OT 환경을 위협하는 요인들은 다양하다. 이 중 OAS 플랫폼이 최근 문제가 되고 있다. OAS 플랫폼은 여러 시설에서 사용되는 것으로 다양한 벤더의 제품들 간 데이터 이동을 자유롭게 해 준다. 따라서 여기서 발견된 취약점들은 파급력이 생각보다 클 수 있다.

[보안뉴스 문가용 기자] 산업용 IoT 데이터 플랫폼 벤더인 오픈 오토메이션 소프트웨어(Open Automation Software, OAS)의 솔루션에서 초고위험도 취약점 2개가 발견됐다고 시스코의 탈로스 팀이 밝혔다. OAS는 이러한 내용을 일찌감치 제보 받아 이번 달 패치를 발표했다. 이 외에도 6개의 취약점이 여러 버전에서 함께 발견되고 다뤄졌다.

2개의 취약점 중 하나는 CVE-2022-26082이다. 익스플로잇에 성공할 경우 공격자들은 원격에서 악성 코드를 실행할 수 있게 된다. 나머지 하나는 CVE-2022-26833으로, 익스플로잇에 성공할 경우 공격자는 REST API를 인증 과정 없이 사용해 시스템 설정을 마음대로 할 수 있고 데이터도 마음대로 열람할 수 있게 된다. 전자는 CVSS 기준 9.1점, 후자는 9.4점을 받았다

나머지 취약점들은 OAS 플랫폼(OAS Platform) 16.00.0112 버전의 여러 요소에서 발견됐으며, CVSS 기준 4.9~7.5점으로 다양하게 분포되어 있다. 정보 노출 취약점, 디도스 공격 취약점, 비승인 설정 변경 취약점 등으로 분석됐다. 업그레이드 된 버전을 사용할 수 없는 조직이라면 망을 철저하게 분리하여야 한다고 시스코 탈로스 팀은 강조했다.

OAS 플랫폼은 산업용 IoT 환경 내 다양한 플랫폼들 간 데이터 이동을 보다 자유롭고 편리하게 만들어주기 위해 마련됐다. 예를 들어 앨런브래들리(Allen Bradley) 사에서 만든 PLC의 데이터를 지멘스 사의 PLC로 옮길 때 바로 이 OAS 플랫폼이 활용된다. 이를 가능하게 하는 건 ‘유니버설 데이터 커넥트(Universal Data Connect)’라고 하는 기술이다. 예로 든 PLC만이 아니라 각종 애플리케이션과 데이터베이스 간의 데이터 이동도 가능하게 만들어준다. 그 외에도 OAS 플랫폼은 데이터의 로깅과 수집도 가능하게 해 준다. 화학, 건설, 운송, 석유, 가스 시설에서 널리 사용되고 있다.

초고위험도 오류
원격 코드 실행을 가능하게 하는 CVE-2022-26082 취약점의 경우 OAS 플랫폼 16.00.0112 버전 내 안전 파일 전송 기능에서 발견됐다. 공격자가 정확하게 조작한 설정 메시지를 연속적으로 OAS 플랫폼에 전송할 경우 임의의 파일을 업로드 할 수 있게 되며, 이를 이용해 피해자의 시스템에서 명령을 실행시키는 게 가능하다.

탈로스 팀은 “이러한 공격을 막기 위해 가장 간단히 취할 수 있는 조치는 설정을 위한 포트(보통 디폴트로는 TCP/58727)에 대한 원격 접근을 막는 것”이라고 설명한다. 하지만 이는 생산성을 저해하기도 하고, 온전한 조치는 아니기 때문에 패치를 적용하는 것이 가장 안전하다고 강조하기도 했다.

REST API와 관계된 취약점인 CVE-2022-26833의 경우 인증 시스템의 오류로 인해 발동되는 것이라고 하며, 위의 취약점과는 다르게 OAS 플랫폼 16.00.0121 버전에서 발견됐다. 인증 과정을 통과하지 않은 공격자가 REST API에 접근할 수 있게 해 주며, 이를 통해 공격자는 특수하게 조작된 HTTP 요청들을 소프트웨어 전송할 수 있게 된다.

이 위험을 완화시키려면 사용자 조직에서 보안 그룹과 계정들을 따로 만들어 꼭 필요한 계정들만 부여해야 한다고 권고했다. 또한 보안 그룹 내 계정들에 대한 접근 권한도 제한하는 것이 좋다고 덧붙였다. 다만 이러한 조치 역시 일시적인 것이므로 패치를 적용하는 게 가장 안전하다고 한다.

최근 몇 년 동안 ICS와 OT 환경에서 취약점이 꾸준히 발견되고 있으며, 이러한 취약점들을 익스플로잇 하는 공격 시도들도 증가하는 중에 있다. 산업 현장의 사이버 보안 전문 기업인 클래로티(Claroty)의 경우 올해 초 연구 보고서를 통해 2021년 한 해 동안 ICS 및 OT 환경에서 발견된 취약점의 수가 2020년 대비 52% 상승했다고 발표했다. 이중 63%가 원격 익스플로잇이 가능한 것들이었다. 참고로 지난 해 발견된 ICS 및 OT 취약점의 수는 2018년에 비해 110% 증가한 것이었다.

3줄 요약
1. OAS 플랫폼의 여러 버전에서 총 8개의 취약점이 발견됨.
2. 이 중 2개는 초고위험도로 분류될 정도로 위험한 것이었음.
3. 요 몇 년 ICS와 OT 환경에서의 취약점이 빠르게 증가 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>