Home > 전체기사
최근 발견된 원격 코드 실행 취약점, ICS에 특히 위험해
  |  입력 : 2019-05-20 17:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS가 5월 정기 패치 통해 해결한 취약점...특히 ICS에 치명적
패치 할 수 없는 경우 많아서...최소한의 망분리와 모니터링 실시해야


[보안뉴스 문가용 기자] 최근 마이크로소프트가 패치한 치명적인 취약점 하나가 산업 환경에서 대단히 위험하게 작용할 수 있다고 보안 전문가들이 경고했다. 이 취약점은 이번 달 첫 번째 화요일에 패치된 약 80개의 취약점들 중 하나로, CVE-2019-0708이라는 번호가 붙었다.

[이미지 = iclickart]


CVE-2019-0708은 여러 윈도우 버전의 원격 데스크톱 시스템(RDS - 이전에는 터미널 서비스(Terminal Services)라고 불렸다)에 영향을 준다. 인증 받지 않은 공격자가 이 취약점을 통해 장비를 완전히 장악할 수 있게 된다. 특히 사용자 측에서 해야 할 행동이 아무 것도 없어 위험하다. 특수하게 조작된 요청을 공격 표적이 된 장비의 RDS로 전송하면 공격이 성립된다.

마이크로소프트는 이 취약점에 대한 패치를 다양한 윈도우 버전에 따라 마련했다. 윈도우 7, 윈도우 서버 2008, 윈도우 XP, 윈도우 서버 2003이 여기에 포함된다. 즉, 이 취약점이 대단히 위험하기 때문에 지원이 끝난 윈도우 버전까지도 패치를 개발했다는 것이다. 윈도우 8과 윈도우 10은 애초에 이 취약점을 보유하지 않고 있다.

이 취약점은 제일 먼저 영국의 국립사이버보안센터(NCSC)가 발견해 MS에 알린 것으로 알려져 있다. MS에 의하면 특히나 RDS를 통해 원격 관리를 실시하고 있는 산업 환경이 위험할 수 있다고 한다.

산업 시스템의 사이버 보안 전문 업체인 드라고스(Dragos)는 산업 제어 시스템(ICS)이 특히 더 큰 위험에 노출되어 있는 이유는, 윈도우 XP나 7 등 지원이 끝난 시스템이 꽤나 많이 존재하기 때문이라고 짚었다. “또한 산업 환경 내에서는 업데이트가 잘 적용되지도 않죠. 업데이트 때문에 가동을 조금이라도 멈출 수 없는 곳이 많기 때문입니다.”

드라고스는 “NLA를 활성화시키면 괜찮은 방어를 할 수 있는 게 사실이지만, 공격자들이 크리덴셜을 훔치는 공격을 실시했을 경우는 무력해진다”고 설명한다. “다행히 아직 CVE-2019-0708 취약점에 대한 익스플로잇 행위가 실제로 발견되지는 않았습니다. 하지만 MS가 개념증명 코드를 개발한 것을 보면, 공격자들도 충분히 할 수 있습니다. 따라서 실제 공격이 조만간 등장할 것이라고 봅니다.”

“ICS 시스템에서는 안정성이 굉장히 중요합니다. 즉 장비가 24시간 끊임없이 돌아가야만 하는 경우가 많다는 겁니다. 패치를 적용하기 위해 조금 멈춘다? 그 잠깐 큰 손해로 연결될 때가 많습니다. 그러니 사업주들이 보안 업데이트를 잘 하지 않습니다. 당해보고 나서야 알죠. 차라리 패치를 하느라 멈추는 게 훨씬 현명했다는 것을요.” 드라고스의 설명이다.

“자산 소유자나 운영자 모두 마이크로소프트의 최신 패치를 받아서 실험해봐야 합니다. 그러고 나서 실제 생산 현장에 있는 시스템들을 업데이트 해야 합니다. ICS 시스템에 대한 최초 진입 통로가 될 수 있는 DMZ 점프 박스(DMZ Jump Box) 시스템에 있어서는 특히나 중요합니다.”

또 다른 ICS 보안 전문 업체인 사이버엑스(CyberX)는 전 세계의 생산 운영 기술(OT) 네트워크 850여 개를 조사한 바 있다. 그 결과 53%가 지원이 종료된 윈도우를 기반으로 하고 있다는 사실을 알아냈다. 당연히 CVE-2019-0708 취약점이 다량으로 발견되기도 했다.

“문제의 근원은 산업 환경에서 시스템을 멈추고 패치를 한다는 게 거의 불가능에 가깝다는 겁니다. 그리고 그 이유가 타당한 경우가 많습니다. 석유 생산 시설이나 전기 생산 및 공급 시설의 경우 커다란 피해가 발생할 수밖에 없죠.” 사이버엑스의 부회장인 필 너레이(Phil Neray)의 설명이다. “그런 조직의 경우 최소한 망을 분리시키고 지속적 모니터링을 도입시켜야만 최소한의 안전을 보장할 수 있습니다.”

생산 장비 제조사들도 고객들에게 CVE-2019-0708 취약점에 대해 알리기 시작했다. 지멘스의 경우 의료용 사물인터넷 장비들 중에서 이 취약점이 발견된 것들이 있어서 의료 산업 고객들에게 보안 권고문을 발송했다고 한다.

3줄 요약
1. 최근 패치된 MS의 CVE-2019-0708 취약점, ICS에 특히나 치명적일 수 있음.
2. 얼마나 시급한 문제냐면, 윈도우 XP와 7 등 지원이 끝난 버전에 대한 패치도 발표됨.
3. 적용이 불가능한 환경이라면 최소한 망분리와 지속적 네트워크 모니터링이라도 실시해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

엔클라우드
VMS / 스위치

알에프코리아
무선 브릿지 / AP

씨아이즈
IP 카메라 / 비디오 컨트롤

엘림광통신
광전송링크

금성보안
CCTV / 출입통제 / NVR

씨큐리티에비던스
카메라

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

유니온커뮤니티
생체인식 / 출입통제

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

화인박스
콘트롤박스 / 배전향