네트워크와 완전히 분리되어 직렬 케이블을 통해 사유 또는 특수 프로토콜(예를 들어 1979년에 개발된 모드버스(Modbus))을 사용해 통신하던 시절에 설계된 구성 요소가 많다.

인더스트리 4.0이 등장한 현대에서는 원격 관리와 자동화, 제어를 위해 OT와 IT 네트워크가 상호 연결된다. 산업 공정을 모니터링하고 제어하는 데 사용되는 엔지니어링 워크스테이션, 인간-기계 인터페이스(Human-Machine Interfaces, HMI)는 일반적으로 IT 자산이며 TCP/IP를 통해 통신한다. 프로그래머블 로직 컨트롤러(Programmable Logic Controllers, PLC)와 같은 OT 자산을 이더넷, 와이파이 및 모바일 네트워크에 연결하는 데는 한 프로토콜에서 캡슐화된 패킷을 수신하고 이를 다른 프로토콜로 변환하거나 동일한 프로토콜의 서로 다른 물리적 계층 간에 변환을 수행하는(예를 들어 모드버스 TCP(이더넷)에서 모드버스 RTU(직렬)로) 프로토콜 게이트웨이 또는 프로토콜 변환기라는 장비가 사용된다.

트렌드 마이크로 연구팀은 이 보고서에서 “프로토콜 게이트웨이에 오류가 발생하면 제어 시스템과 기계 간의 통신이 멈춘다. 운영자는 시스템에 대한 가시성을 잃게 되므로 장비 또는 발전기가 제대로 운용되고 있는지 여부를 알 수 없다. 또한 변환 장애 발생 시 운영자는 문제 해결을 위한 명령어도 실행할 수 없게 된다”라고 설명했다.

트렌드 마이크로 연구팀은 이번 연구에서 서로 다른 모드버스 버전 간의 변환에 집중했다. 모드버스는 OT 네트워크에서 가장 광범위하게 사용되는 프로토콜 가운데 하나이기 때문이다. 서로 전혀 다른 프로토콜을 상호 변환하는 프로토콜 게이트웨이에 대해서는 향후 따로 연구하기로 했다. 조사 대상 장비는 넥스컴(Nexcom) NIO50, 슈나이더 링크(Schneider Link) 150, 디지 원(Digi One) IA, 레드 라이언(Red Lion) DA10D, 목사 엠게이트(Moxa MGate) 5105-MB-EIP다.


길잃은 변환

연구진은 “프로토콜 변환 프로세스 구현을 세부적으로 살펴보고, 직렬 인터페이스에 연결된 PLC와 같은 통신 대상 디바이스에 영향을 미칠 수 있는 오류가 게이트웨이에서 발생할 수 있는 조건을 연구했다. 비유하면 언어 번역가가 시제가 일관적이지 않고, 주어 동사의 불일치가 있고, 구두점의 위치가 잘못되거나, 누락된 문장을 정확히 번역할 수 있는지 여부를 테스트하는 것과 같다. 믿을 만한 번역가라면 문맥이 충분히 명확하다면 문장을 교정하고, 현재 상태로 메시지를 명확히 알 수 없다면 번역을 거부할 것”이라고 설명했다.

연구진은 프로토콜 게이트웨이가 형식이 잘못된 패킷을 어떻게 처리하는지 테스트하기 위해 5,078개의 잘못된 모드버스 TCP 패킷과 1,659개의 잘못된 모드버스 RTU 패킷을 전송하는 퍼저(fuzzer)를 사용했다. 모드버스 TCP와 모드버스 RTU 프로토콜이 지정하는 패킷 길이가 서로 다르므로 정상적인 조건에서 게이트웨이는 형식이 잘못된 패킷을 버려야 한다.

연구진은 테스트에서 NIO50이 길이가 부정확한 모드버스 TCP 패킷을 적절히 필터링하지 않은 채 모드버스 RTU로 전달한다는 점을 발견했다. 이에 모드버스 TCP 패킷을 조작해 사양을 기준으로 유효하지 않은 패킷이 게이트웨이에 의해 모드버스 RTU 패킷으로 무조건 전달되는 경우 유효한 패킷으로 취급될 가능성이 있는지 여부를 확인했다. 

그 결과 읽기 명령으로 모드버스 TCP 패킷을 조작해 게이트웨이와 전송자 사이에 위치한 ICS 방화벽 시점에서 아무런 문제가 없지만 NIO50 게이트웨이에 도달하는 경우 모드버스 RTU로 전달되고 그 뒤의 PLC에 전혀 다른 의미로 읽힐 수 있도록 하는 다양한 방법을 발견했다. 테스트 구성에는 모터, 온도계, 회전속도계를 제어하는 PLC가 사용됐다.

연구진은 “공격자는 하나의 명령으로 모터 구동 중에 모터 성능과 안전(온도와 회전속도계)을 모니터링하는 핵심 센서를 비활성화할 수 있다. 센서(온도계와 회전속도계)가 비활성화되므로 현장 엔지니어와 운영자가 문제를 인지하지 못하는 한 모터가 안전 작동 범위를 벗어나는 경우에도 시각적으로 나타나지 않고 경보도 울리지 않는다”라고 설명했다.

NIO50은 패킷이 수신되는 동시에 변환되는 실시간 게이트웨이다. 그러나 일부 게이트웨이는 비동기식으로 작동하며, 더 높은 성능을 위해 같은 유형 또는 같은 목적지의 패킷을 저장했다가 함께 전송한다. 이것을 데이터 스테이션(data stations)이라고 하는데, 여기에는 사용자가 구성할 수 있는 I/O 매핑 테이블이 사용된다. 레드 라이언 DA10D와 목사 엠게이트 5105-MB-EIP가 이 범주에 속한다.

연구진은 “I/O 매핑 테이블은 공격 개발 및 튜닝 단계에서 중요한 정보 출처가 될 수 있으며, 공격자가 시설을 무력화하기 위해 필요로 하는 핵심 정보를 제공할 수 있다. 또한 I/O 매핑 테이블에 대한 모든 무단 수정은 데이터 스테이션에 연결된 HMI, PLC 및 장비의 동작을 변경한다”라고 말했다.

데이터 스테이션에는 일반적으로 이 정보를 보호하기 위한 메커니즘이 있지만 트렌드 마이크로 연구진은 데이터베이스 액세스 또는 해독이 가능한 여러 약점을 발견했다. 구체적으로, 목사 엠게이트 장비에는 사유 명령을 통한 정보 노출을 가능하게 하는 취약점, 사유 명령을 통한 인증 정보 재사용 결함, 공격자에게 지속적이고 중대한 디바이스 통제력을 부여하는 인증 후 루트 셸 문제가 있었다. 레드 라이언 장비에는 임의 메모리 누출 문제와 모드버스 서비스 거부 조건이 존재했다.

연구진이 테스트한 모든 실시간 게이트웨이 제품은 0.5초 간격으로 쏟아지는 패킷에 직면할 때 서비스 거부 공격에 취약했다. 전원은 켜진 채로 유지됐지만 리소스 고갈로 인해 변환 프로세스가 제대로 작동하지 않았다. 이와 별개로, 레드 라이언 DA10D 스테이션은 특수하게 조작된 모드버스 TCP 패킷을 통한 강제 재부팅에 취약했다. 또한 NIO50과 DA10D 제품의 클라우드 기반 제어 인터페이스에서도 인증 및 기타 약점을 발견했다.

이렇게 발견된 결함은 각 공급업체에 보고됐다. 일부는 수정됐지만 일부는 여전히 결함이 있는 상태이며 제품 수명이 종료된 탓에 앞으로도 수정되지 않는 경우도 있다. 예를 들어 NIO50 게이트웨이에 영향을 미치는 모든 결함이 이에 해당된다.

트렌드 마이크로 선임 연구원인 마르코 발두치는 이번 블랙 햇 발표에서 “인식의 제고를 위해 이 연구를 실시했다. 이런 장비가 인터넷에 노출되면 안 된다는 점은 명백하지만 많은 경우 제어 네트워크에 노출되어 있으므로 제어 네트워크의 기계가 침해되는 경우 이런 게이트웨이 역시 공격을 받을 수 있다. 문제는 해당 장비에 로그가 없는 경우가 많고 물리적인 문제도 나타나지 않으므로 이와 같은 공격을 디버그하기가 매우 어렵다는 점이다. 기본적으로 장비는 변환 시 실수를 저지르고 이 실수를 PLC까지 전달한다. 이는 디버그하기가 매우 어렵다”라고 우려했다. editor@itworld.co.kr 


2020.08.12

프로토콜 게이트웨이 결함으로 드러난 ICS의 약점…블랙햇 컨퍼런스에서 트렌드 마이크로 발표

Lucian Constantin | CSO
한 보안 연구진이 산업용 장비와 센서를 TCP/IP 네트워크에 연결하는 소형 장비인 프로토콜 게이트웨이(protocol gateways)의 광범위한 취약점에 대해 경고했다. TCP/IP 네트워크는 이런 장비와 센서를 자동화하고 제어하는 데 사용된다.
 
ⓒ Getty Images Bank

트렌드 마이크로(Trend Micro)가 최근 블랙햇 USA 가상 보안 컨퍼런스에서 프로토콜 변환 공격(protocol translation attacks)을 통한 새로운 위협을 살펴보고 여러 공급업체의 프로토콜 게이트웨이에서 발견된 9가지 결함을 공개했다.

이번에 파악된 취약점은 운영 프로세스를 방해할 수 있는 은밀한 명령 실행부터 무단 액세스 권한 획득, 구성 데이터베이스 암호해독, 민감한 정보 노출, 핵심 장비 장애 유발에 이르기까지 다양한 공격 시나리오를 촉발할 수 있다.


프로토콜 게이트웨이란 무엇인가?

산업 설비는 상호 연결된 다양한 기계와 모터, 센서, 컨트롤러로 구성된다. 이런 구성 요소의 사용 기간은 대체로 매우 길다. 운영 기술(Operational Technology, OT) 네트워크가 IT 네트워크와 완전히 분리되어 직렬 케이블을 통해 사유 또는 특수 프로토콜(예를 들어 1979년에 개발된 모드버스(Modbus))을 사용해 통신하던 시절에 설계된 구성 요소가 많다.

인더스트리 4.0이 등장한 현대에서는 원격 관리와 자동화, 제어를 위해 OT와 IT 네트워크가 상호 연결된다. 산업 공정을 모니터링하고 제어하는 데 사용되는 엔지니어링 워크스테이션, 인간-기계 인터페이스(Human-Machine Interfaces, HMI)는 일반적으로 IT 자산이며 TCP/IP를 통해 통신한다. 프로그래머블 로직 컨트롤러(Programmable Logic Controllers, PLC)와 같은 OT 자산을 이더넷, 와이파이 및 모바일 네트워크에 연결하는 데는 한 프로토콜에서 캡슐화된 패킷을 수신하고 이를 다른 프로토콜로 변환하거나 동일한 프로토콜의 서로 다른 물리적 계층 간에 변환을 수행하는(예를 들어 모드버스 TCP(이더넷)에서 모드버스 RTU(직렬)로) 프로토콜 게이트웨이 또는 프로토콜 변환기라는 장비가 사용된다.

트렌드 마이크로 연구팀은 이 보고서에서 “프로토콜 게이트웨이에 오류가 발생하면 제어 시스템과 기계 간의 통신이 멈춘다. 운영자는 시스템에 대한 가시성을 잃게 되므로 장비 또는 발전기가 제대로 운용되고 있는지 여부를 알 수 없다. 또한 변환 장애 발생 시 운영자는 문제 해결을 위한 명령어도 실행할 수 없게 된다”라고 설명했다.

트렌드 마이크로 연구팀은 이번 연구에서 서로 다른 모드버스 버전 간의 변환에 집중했다. 모드버스는 OT 네트워크에서 가장 광범위하게 사용되는 프로토콜 가운데 하나이기 때문이다. 서로 전혀 다른 프로토콜을 상호 변환하는 프로토콜 게이트웨이에 대해서는 향후 따로 연구하기로 했다. 조사 대상 장비는 넥스컴(Nexcom) NIO50, 슈나이더 링크(Schneider Link) 150, 디지 원(Digi One) IA, 레드 라이언(Red Lion) DA10D, 목사 엠게이트(Moxa MGate) 5105-MB-EIP다.


길잃은 변환

연구진은 “프로토콜 변환 프로세스 구현을 세부적으로 살펴보고, 직렬 인터페이스에 연결된 PLC와 같은 통신 대상 디바이스에 영향을 미칠 수 있는 오류가 게이트웨이에서 발생할 수 있는 조건을 연구했다. 비유하면 언어 번역가가 시제가 일관적이지 않고, 주어 동사의 불일치가 있고, 구두점의 위치가 잘못되거나, 누락된 문장을 정확히 번역할 수 있는지 여부를 테스트하는 것과 같다. 믿을 만한 번역가라면 문맥이 충분히 명확하다면 문장을 교정하고, 현재 상태로 메시지를 명확히 알 수 없다면 번역을 거부할 것”이라고 설명했다.

연구진은 프로토콜 게이트웨이가 형식이 잘못된 패킷을 어떻게 처리하는지 테스트하기 위해 5,078개의 잘못된 모드버스 TCP 패킷과 1,659개의 잘못된 모드버스 RTU 패킷을 전송하는 퍼저(fuzzer)를 사용했다. 모드버스 TCP와 모드버스 RTU 프로토콜이 지정하는 패킷 길이가 서로 다르므로 정상적인 조건에서 게이트웨이는 형식이 잘못된 패킷을 버려야 한다.

연구진은 테스트에서 NIO50이 길이가 부정확한 모드버스 TCP 패킷을 적절히 필터링하지 않은 채 모드버스 RTU로 전달한다는 점을 발견했다. 이에 모드버스 TCP 패킷을 조작해 사양을 기준으로 유효하지 않은 패킷이 게이트웨이에 의해 모드버스 RTU 패킷으로 무조건 전달되는 경우 유효한 패킷으로 취급될 가능성이 있는지 여부를 확인했다. 

그 결과 읽기 명령으로 모드버스 TCP 패킷을 조작해 게이트웨이와 전송자 사이에 위치한 ICS 방화벽 시점에서 아무런 문제가 없지만 NIO50 게이트웨이에 도달하는 경우 모드버스 RTU로 전달되고 그 뒤의 PLC에 전혀 다른 의미로 읽힐 수 있도록 하는 다양한 방법을 발견했다. 테스트 구성에는 모터, 온도계, 회전속도계를 제어하는 PLC가 사용됐다.

연구진은 “공격자는 하나의 명령으로 모터 구동 중에 모터 성능과 안전(온도와 회전속도계)을 모니터링하는 핵심 센서를 비활성화할 수 있다. 센서(온도계와 회전속도계)가 비활성화되므로 현장 엔지니어와 운영자가 문제를 인지하지 못하는 한 모터가 안전 작동 범위를 벗어나는 경우에도 시각적으로 나타나지 않고 경보도 울리지 않는다”라고 설명했다.

NIO50은 패킷이 수신되는 동시에 변환되는 실시간 게이트웨이다. 그러나 일부 게이트웨이는 비동기식으로 작동하며, 더 높은 성능을 위해 같은 유형 또는 같은 목적지의 패킷을 저장했다가 함께 전송한다. 이것을 데이터 스테이션(data stations)이라고 하는데, 여기에는 사용자가 구성할 수 있는 I/O 매핑 테이블이 사용된다. 레드 라이언 DA10D와 목사 엠게이트 5105-MB-EIP가 이 범주에 속한다.

연구진은 “I/O 매핑 테이블은 공격 개발 및 튜닝 단계에서 중요한 정보 출처가 될 수 있으며, 공격자가 시설을 무력화하기 위해 필요로 하는 핵심 정보를 제공할 수 있다. 또한 I/O 매핑 테이블에 대한 모든 무단 수정은 데이터 스테이션에 연결된 HMI, PLC 및 장비의 동작을 변경한다”라고 말했다.

데이터 스테이션에는 일반적으로 이 정보를 보호하기 위한 메커니즘이 있지만 트렌드 마이크로 연구진은 데이터베이스 액세스 또는 해독이 가능한 여러 약점을 발견했다. 구체적으로, 목사 엠게이트 장비에는 사유 명령을 통한 정보 노출을 가능하게 하는 취약점, 사유 명령을 통한 인증 정보 재사용 결함, 공격자에게 지속적이고 중대한 디바이스 통제력을 부여하는 인증 후 루트 셸 문제가 있었다. 레드 라이언 장비에는 임의 메모리 누출 문제와 모드버스 서비스 거부 조건이 존재했다.

연구진이 테스트한 모든 실시간 게이트웨이 제품은 0.5초 간격으로 쏟아지는 패킷에 직면할 때 서비스 거부 공격에 취약했다. 전원은 켜진 채로 유지됐지만 리소스 고갈로 인해 변환 프로세스가 제대로 작동하지 않았다. 이와 별개로, 레드 라이언 DA10D 스테이션은 특수하게 조작된 모드버스 TCP 패킷을 통한 강제 재부팅에 취약했다. 또한 NIO50과 DA10D 제품의 클라우드 기반 제어 인터페이스에서도 인증 및 기타 약점을 발견했다.

이렇게 발견된 결함은 각 공급업체에 보고됐다. 일부는 수정됐지만 일부는 여전히 결함이 있는 상태이며 제품 수명이 종료된 탓에 앞으로도 수정되지 않는 경우도 있다. 예를 들어 NIO50 게이트웨이에 영향을 미치는 모든 결함이 이에 해당된다.

트렌드 마이크로 선임 연구원인 마르코 발두치는 이번 블랙 햇 발표에서 “인식의 제고를 위해 이 연구를 실시했다. 이런 장비가 인터넷에 노출되면 안 된다는 점은 명백하지만 많은 경우 제어 네트워크에 노출되어 있으므로 제어 네트워크의 기계가 침해되는 경우 이런 게이트웨이 역시 공격을 받을 수 있다. 문제는 해당 장비에 로그가 없는 경우가 많고 물리적인 문제도 나타나지 않으므로 이와 같은 공격을 디버그하기가 매우 어렵다는 점이다. 기본적으로 장비는 변환 시 실수를 저지르고 이 실수를 PLC까지 전달한다. 이는 디버그하기가 매우 어렵다”라고 우려했다. editor@itworld.co.kr 


X