Home > 전체기사
산업 장비에서 발견된 취약점, 5년만에 세상에 공개돼
  |  입력 : 2019-11-19 11:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
댐, 제조, 에너지, 수자원, 식품, 화학 시설 등에서 사용되는 장비, PGIM
5년 전에 발견됐으나 이제야 공개돼...국가 안보에 직접 영향주는 취약점


[보안뉴스 문가용 기자] 스위스의 산업 기술 장비와 솔루션 개발사인 ABB가 제품 일부에서 발견된 치명적 위험도의 취약점을 5년만에 공개했다. 미국 국토안보부 산하 사이버 보안 전문 기관인 CISA는 이 내용에 대한 경고문을 발표했다. 전 세계 곳곳에 사용되는 제품이라 빠른 대처가 필요해 보인다는 내용이었다.

[이미지 = iclickart]


문제의 제품은 ABB사의 전력생산정보관리자(Power Generation Information Manager, PGIM)와 그 부모 세대에 해당하는 플랜트 커넥트(Plant Connect)이며, 발견된 건 인증 우회 취약점이다. 이 두 가지 제품은 세계 곳곳, 여러 분야에서 사용되고 있다고 한다. “댐, 주요 제조 시설, 에너지 및 수자원 관리, 폐수 처리, 식품 및 농업, 화학 분야 등 다방면에 두루 활용되고 있습니다.”

취약점의 번호는 CVE-2019-18250으로 CVSS 점수를 기준으로 9.8점을 받았다. 공격자는 PGIM 크리덴셜을 획득함으로써 윈도우 시스템에 대한 크리덴셜까지 노려볼 수 있게 되고, 이러한 성과를 바탕으로 히스토리 데이터나 이벤트 로그를 삭제할 수 있게 된다. 또한 제어 관련 플랫폼에서 쓰기 권한을 가져갈 수도 있게 된다고 한다.

ABB 플랜트 커넥트는 구세대 제품으로, ABB사도 서서히 이 장비에 대한 지원을 줄여나가고 있으며 2020년 1월까지 PGIM에서의 플랜트 커넥트 호환성을 대폭 줄일 계획이다. 따라서 보다 최신 제품이나 버전으로의 업그레이드가 권장되고 있다.

문제의 취약점을 제일 먼저 발견하고 ABB에 알린 건 스웨덴의 컨설팅 기업인 보드포스 컨설팅(Bodforss Consulting)의 리카드 보드포스(Rikard Bodforss)라는 IT 및 OT 보안 전문가다. ABB에 보고가 들어간 시점은 무려 2014년이며, ABB 측은 그때부터 지금까지 “큰 문제가 아니다”라는 자세를 일관되게 유지해왔다고 한다. “패치와 고객에 고지하는 과정을 진행 중에 있다”고도 약속했지만 지켜지지 않았다.

ABB가 갑자기 태도를 바꿔 이를 공개하고 잊었던 약속을 지키기 시작한 건 보드포스가 스웨덴에서 열린 ICS/SCADA 보안 컨퍼런스에서 이 문제를 언급했기 때문이다. 보드포스는 PGIM의 오류를 상세히 공개했을뿐만 아니라 개념증명용 익스플로잇까지도 발표했다. 이를 통해 크리덴셜을 훔쳐갈 수 있다는 게 증명됐다.

보드포스는 “고객사 중 한 곳이 취약한 제품을 최근까지 사용하고 있었기 때문에, 보호 차원에서 공개할 수 없었다”고 설명했다. 또한 “국가 안보에도 직접적인 영향을 미치는 취약점이라 패치가 나오지 않은 상태에서 공개한다는 생각을 하기가 쉽지 않았다”고도 말했다. “지금에 와서 공개하는 건, 중요한 고객사가 제품을 업그레이드 했고, ABB사가 보안 권고문과 패치를 조만간 발표할 것을 기대하기 때문입니다.” 하지만 그의 발표가 있고서 1주일이 지나도 ABB사는 아무런 움직임을 보이지 않았다.

하지만 ABB사는 뒤에서 보드포스를 만나 문제 해결을 위한 작업을 함께 진행한 것으로 보인다. 보드포스는 “스웨덴에서의 강연이 끝난 이후 ABB사와 해당 문제를 해결하기 위한 작업을 진행 중에 있다”고 말했다. “강연 전에는 제가 연락을 하면 절 병균처럼 대했는데, 지금은 그렇지 않습니다. 태도가 바뀌었습니다.”

보드포스는 사이버 공격자들도 이 취약점에 대해 알고 있을 가능성이 매우 높다고 보고 있다. “무려 5년이나 된 취약점입니다. 사이버전을 하려는 공격자들이 가장 좋아할 만한 장비에서 나타난 것이고요. 국가 지원을 받는 단체들이 몰랐을 리가 없습니다. 제가 익스플로잇을 공개한 게 상황을 크게 악화시킬 거라고 보지 않습니다.” 하지만 ABB사는 “아직까지 공격자들이 실제로 익스플로잇 했다는 보고를 받은 적이 없다”고 반박했다.

ABB는 왜 5년이나 해당 취약점에 대해 함구했을까? “저희는 2016년 심포니 플러스 히스토리안(Symphony Plus Historian)이라는 PGIM의 후속 제품을 발표하면서 ‘이전 제품보다 보안이 강화됐다’고 고객들에게 알렸습니다. 당시 PGIM에 존재하는 취약점들에 대한 픽스도 포함되어 있다고 명시했고요.”

ABB에 의하면 공격자가 취약점을 익스플로잇 할 경우 PGIM 사용자 크리덴셜을 훔쳐갈 수 있다고 한다. 트래픽을 스니핑하거나 특수하고 조작된 메시지를 서버로 전송함으로써 이런 공격을 실행하는 게 가능하다는 설명도 덧붙었다. 보드포스가 개념증명용 코드로 선보인 건 두 번째 방법이다. 사용자 이름과 비밀번호를 넘기라는 요청을 서버에 전송했고, 서버는 그 명령을 실행했다.

PGIM용 크리덴셜과 윈도우 로그인 크리덴셜을 동일하게 사용하는 조직이라면 이러한 공격으로 인해 더 큰 피해를 입을 수 있게 된다. 보드포스는 “그런 경우 공격자가 깊숙한 곳까지 침투할 수 있다”고 경고했다.

3줄 요약
1. 스위스의 산업 장비 시설, PGIM에서 취약점 발견됨. 5년 전에.
2. 제조사 측은 5년 동안 침묵하고 있다가 취약점이 공개되자 움직이기 시작.
3. 제조사는 신제품 발표하면서 패치 사실 언급했다고 주장.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)