펌웨어 업데이트 악용 공급망 공격 가능…시스템 무단 중단 피해 입을수도
[데이터넷] 발전·제조 분야에서 사용되는 소프트웨어 기반 PLC에서 윈도우 원격코드 실행이 가능한 보안 취약점이 발견됐다. 이 취약점을 이용하면 펌웨어 업데이트를 통한 공급망 공격, 시스템 무단 시작·중단 등의 심각한 보안 사고가 발생할 수 있다.
운영기술(OT) 보안 전문기업 클래로티는 옵토22의 ‘소프트PAC(SoftPAC)’에서 이 취약점이 발견됐으며, 이는 소프트PAC 뿐 아니라 다른 소프트웨어 기반 PLC에도 비슷한 문제를 갖고 있을 수 있다고 밝혔다.
소프트웨어 기반 PLC는 다양한 OT 프로토콜을 유연하게 지원할 수 있어 특정 환경에 종속되지 않으며, 테스트와 개발이 용이하고 생산성과 유연성을 높일 수 있다는 장점이 있다. 그러나 소프트웨어의 특성상 알려지거나 알려지지 않은 취약점으로 인한 공격에 노출될 가능성도 있다.
클래로티는 취약점 공격에 이용되지 앟도록 펌웨어 파일 서명을 확인하고 서명되지 않은 파일을 거부하도록 보안제어를 설정해야 하며, 그렇지 않으면 공격자가 펌웨어 파일에 악의적인 행위를 주입시켜 OT 환경 내에서 지속적인 스파이 활동이나 운영 중단 등의 피해를 입힐 수 도 있다고 강조했다.
소프트PAC는 최종 사용자가 직접 접근할 수 없는 윈도우 시스템에서 실행되며, 사용자는 에이전트로 제공되는 소프트PAC 모니터를 통해 관리하는데, 이번에 발견된 취약점은 에이전트와 외부 원격 연결을 설정할 수 있다.
에이전트가 사용하는 프로토콜에는 인증 형식이 필요하지 않기 때문에 공격자는 소프트PAC 모니터로 위장해 원격 연결을 설정하며 서비스 시작, 중지, 펌웨어 업데이트 명령을 실행할 수 있다.
마사브 사피어(Mashav Sapir) 클래로티 연구원은 “악성코드가 삽입된 펌웨어 업데이트는 매우 위험한 공격 방식”이라며 “소프트PAC 모니터가 펌웨어 업데이트 명령을 실행할 때 소프트PAC 에이전트에 새 펌웨어 압축 파일의 경로를 보내 실행 파일을 래핑하며, 그 안에 포함된 실행파일은 서명되지 않는다. 공격자가 악성코드를 주입해 펌웨어를 업데이트한다 해도, 서명을 확인하지 않고 실행파일을 수신·추출·설치하면 공격당할 수 있다”고 설명했다.