최근 발견된 원격 코드 실행 취약점, ICS에 특히 위험해 > 보안뉴스

보안뉴스

최근 발견된 원격 코드 실행 취약점, ICS에 특히 위험해

페이지 정보

작성자 리얼시큐 댓글 0건 조회 85회 작성일 19-05-21 09:03

본문

MS가 5월 정기 패치 통해 해결한 취약점...특히 ICS에 치명적
패치 할 수 없는 경우 많아서...최소한의 망분리와 모니터링 실시해야

[보안뉴스 문가용 기자] 최근 마이크로소프트가 패치한 치명적인 취약점 하나가 산업 환경에서 대단히 위험하게 작용할 수 있다고 보안 전문가들이 경고했다. 이 취약점은 이번 달 첫 번째 화요일에 패치된 약 80개의 취약점들 중 하나로, CVE-2019-0708이라는 번호가 붙었다.

CVE-2019-0708은 여러 윈도우 버전의 원격 데스크톱 시스템(RDS - 이전에는 터미널 서비스(Terminal Services)라고 불렸다)에 영향을 준다. 인증 받지 않은 공격자가 이 취약점을 통해 장비를 완전히 장악할 수 있게 된다. 특히 사용자 측에서 해야 할 행동이 아무 것도 없어 위험하다. 특수하게 조작된 요청을 공격 표적이 된 장비의 RDS로 전송하면 공격이 성립된다.

마이크로소프트는 이 취약점에 대한 패치를 다양한 윈도우 버전에 따라 마련했다. 윈도우 7, 윈도우 서버 2008, 윈도우 XP, 윈도우 서버 2003이 여기에 포함된다. 즉, 이 취약점이 대단히 위험하기 때문에 지원이 끝난 윈도우 버전까지도 패치를 개발했다는 것이다. 윈도우 8과 윈도우 10은 애초에 이 취약점을 보유하지 않고 있다.

이 취약점은 제일 먼저 영국의 국립사이버보안센터(NCSC)가 발견해 MS에 알린 것으로 알려져 있다. MS에 의하면 특히나 RDS를 통해 원격 관리를 실시하고 있는 산업 환경이 위험할 수 있다고 한다.

산업 시스템의 사이버 보안 전문 업체인 드라고스(Dragos)는 산업 제어 시스템(ICS)이 특히 더 큰 위험에 노출되어 있는 이유는, 윈도우 XP나 7 등 지원이 끝난 시스템이 꽤나 많이 존재하기 때문이라고 짚었다. “또한 산업 환경 내에서는 업데이트가 잘 적용되지도 않죠. 업데이트 때문에 가동을 조금이라도 멈출 수 없는 곳이 많기 때문입니다.”

드라고스는 “NLA를 활성화시키면 괜찮은 방어를 할 수 있는 게 사실이지만, 공격자들이 크리덴셜을 훔치는 공격을 실시했을 경우는 무력해진다”고 설명한다. “다행히 아직 CVE-2019-0708 취약점에 대한 익스플로잇 행위가 실제로 발견되지는 않았습니다. 하지만 MS가 개념증명 코드를 개발한 것을 보면, 공격자들도 충분히 할 수 있습니다. 따라서 실제 공격이 조만간 등장할 것이라고 봅니다.”

“ICS 시스템에서는 안정성이 굉장히 중요합니다. 즉 장비가 24시간 끊임없이 돌아가야만 하는 경우가 많다는 겁니다. 패치를 적용하기 위해 조금 멈춘다? 그 잠깐 큰 손해로 연결될 때가 많습니다. 그러니 사업주들이 보안 업데이트를 잘 하지 않습니다. 당해보고 나서야 알죠. 차라리 패치를 하느라 멈추는 게 훨씬 현명했다는 것을요.” 드라고스의 설명이다.

“자산 소유자나 운영자 모두 마이크로소프트의 최신 패치를 받아서 실험해봐야 합니다. 그러고 나서 실제 생산 현장에 있는 시스템들을 업데이트 해야 합니다. ICS 시스템에 대한 최초 진입 통로가 될 수 있는 DMZ 점프 박스(DMZ Jump Box) 시스템에 있어서는 특히나 중요합니다.”

또 다른 ICS 보안 전문 업체인 사이버엑스(CyberX)는 전 세계의 생산 운영 기술(OT) 네트워크 850여 개를 조사한 바 있다. 그 결과 53%가 지원이 종료된 윈도우를 기반으로 하고 있다는 사실을 알아냈다. 당연히 CVE-2019-0708 취약점이 다량으로 발견되기도 했다.

“문제의 근원은 산업 환경에서 시스템을 멈추고 패치를 한다는 게 거의 불가능에 가깝다는 겁니다. 그리고 그 이유가 타당한 경우가 많습니다. 석유 생산 시설이나 전기 생산 및 공급 시설의 경우 커다란 피해가 발생할 수밖에 없죠.” 사이버엑스의 부회장인 필 너레이(Phil Neray)의 설명이다. “그런 조직의 경우 최소한 망을 분리시키고 지속적 모니터링을 도입시켜야만 최소한의 안전을 보장할 수 있습니다.”

생산 장비 제조사들도 고객들에게 CVE-2019-0708 취약점에 대해 알리기 시작했다. 지멘스의 경우 의료용 사물인터넷 장비들 중에서 이 취약점이 발견된 것들이 있어서 의료 산업 고객들에게 보안 권고문을 발송했다고 한다.

3줄 요약
1. 최근 패치된 MS의 CVE-2019-0708 취약점, ICS에 특히나 치명적일 수 있음.
2. 얼마나 시급한 문제냐면, 윈도우 XP와 7 등 지원이 끝난 버전에 대한 패치도 발표됨.
3. 적용이 불가능한 환경이라면 최소한 망분리와 지속적 네트워크 모니터링이라도 실시해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

출처 : 보안뉴스
url : https://www.boannews.com/media/view.asp?idx=79662

댓글목록

등록된 댓글이 없습니다.

바운스메일