[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¹Ì±¹ÀÇ ±¹°¡ »çÀ̹ö º¸¾È Àü´ã ±â°üÀÎ CISA°¡ IoT Àåºñµé ¼öõ¸¸ ´ë¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡¿¡ °üÇÑ º¸¾È ±Ç°í¹®À» ¹ßÇ¥Çß´Ù. ÀÌ Ãë¾àÁ¡Àº CVE-2021-28372·Î, º¸¾È ¾÷ü ¸Çµð¾ðÆ®(Mandiant)ÀÇ Á¦ÀÌÅ© ¹ß·¹Å¸(Jake Valletta), ¿¡¸¯ ¹Ù¸£ÁîµÎÄ«½º(Erik Barzdukas), µô·Ð ÇÁ¶ûÅ©(Dillon Franke)°¡ ¹ß°ßÇß´Ù. Ãë¾àÁ¡ÀÇ CVSS Á¡¼ö´Â 9.6Á¡À̶ó°í ÇÑ´Ù.
[À̹ÌÁö = utoimage]
Ãë¾àÁ¡ÀÇ ±Ù¿øÀº Ä®·¹ÀÌ(Kalay)¶ó°í ÇÏ´Â ÇÁ·ÎÅäÄÝÀÌ´Ù. Ä®·¹ÀÌ ÇÁ·ÎÅäÄÝÀº ¸ð¹ÙÀÏÀ̳ª µ¥½ºÅ©Åé ¾ÖÇø®ÄÉÀ̼Çó·³ Ŭ¶óÀ̾ðÆ® ¼ÒÇÁÆ®¿þ¾î¿¡ ÀÏÁ¾ÀÇ SDK ÇüÅ·ΠžÀçµÈ´Ù. ¶ÇÇÑ ³×Æ®¿öÅ© Ä«¸Þ¶ó µî°ú °°Àº »ç¹°ÀÎÅÍ³Ý Àåºñµé¿¡µµ ³Î¸® »ç¿ëµÇ°í ÀÖ´Ù. Ä®·¹À̸¦ °³¹ßÇÑ ¾²·çÅØ(ThroughTek)Àº Àü ¼¼°è¿¡ 8300¸¸ ´ë ÀÌ»óÀÇ ÀåºñµéÀÌ ÇÑ ´Þ¿¡ 11¾ï ¹ø ³Ñ°Ô Ä®·¹ÀÌ ÇÁ·ÎÅäÄÝÀ» ÅëÇÑ ¿¬°á ¿äûÀ» ÇÑ´Ù°í ÇÑ´Ù. ÁÖ¿ä °í°´»çµé·Î´Â IoT Ä«¸Þ¶ó, º£À̺ñ ¸ð´ÏÅÍ, µðÁöÅÐ ºñµð¿À ·¹ÄÚ´õ Á¦Á¶»çµéÀÌ ÀÖ´Ù°í ÇÑ´Ù.
¾²·çÅØÀÇ »óÇ°¿¡¼ ¿À·ù°¡ ¹ß°ßµÈ °Ç À̹øÀÌ Ã³À½ÀÌ ¾Æ´Ï´Ù. ¿ÃÇØ 5¿ù º¸¾È ¾÷ü ³ëÁ¶¹Ì ³×Æ®¿÷½º(Nozomi Networks)°¡ º¸¾È Ä«¸Þ¶ó¿¡ ¿µÇâÀ» ¹ÌÄ¡´Â Ãë¾àÁ¡À» ¾²·çÅØÀÇ ¼ÒÇÁÆ®¿þ¾î¿¡¼ ¹ß°ßÇÑ ¹Ù ÀÖ´Ù. ´Ù¸¸ À̹ø¿¡ ¹ß°ßµÈ CVE-2021-28372ÀÇ °æ¿ì °ø°ÝÀÚ°¡ ¿ø°Ý¿¡¼ Àåºñ¿Í Åë½ÅÇÒ ¼ö ÀÖ°Ô ÇØ Áشٴ À§Ç輺ÀÌ ÀÖ´Ù. Áï ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ °ø°ÝÀÌ °¡´ÉÇÏ´Ù´Â °ÍÀÌ´Ù.
¸Çµð¾ðÆ®ÀÇ ¿¬±¸¿øµéÀº Ä®·¹ÀÌ ÇÁ·ÎÅäÄÝÀ» ºÐ¼®Çϱâ À§ÇØ µÎ °¡Áö Á¢±Ù¹ýÀ» »ç¿ëÇß´Ù. ¸ÕÀú´Â ±¸±Û Ç÷¹ÀÌ¿Í ¾ÖÇà ¾Û½ºÅä¾î¿¡¼ ¾²·çÅØ ¶óÀ̺귯¸®°¡ Æ÷ÇÔµÈ ¾ÖÇø®ÄÉÀ̼ǵéÀ» ´Ù¿î·Îµå ¹Þ¾Æ ºÐÇØÇß´Ù. ±× ´ÙÀ½¿¡´Â Ä®·¹ÀÌ°¡ È°¼ºÈ µÇ¾î ÀÖ´Â ÀåºñµéÀ» Á÷Á¢ ±¸ÀÔÇØ °¢Á¾ ¸ðÀÇ °ø°ÝÀ» ½Ç½ÃÇß´Ù. ƯÈ÷ ¼Ð Á¢±Ù, Æß¿þ¾î À̹ÌÁö ÃßÃâ µîÀÇ °ø°Ý¿¡ ÁýÁßÇß´Ù°í ÇÑ´Ù.
±×·¯¸é¼ ¼ö°³¿ù µ¿¾È Ä®·¹ÀÌ ÇÁ·ÎÅäÄÝÀÇ ±â´ÉÀû ±¸Çö(functional implementation)¿¡ ¼º°øÇß´Ù. ±×·¯¸é¼ ÀÌ ÇÁ·ÎÅäÄÝÀ» ½á¼ ³×Æ®¿öÅ©¿¡¼ Àåºñ¸¦ ¹ß°ßÇÏ°í, Àåºñ¸¦ µî·Ï½ÃÅ°±â°í, ¿ø°Ý Ŭ¶óÀ̾ðÆ®¸¦ ¿¬°á½ÃÅ°°í, ÀÎÁõÇÏ°í, ¿Àµð¿À¿Í ºñµð¿À µ¥ÀÌÅ͸¦ ó¸®ÇÒ ¼ö ÀÖ°Ô µÇ¾ú´Ù. ÇÁ·ÎÅäÄÝ°ú Ä£ÇØÁö´Â ±â°£À» °®°Ô µÈ °ÍÀÌ°í, ±× ÈÄ¿¡´Â Ãë¾àÁ¡À» ã´Â ÀÛ¾÷ÀÌ º»°ÝÀûÀ¸·Î ÁøÇàµÆ´Ù.
±×·¸°Ô ¹ß°ßµÈ °ÍÀÌ CVE-2021-28372ÀÌ´Ù. ¸Çµð¾ðÆ®ÀÇ ¿¬±¸¿øµéÀº ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¡°Ä®·¹ÀÌ°¡ È°¼ºÈ µÈ ÀåºñµéÀÌ Ä®·¹ÀÌ ³×Æ®¿öÅ©¿¡ Á¢±ÙÇÏ°í ¿¬°áµÇ´Â ¹æ½Ä¿¡ Ãë¾àÁ¡ÀÌ ¿µÇâÀ» ¹ÌÄ£´Ù¡±°í ¼³¸íÇÏ°í ÀÖ´Ù. ¡°¿¹¸¦ µé¾î °ø°ÝÀÚ°¡ °ø°Ý ´ë»óÀ¸·Î ¼±Á¤µÈ ÀåºñÀÇ °íÀ¯ ½Äº°ÀÚ(UID)¿¡ Á¢±ÙÇÏ´Â µ¥ ¼º°øÇß´Ù¸é Àåºñ¸¦ ³×Æ®¿öÅ©¿¡ µî·Ï½ÃÅ´À¸·Î½á Ä®·¹ÀÌ ¼¹ö¿¡¼ ±âÁ¸ µî·Ï Àåºñ¸¦ µ¤¾î¾²±â ÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ÀÌ·¯¸é µ¤¾î¾²±â µÈ Àåºñ¿¡ Á¢±ÙÇÒ ¶§ °ø°ÝÀÚ°¡ µî·Ï½ÃÄÑ µÐ Àåºñ·Î Á¢¼ÓÀÌ µË´Ï´Ù. ÀÌ·¸°Ô Àåºñ¸¦ °è¼Ó ¹Ù²ãÄ¡±â Çϸé ÀÚ¿¬½º·´°Ô »ç¿ëÀÚµéÀÇ ID¿Í ºñ¹Ð¹øÈ£±îÁö ¼öÁýÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
¿¬±¸¿øµéÀº ¡°ÈÉÃij½ Å©¸®µ§¼ÈÀ» ÅëÇØ °ø°ÝÀÚµéÀÌ °¢Á¾ Á¤º¸¿¡ Á¢±ÙÇÏ°í ¿ø°Ý ÇÁ·Î½ÃÀú ÄÝÀ» È£ÃâÇÒ ¼ö ÀÖ°Ô µÈ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°ÀÌ·¸°Ô °ø°ÝÀÚ°¡ Á¢±ÙÇÏ°Ô µÈ ³×Æ®¿öÅ©¿¡ RPC ÀÎÅÍÆäÀ̽º Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù¸é ÀåºñÀÇ ¿ÏÀü Àå¾Ç±îÁöµµ ÇÒ ¼ö ÀÖ½À´Ï´Ù.¡±
¹°·Ð ÀÌ·¸°Ô Ä®·¹ÀÌ ÇÁ·ÎÅäÄÝÀ» °ø°ÝÇÏ·Á¸é ¸Çµð¾ðÆ® ¿¬±¸¿øµéó·³ Ä®·¹À̶ó´Â ±â¼ú¿¡ Ä£¼÷ÇØÁ®¾ß ÇÑ´Ù. ¶ÇÇÑ Ä®·¹ÀÌÀÇ UID¸¦ ȹµæÇÏ·Á¸é ¼Ò¼È¿£Áö´Ï¾î¸µ °ø°ÝÀ» µû·Î ÁøÇàÇϱ⵵ ÇØ¾ß ÇÑ´Ù. ȤÀº APIÀÇ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÒ ¼öµµ ÀÖ´Ù. ±ÍÂúÀ» ¼ö ÀÖ°í ¾î·Á¿ï ¼öµµ ÀÖÁö¸¸ ºÒ°¡´ÉÇÑ °Ç ¾Æ´Ï¶ó°í ¸Çµð¾ðÆ®´Â °Á¶ÇÑ´Ù.
¸Çµð¾ðÆ®´Â ÀÌ Ãë¾àÁ¡À» ¾²·çÅØ ¹× CISA¿¡°Ô ¸ÕÀú ¾Ë¸®°í Ãë¾àÁ¡ ÇØ°áÀ» À§ÇÑ ÀÛ¾÷À» ½Ç½ÃÇß´Ù. ¡°Ä®·¹ÀÌ SDK°¡ 3.0 ÀÌÇÏ ¹öÀüÀ̸é 3.3.1.0À̳ª 3.4.2.0À¸·Î ¾÷±×·¹À̵å ÇÏ°í, ¿À½ºÅ°(Authkey)¿Í µ¥ÀÌÅͱ׷¥ Æ®·£½ºÆ÷Æ® ·¹ÀÌ¾î ½ÃÅ¥¸®Æ¼(Datagram Transport Layer Security, DTLS) ±â´ÉÀ» È°¼ºÈ½ÃÄÑ¾ß ÇÕ´Ï´Ù. Ä®·¹ÀÌ SDK°¡ 3.1.10 ÀÌ»ó ¹öÀüÀ̶ó¸é ¿À½ºÅ°¿Í DTLS¸¦ È°¼ºÈ½ÃÅ°´Â °ÍÀ¸·Î ¾î´À Á¤µµ À§Çè¿¡ ´ëóÇÒ ¼ö ÀÖ½À´Ï´Ù. ±× ¿Ü Ä®·¹ÀÌ UID¸¦ º¸È£Çϱâ À§ÇÑ ´Ù¸¥ º¸¾È ÀåÄ¡µéÀ» ¸¶·ÃÇÏ´Â °ÍÀÌ ÁÁ½À´Ï´Ù.¡±
Áß¿äÇÑ °Ç Ä®·¹ÀÌ°¡ žÀçµÈ IoT ÀåºñÀÇ »ç¿ëÀÚ È¤Àº ¼ÒÀ¯ÀÚµéÀÌ´Ù. ¡°¼ÒÇÁÆ®¿þ¾î¿Í ¾ÖÇø®ÄÉÀÌ¼Ç ¾÷µ¥ÀÌÆ®¸¦ ºü¸£°Ô Àû¿ëÇÏ°í, ºñ¹Ð¹øÈ£¸¦ ¾î·Æ°í º¹ÀâÇÏ°Ô ¼³Á¤ÇÏ´Â °Ô Áß¿äÇÕ´Ï´Ù. ¶ÇÇÑ °ø°ø ¿ÍÀÌÆÄÀÌ¿¡ ¿¬°áÇÏ´Â °Íµµ ÀÚÁ¦ÇÏ´Â °ÍÀÌ ÁÁ½À´Ï´Ù.¡± ¶Ç ¸Çµð¾ðÆ®´Â Ä®·¹À̸¦ »ç¿ëÇÏ´Â IoT Á¦Á¶»çµéÀÌ Ä®·¹ÀÌ UID¿Í °ü·ÃµÈ À¥ API¸¦ ´Ü´ÜÈ÷ º¸È£ÇÏ´Â °Ô ¾ÈÀüÇÏ´Ù°í °Á¶Çϱ⵵ Çß´Ù.
3ÁÙ ¿ä¾à
1. IoT Àåºñ ¼öõ¸¸ ´ë¿¡¼ »ç¿ëµÇ°í ÀÖ´Â Ä®·¹ÀÌ ÇÁ·ÎÅäÄÝ¿¡¼ Ãë¾àÁ¡ ¹ß°ßµÊ.
2. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â µ¥ ¼º°øÇÏ¸é ³×Æ®¿öÅ©¿¡ ħÅõÇØ Àåºñ ¿ÏÀü Àå¾ÇÇÒ ¼ö ÀÖÀ½.
3. ¹°·Ð ±×·¯·Á¸é Ä®·¹ÀÌ ÇÁ·ÎÅäÄÝÀ̶ó´Â °Í¿¡ ´ëÇÑ ³ôÀº ÀÌÇصµ°¡ °®ÃçÁ®¾ß ÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>