10개 업체 OT 기기에서 발견한 보안 취약점
56
자료 제목 :
OT ICEFALL 보안 비내재화 결함 보고서
OT ICEFALL The legacy of insecure by design
자료 출처 :
Forescout
원본자료 다운로드
발행 날짜 :
2022년 06월 01일
보안

OT 기기 취약점 대량 발견 "표준 인증도 소용없어"…포어스카우트

Lucian Constantin  | CSO 2022.06.24
최근 한 조사에 따르 10곳의 업체가 만든 운영 기술(Operational Technology, OT) 기기에서 56가지의 결함이 드러났다. 모두 프로그래밍 오류가 아니라 안전하지 않게 설계되거나 구현된 기능이 원인이었다. 지난 10년 동안 보안 연구자와 악의적 공격자의 OT 기기에 대한 관심이 증가했음에도 불구하고, 업계가 아직도 근본적인 ‘설계부터 안전을 고려한 보안 내재화(secure-by-design)’ 원리를 준수하지 않고 있음이 극명하게 드러난 것이다. 

는 최신 보고서에서 “공격자가 취약점을 악용하면서 표적 OT 기기에 네트워크를 통해 액세스한 후 코드를 실행하거나, OT 기기의 로직, 파일, 펌웨어를 변경하고 인증을 우회하며, 인증 정보를 훼손하고 서비스 거부를 유발하는 등 다양한 악영향을 미칠 수 있다”라고 밝혔다.
 
통칭 ‘OT:ICEFALL’으로 알려진 이 보안 문제는 불안전한 엔지니어링 프로토콜, 부실한 암호 구현 또는 파손된 인증 체계, 안전하지 않은 펌웨어 업데이트 메커니즘, 그리고 원격 코드 실행으로 악용될 수 있는 부실한 네이티브 기능에 기인한다. 실제로 공개된 취약점 중 14%는 원격 코드 실행으로, 21%는 펌웨어 조작으로 이어질 수 있다. 
 
ⓒ Getty Images Bank


이 연구에서 밝혀진 또 다른 흥미로운 사실은 취약 기기 대부분이 OT 환경에 적용되는 각종 표준에 따라 인증을 받았다는 점이다. 예를 들어 IEC62433, NERC CIP, NIST SP 800-82, IEC 51408/CC, IEC62351, DNP2 시큐리티, 모드버스 시큐리티 (Modbus Security) 등이다. 

보고서는 “이들 표준이 주도한 견실화 노력은 분명 보안 프로그램 개발, 위험 관리, 그리고 아키텍처 수준 설계 및 통합 활동에서의 큰 개선에 기여했으나, 개별 시스템 및 컴포넌트의 보안 개발 수명주기를 성숙시키는 데는 미흡했다”라고 결론지었다. 
 

OT의 ‘보안 비내재화’ 역사 

포어스카우트 연구자는 이번 연구에서 발견한 사실과 프로젝트 베이스캠프(Project Basecamp)에서 드러난 사실을 서로 비교했다. 이 프로젝트는 10년 전으로 거슬러 올라가서 산업 설비에 쓰이는 원격 단말 장치(RTUs), 프로그램형 로직 컨트롤러(PLCs), 그리고 SCADA시스템을 구성하는 여타 컨트롤러의 설계 시 불안전 문제에 집중했다. 

그 후 PLC를 노리고 국가 차원에서 개발된 스턱스넷 등 정교한 위협이 발견되면서 프로젝트 베이스캠프에 참여한 연구자는 9/11 사태 이후 ICS 제조업체 및 자산 소유자의 이른바 ‘10년간의 부작위’를 변화시키는 일에 착수했다. 10년 후 OT:ICEFALL은 다수의 동일한 문제, 예를 들어 적절한 인증 및 암호화가 결여된 애매한 소유권적 프로토콜 등이 핵심 인프라 운영 기기에서 변함없이 일상적으로 발생하고 있음을 보여준다. 

포어스카우트의 연구자는 보고서에서 “OT:ICEFALL의 영향을 받는 제품은 핵심 인프라의 중추에 해당하는 산업에 널리 퍼져 있는 것으로 알려졌다. 예를 들어 오일/가스, 화학, 원자력, 전력 생산 및 배급, 제조, 수 처리 및 분배, 광산 및 건물 자동화이다”면서 “이들 제품 가운데 많은 수가 ‘보안 내재화’라면서 판매되거나 OT 보안 표준의 인증을 받았다”라고 말했다. 

이 기본값으로 불안전한 상태가 OT 세계에서 계속되는 동안 공격 수는 증가하고 진화하기만 했다. 스턱스넷 이후로 2016년 우크라이나에서 정전을 유발한 인더스트로이어(Industroyer) 공격, 2017년 사우디아라비아 석유화학 공장의 파괴 시도에 쓰인 트라이턴(TRITON) 악성코드, 올해 우크라이나 변전소를 겨냥했던 인더스트로이어 2 악성코드, INCONTROLLER.APT 툴킷이 있었다. ICS 보안 회사인 드라고스(Dragos)는 ICS 환경을 노리는 19곳의 위협 집단을 추적한다. 여기에는 지난 해 발견되었고 ICS/OT 네트워크 접근 능력을 증명한 3곳이 포함된다. 

OT:ICEFALL 결함은 벤틀리 네바다(Bently Nevada), 에머슨(Emerson), 허니웰(Honeywell), JTEKT, 모토로라(Motorola), 오므론(Omron), 피닉스 컨택(Phoenix Contact), 지멘스(Siemens), 요코가와(Yokogawa)의 기기에 영향을 준다. 이들 기기는 컨디션 모니터, 분산 컨트롤 시스템(DCS), 엔지니어링 워크스테이션, RTUs, PLCs, 빌딩 컨트롤러, 안전 계장 시스템(Safety Instrumented Systems, SIS), SCADA 시스템, 프로토콜 및 로직 런타임을 포함한다. 

로직 런타임(Logic runtime)은 래더 로직(Ladder logic)을 해석하고 실행하는 소프트웨어이다 (기기의 입력 및 출력에 입각해 행동하기 위해 엔지니어에 의해 쓰여진 코드). 예를 들어 피닉스 컨택(Pheonix Contact)의 프로콘OS(ProConOS) 런타임은 여러 업체에서 나온 PLCs에서 사용되면서 결함이 발견되었다 (업로드 된 로직의 암호 인증의 결여). 이 잠재적 공급망 위험은 임의적 코드 실행으로 이어질 수 있다.

보고서는 “소프트웨어 자료 명세(SBOMs)의 결여, 그리고 제품 공급망의 복잡성으로 인해 특정 PLC가 어떤 런타임을 사용하는지 즉시 확실하지 않은 경우가 빈번하다”면서 “일반적으로 런타임은 프로토콜 차이에 따라 버전이 상이하고 OEM의 통합 결정에 좌우된다. PLC 제조업체는 프로토콜이 아니라 런타임을 사용하도록 선택할 수 있다. 아니라면 비-기본 포트 상에서 프로토콜을 이용하도록 선택할 수 있거나 런타임을 완전히 리브랜드 하거나 변경하도록 선택할 수 있다. 업체, CVE 담당기관, CERTs가 공조해 영향을 받는 당사자에게 공급망 취약점을 선제적으로 알리지 않는다면 보안 커뮤니티는 이들을 정기적으로 위험하게 재발견할 수밖에 없고, 이는 CVE 중복과 복잡한 근본 원인 분석으로 이어진다”라고 경고했다. 

예를 들어 과거 프로콘OS의 문제에 할당된 2개의 CVE는 (CVE-2014-9195, CVE-2019-9201) 다른 업체에도 영향을 주었지만 피닉스 컨택 PLC에만 연계되었다. 나중에 요코가와 STARDOM 컨트롤러에서 발견된 문제는 CVE-2016-4860으로 할당되었지만 실제로는 CVE-2014-9195와 동일한 문제였다고 연구자는 말했다. OT:ICEFALL에 포함된 것 등 과거의 여러 ‘기본 값에 의한 불안전’ 문제가 CVE ID를 받지 않았다는 사실에 의해 문제는 더욱 악화된다. 왜냐하면 이들은 전통적인 취약점으로 취급되지 않기 때문이다. 따라서 기업이 추적하기도 힘들다. 
 

OT 기기 취약점의 완화 

포어스카우트는 보고서 공개 중 미국 CISA(U.S. Cybersecurity and Infrastructure Security Agency)와 함께 일했고, CISA는 자체적으로 몇몇 문제에 대해 권고안을 출간했다. 자산 소유자는 기기 제조업체가 패치나 펌웨어 업데이트를 제공할 때 이들을 설치해야 한다. 그러나 규명된 문제 가운데 일부는 상당한 엔지니어링 노력이 필요할 수 있다. 그래서 업체가 이 문제를 오랫동안 방치한 것일 수도 있다. 한편 포어스카우트 팀은 다음과 같은 완화 조치를 추천했다. 
 
  • 취약한 기기를 발견하고 목록을 작성한다. 네트워크 가시성 솔루션은 네트워크 내 취약한 기기의 발견을 가능하게 하고 적절한 제어 및 완화 조치를 적용한다. 
  • 분할 제어 및 적정한 네트워크 위생을 시행해 취약 기기로부터의 위험을 완화한다. 취약 기기가 패치될 수 없는 경우, 또는 패치되기 전까지 외부 통신 경로를 제한하고 분리하거나 봉쇄한다. 방화벽 규칙, 특히 화이트리스트 된 OT 프로토콜을 SME 지식과 대조하며 점검한다. 일부 업체는 프로토콜을 인식하는 보안 기능과 함께 전용 방화벽과 스위치를 제공한다. 
  • 영향을 받은 기기의 업체가 배포하는 패치를 계속 모니터하고 취약한 자산 목록에 대한 치유 계획을 수립하며 비즈니스 위험과 비즈니스 연속성 요건 사이의 균형을 잡는다. 
  • 보안 내재화 불안전 기능을 악용하려고 시도하는 수상한 행동에 대해 모든 네트워크 트래픽을 모니터한다. DPI 기능을 가진 모니터링 솔루션을 이용해 보안 담당자에게 이러한 행동을 경고해 적절한 조치를 취하도록 한다. 
  • 설계에 의해 안전한 제품을 적극적으로 확보하고 가급적 그런 제품으로 이동한다. 조달 요건에 보안 평가를 포함시켜 기기 보안 태세를 평가한다.
  • 네이티브 하드닝 기능을 활용한다. 예를 들면 위험한 엔지니어링 작업이 수행될 수 있기 전에 물리적 상호작용을 요하는 컨트롤러 상의 물리적 모드 스위치가 있다. 몇몇 업체는 이런 기능을 네트워크 수준에서 모방한 플러그-앤-플레이 솔루션을 제공한다. 가능한 경우 운영 모드 스위치 상의 경보를 모니터링 솔루션으로 활성화한다. 
  • 사이버-PHA(Cyber-PHA), CCE 방법론을 준수하면서 영향 축소를 위해 노력하라. 개연성뿐 아니라 사건 파급력을 줄일 때도 중요하다. 
editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.