실시간 운영 체제 브이엑스웍스에서 취약점 11개 나와

우주항공, 의료, 공업, 자동차 등 각종 산업에서 두루 사용되는 실시간 운영 체제
취약점 총 11개 중 6개가 ‘치명적으로 위험’...생명 위협하는 사태까지 벌어질 수 있어

[보안뉴스 문가용 기자] 윈드 리버(Wind River) 사가 만든 실시간 운영 체제(RTOS)인 브이엑스웍스(VxWorks)에서 취약점이 무려 11개나 발견됐다. 이 중 6개는 ‘치명적 위험’을 가진 것으로 분석됐다. 이 취약점들을 남용할 경우 사용자의 개입 없이도 원격에서 장비를 완전 장악하는 게 가능하다고 한다.

[이미지 = iclickart]

브이엑스웍스는 사회 기반 시설에서 널리 사용되는 시스템이다. IoT 보안 전문 회사인 아르미스(Armis)는 이런 브이엑스웍스에서 발견된 11개의 취약점을 통합해 ‘어전트일레븐(Urgent/11)’이라고 부르기로 했다. 부회장인 벤 세리(Ben Seri)는 “브이엑스웍스를 사용하고 있는 산업은 대단히 많다”며 “의료, 생산, 보안 등에서 매일 발생하는 일들을 처리하는 데 브이엑스웍스가 필수적인 역할을 하는 때가 많다”고 설명한다.

윈드 리버 측은 자사 웹사이트를 통해 브이엑스웍스를 사용하는 산업과 기업, 조직을 다음과 같이 분류하고 있다.
1) 우주항공(보잉, NASA, JPL, 노스롭그루만, BAE 등)
2) 공업(로크웰 오토메이션, 오므론, 미쓰비시, 도시바 등)
3) 모터(포드, 보쉬, 모터스포트, 클라리온, 현대 모비스 등)
4) 의료(올림푸스, 배리언 메디컬 시스템즈 등)

아르미스는 “이 취약점들을 익스플로잇 하는 데 성공할 경우 공장의 가동을 멈출 수 있고, 환자가 사용하는 기계를 장악해 목숨을 좌지우지 할 수도 있게 된다”고 경고했다.

취약점들이 존재하는 곳은 브이엑스웍스의 아이피넷(IPnet) 관련 요소들이다. 브이엑스웍스의 아이피넷을 활용하는 모든 커텍티드 장비들이 최소 한 개 이상의 취약점의 영향권 아래 들어간다. 2006년부터 출시된 브이엑스웍스 모든 공식 버전들에 이 취약점들이 있는 것으로 알려져 있다.

아르미스의 CEO인 예브게니 디브로프(Yevgeny Dibrov)는 “브이엑스웍스에서 발견된 어전트일레븐 취약점들은 경우에 따라 매우 심각한 피해를 일으킬 수 있으니, 해당 시스템을 보유한 조직들은 브이엑스웍스와 관련된 보안 문제를 진지하게 찾아내고, 장비 및 네트워크를 보호해야 한다”고 경고했다. 그러면서 “데이터 조작, 물리 장비 고장, 인명 피해 유발 등”의 피해를 꼽았다.

주로 스카다(SCADA) 장비나, 공업용 제어 장치, 환자 모니터링 시스템, MRI 기기, 방화벽, VOIP 전화기, 인쇄기 등이 취약한 것으로 알려져 있으나, 더 많은 종류의 장비들이 위험에 처했을 수도 있다고 한다.

아르미스가 꼽은 공격 시나리오는 총 세 가지로, 다음과 같다.
1) 네트워크 내에 있는 취약한 장비를 공격한다(방화벽 등). 실제로 쇼단을 검색해보면 인터넷에 연결된 방화벽이 80만 8천 대 정도 있는 것으로 나타난다. 이 중 절반 이상이 미국에 있다고 한다. 공격자들은 특수하게 조작된 TCP 패킷을 사용해 이러한 방화벽들을 동시에 공략할 수 있고, 이를 통해 네트워크에 침투할 수 있게 된다.

2) 외부망으로 연결이 성립된 장비들 중 어전트일레븐 취약점이 있는 것을 직접 노린다. 좋은 예로 프린터가 있다. 방화벽 뒤에서 보호를 받고 있긴 하지만, 구글 클라우드 프린팅(Google Cloud Printing)과 같은 클라우드 서비스에도 연결되어 있다. 그렇기 때문에 DNS피오나지(DNSpionage) 캠페인에서 사용된 것과 같은 기술을 사용해 TCP 연결을 가로챌 수 있다. 그런 상태라면 어전트일레븐의 원격 코드 실행 오류를 발동시켜, 네트워크 내 모든 브이엑스웍스 장비들을 장악하는 게 가능하다.

3) 위 두 가지 공격 방법을 사용해 네트워크에 미리 침투하는 데 성공한 공격자라면, 공격 표적이 되는 브이엑스웍스 장비에 공격자가 만든 패킷을 전송해 장비를 완전 장악할 수 있다. 이 때 사용자의 개입이 하나도 필요하지 않게 된다. 어전트일레븐 취약점들이 악성 패킷을 네트워크 전체에 방송함으로써 모든 브이엑스웍스 장비들의 동시 장악을 가능하게 하기 때문이다.

원격 코드 실행을 가능하게 해주는 취약점은 총 6개다.
1) CVE-2019-12256 : IPv4 옵션을 검사할 때 나타나는 스택 오버플로우 취약점
2) CVE-2019-12255, 12260, 12261, 12263 : TCP의 어전트 포인터(Urgent Pointer) 필드 처리에서 나타나는 메모리 변형 취약점
3) CVE-2019-12257 : DHCP 오퍼/ACK의 힙 오버플로우 취약점

나머지 다섯 개 취약점은 디도스, 정보 노출, 논리 오류 등을 일으킬 수 있다.
1) CVE-2019-12258 : TCP 연결의 서비스 거부
2) CVE-2019-12262 : 리버스 ARP 처리와 관련된 논리 오류
3) CVE-2019-12264 : ipdhcpc DHCP 클라이언트의 IPv4 관련 논리 오류
4) CVE-2019-12259 : IG MP의 널 역참조를 통한 서비스 거부
5) CVE-2019-12265 : IGMPv3를 통한 정보 유출

아르미스의 연구원들은 어전트일레븐에 관한 보다 상세한 내용을 8월에 열리는 보안 행사인 블랙햇(Black Hat)을 통해 공개할 예정이다.

3줄 요약
1. 각종 사회 기반 시설에서 널리 사용되는 실시간 운영 체제에서 취약점 11개 발견됨.
2. 이 11개 취약점들 중 절반 이상이 치명적인 위험도를 가지고 있음.
3. 장비 장악, 디도스, 정보 유출, 정보 조작 등의 결과를 초래할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)