망분리까지 무력화시킨다? 시스코가 발표한 패치, 긴급 적용해야

레이어 2의 ‘시스코 디스커버리 프로토콜’에서 치명적 취약점 다섯 개 발견돼
망분리라고 해서 무조건 안전하다고 믿어서는 안 돼...시스코 패치 적용해야 안전

[보안뉴스 문가용 기자] 시스코가 자사 프로토콜에서 발견된 치명적인 취약점 다섯 개를 패치했다. 문제의 프로토콜은 시스코 디스커버리 프로토콜(Cisco Discovery Protocol, CDP)로, 한 네트워크에 연결된 시스코 장비를 전부 매핑하고, 장비 간 정보 공유를 돕는 역할을 담당한다.

[이미지 = iclickart]

취약점들을 제일 먼저 발견한 건 보안 업체 아미스(Armis)다. 여기 연구원들은 이번에 시스코 프로토콜에서 발견된 취약점들을 시디폰(CDPwn)이라고 통칭하고 있다. “공격자들이 시디폰을 익스플로잇 하는 데 성공할 경우, 망분리를 무용지물로 만들고 수백만에 달하는 장비를 원격에서 장악할 수 있게 됩니다.”

CDP는 레이어 2(Layer 2)의 프로토콜로, 네트워크에 등록된 로컬 시스코 장비들이 무엇인지 전부 찾아내준다. 장비를 목록화 하고 관리하기에 편리한 프로토콜로, 사실상 시스코의 거의 모든 장비들에 구현되어 있기도 하다. “CDP가 구현된 장비의 특징은, 대부분 CDP 기능을 끌 수 없도록 설계되어 있다는 것입니다.”

아미스의 부회장인 벤 세리(Ben Seri)는 “레이어 2 프로토콜은 그 종류가 끝도 없이 많다”며 “이번에 우리가 조사한 CDP는 그 중의 일부일 뿐”이라고 말한다. “현대 네트워크 담당자들 대부분 이 레이어 2 프로토콜에 대해서는 그리 깊은 관심을 갖고 있지 않습니다. 무시되는 부분이죠. 하지만 오늘 날의 IT 인프라에서 안전을 기하기 위해 망분리라는 기술에 의존하고 있다면, 반드시 레이어 2를 더 진지하게 연구해야 합니다. 진짜 우리가 생각하는 것만큼 안전한 것인지 확인을 해봐야 한다는 것이죠.”

아미스가 발견한 취약점들을 익스플로잇 하기 위해서는 한 가지 조건이 성립되어야 한다. 이미 공격 표적이 된 네트워크에 접근한 상태여야 한다는 것이다. “시디폰 취약점을 통해 침투 자체를 이뤄낼 수는 없습니다. 일단 침투에 성공한 후 활용할 수 있는 취약점이 시디폰입니다. 하지만 요즘 사물인터넷 장비들의 보안 수준을 생각했을 때 이는 그리 어려운 성립 조건이 아니라고 봅니다.”

네트워크에 접근하는 데 성공한 공격자는 특수하게 조작한 CDP 패킷을 같은 네트워크에 연결된 시스코 장비에 보냄으로써 익스플로잇을 시작할 수 있다. “시디폰 취약점은 총 5개입니다. 이 중 4내는 원격 코드 실행 취약점이고, 1개는 디도스 유발 취약점입니다.” 이를 정리하면 다음과 같다.

1) CVE-2020-3118 : 포맷 문자열 오류. 특정 포맷의 문자열을 사용해 스택 오버플로우를 발동시키면 원격 코드 실행이 가능한 상태가 된다. 공격자는 이 취약점을 통해 장비를 완전히 장악하고 분리된 망을 넘나들 수 있게 된다.

2) CVE-2020-3119 : 스택 오버플로우를 통해 원격 코드 실행이 가능해지도록 만드는 취약점이다. 공격자는 정상적인 CDP 패킷을 사용하되 파워 레벨을 살짝 높임으로써 취약점을 발동시키고 장비를 장악할 수 있게 된다.

3) CVE-2020-3110 : 힙 오버플로우 취약점으로, 공격자가 지나치게 큰 포트 ID 필드 값이 포함된 CDP 패킷을 전송함으로써 익스플로잇 할 수 있게 된다. 원격 코드 실행으로 이어진다.

4) CVE-2020-3111 : 스택 오버플로우 취약점으로, 역시 원격 코드 실행으로까지 이어진다.

5) CVE-2020-3120 : 디도스 취약점으로, 라우터의 CDP 데몬을 만들고 대량의 메모리 블록을 배정함으로써 발동시키는 게 가능하다. 성공하면 프로세스가 마비된다. 피해자는 자꾸만 시스템을 리부트 시켜야 한다.

이 취약점들을 연쇄적으로 익스플로잇 할 경우, 다양한 사이버 공격의 조합이 탄생한다. “데이터 유출, 민감 정보 열람, 사업 행위 방해 등이 바로 그것입니다. 중간자 공격도 할 수 있고, 각종 트래픽을 가로채는 것도 가능하게 됩니다.”

아미스가 시스코 측에 시디폰 취약점의 존재에 대해 알린 건 지난 8월 29일이다. 그 때부터 지금까지 두 회사는 패치 개발과 실험을 공동으로 진행했다고 한다. 패치는 이번 주 수요일부터 배포되기 시작했다. “망분리를 무력화 시키는 취약점은, 어떤 조직에서나 시급히 다루어야 합니다. 망분리만큼 모두가 ‘안전한 방법’이라고 신뢰하는 것도 드물기 때문입니다.” 아미스의 설명이다.

“사물인터넷 장비들이 기업 네트워크로 편입되기 시작하면서, 보안이 돌봐야 할 건 데스크톱이나 랩톱을 넘어섰습니다. 이제 수많은 장비들에도 보호의 눈길을 돌려야 합니다. 하지만 그런 장비가 너무나 많기 때문에 하나하나 안전하게 보호한다는 건 불가능하고, 그래서 망분리가 더 각광을 받고 있습니다. 그러나 그 망분리도 만능은 아닐 수 있습니다. 이론상 안전하게 보이는 것들도 실제로 점검하고 확인하는 태도가 필요합니다.”

3줄 요약
1. 시스코의 레이어 2 프로토콜에서 치명적인 취약점 다섯 개 발견됨.
2. 이 취약점 활용하려면 네트워크에 침투한 상태여야 하나, 까다로운 전제 조건은 아님.
3. 익스플로잇에 성공하면 망분리까지도 무력화시킬 수 있어 패치 적용 서둘러야 함.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)