이원영 기자
사물인터넷과 산업용 디바이스를 위한 보안 솔루션을 제공하는 포어스카우트(Forescout)가 NAME : WRECK라는 사물인터넷과 산업용 장치 수백만 대에 영향을 미칠 취약점 존재를 보고했다.
포어스카우트 내부 조사 프로그램인 프로젝트 메모리아(Project Memoria)에서 발견된 것으로 TCP/IP 스택에 관한 것이다. TCP/IP 스택은 랜을 통해 통신하는 앱을 만들 때 필요한 TCP/IP 통신 프로토콜에 관한 프로그램을 요약한 것으로 공급업체가 장치 인터넷 연결과 기타 네트워크 기능을 지원하는 펌웨어에 추가한 라이브러리다.
이 라이브러리는 작고 대부분 경우 장치의 가장 기본적인 기능을 지원하고 있다. 하지만 NAME : WRECK을 이용해 악의적 공격자는 TCP/IP 스택을 통해 사용자를 원격 공격하는 게 가능하다. NAME : WRECK는 지난 3년간 공개되어 온 TCP/IP 스택에 영향을 미치는 췽약점 세트 5번째다. NAME : WRECK 외에 취약점은 TCP/IP 통신의 다양한 메커니즘 관련 조사에서 밝혀진 것이지만 NAME : WRECK은 TCP/IP 통신이 아니라 이들에 사용되는 라이브러리 DNS 트래픽을 처리하는 방법에서 발견된 것이다.
더 정확하게는 연구팀은 DNS 프로토콜 메시지 압축 기능이 TCP/IP 스택 전체에 어떻게 구현할 수 있는지를 조사했다. DNS 서버 응답에는 여러 도메인명이 포함된 경우가 많고 일부는 반복되는 경우가 있다. 따라서 메시지 압축 기능을 이용해 DNS 서버는 동일 도메인명 중복을 방지하고 응답 크기를 줄일 수 있게 되는 것이다.
메시지 압축 기능을 프로젝트 메모리아(Project Memoria)에서 조사한 결과 TCP/IP 스택 15개 중 7개에 영향을 미치는 취약점 9개가 발견됐다.
한편 일부 TCP/IP 스택(FNET, cycloneTCP, uC/TCP-IP, FreeRTOS+TCP, Zephyr, OpenThread)은 메시지 압축 기능을 안전하게 구현하고 있는 게 밝혀지고 있다. 또 스택 2개(Nut/Net, lwIP)는 메시지 압축 기능을 지원하지 않기 때문에 취약점 영향을 받지 않는다.
포어스카우트는 NAME : WRECK 영향을 받는 TCP/IP 스택 4개 개발자에게 문제를 보고하고 있지만 패치를 출시한 건 3개(FreeBSD, Nucleus NET, NetX) 뿐이다.
여러 TCP/IP 스택이 패치를 출시하고 있기 때문에 안심할 수 있는 것처럼 보이지만 실제로는 상황은 완벽과는 거리가 멀다는 지적이다. 이유는 사물인터넷과 산업용 장치에 패치를 적용하려면 업체가 패치를 통합한 독자 펌웨어 업데이트를 릴리즈하는데 오랜 시간이 걸리기 때문이다. 또 제조업체가 패치를 지원한느 펌웨어 업데이트를 발표해고 고객 측이 반드시 업데이트를 실시하는 건 아니다. TCP/IP 스택을 이용하는 사물인터넷과 산업용 장비는 많은 원격지에 배치되어 있기 때문에 FOTA에 대응하고 있지 않으면 업데이트가 어렵다.
원래 일부 장치 소유자는 서버와 스마트 장치, 산업용 장치가 TCP/IP 스택을 사용하고 있는지 인식하지 않는 경우조차 있다. 따라서 불행하게도 많은 장치가 NAME : WRECK을 이용한 공격에 취약한 상태로 남아있을 수 있다는 지적이다.
NAME : WRECK는 피해자 DNS 트래픽을 조작하는 능력을 필요로 하는 패턴도 있지만 취약한 시스템에 대해 잘못된 DNS 응답을 보내야 집중 원격 공격이 가능하게 된 취약점도 있다고 한다. 또 이번 조사에서 발견된 TCP/IP 스택 취약점은 대부분 업체 쪽에서 DNS 표준에 대한 잘못된 해석에서 오는 것이라고 한다. 따라서 DNS 표준 자체가 너무 복잡한지 자문해볼 필요가 있을지 모른다고 지적하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
