CVE 2배 증가…취약성으로 시스템·장치 영향 받아
[데이터넷] 올해 상반기 발견된 IoT에 영향을 미치는 취약성이 지난해 하반기에 비해 56% 증가했으며, 공급업체가 자체 공개한 취약성은 69% 늘어난 것으로 나타났다. 이는 클래로티의 ‘2022 상반기 XIoT 보안 현황 보고서’에 따른 것으로, 전체 또는 부분적으로 수정된 펌웨어 취약성도 79% 증가했다.
클래로티의 보안연구조직 팀82(Team82)가 공개한 이 보고서에서는 전체 IoT 기기 15%에서 취약성이 발견됐으며, 의료용 IoT(IoMT)까지 합하면 18.2%에 이른다고 밝혔다. 이로써 IT 전체 취약성이 16.5%를 기록했다. 공급업체가 자체 공개한 취약성이 29%로, 독립 조사기관이 발견한 19%를 처음으로 넘었다. 제 3자 보안회사가 발견한 취약성은 45%에 이른다.
이 보고서는 운영 기술(OT), 산업 제어 시스템(ICS), IoMT, 빌딩 관리 시스템, 엔터프라이즈 IoT를 포함하는 광범위한 가상물리시스템 네트워크를 뜻하는 확장된 IoT(XIoT)에 영향을 미치는 취약성에 대한 심층 조사와 분석 내용을 담고 있다.
이 보고서의 데이터는 팀82를 비롯해 신뢰할 수 있는 오픈소스인 NVD, ICS-CERT, CERT@VDE, MITRE, 산업 자동화 기업인 슈나이더 일렉트릭·지멘스에서 발견한 취약성으로 구성돼 있다.
펌웨어 취약점 40%로 증가
공개적으로 알려진 정보 보안 결함 목록인 CVE에 게시된 것은 214개로, 팀82가 지난해 하반기 보고한 127개보다 2배 가까이 늘었다. 보고서에서는 “더 많은 OT, IoT, IoMT 공급업체들이 취약성 공개 프로그램을 수립하고, 제품의 보안과 안전성을 검사하는데 더 많은 리소스를 투자하고 있다는 것을 보여주는 결과”라고 설명했다.
게시된 펌웨어 취약성과 소프트웨어 취약성은 각각 46% 및 48%로 거의 유사한 수치를 보였다. 2021년 하반기 보고서에서 소프트웨어(62%) 대비 거의 절반에 불과했던 펌웨어(37%) 취약성이 크게 증가한 것으로 나타났다.
이번 보고서에서는 전체 또는 부분적으로 수정된 펌웨어의 취약성이 2021년 하반기 21% 대비 2022년 상반기에는 40%로 상당히 증가한 것으로 드러났다. 이는 길어진 업데이트 주기와 간헐적 유지관리로 인해 펌웨어 패치 적용에 상대적으로 어려움을 겪고 있는 점을 감안하면 주목할 만한 결과이다. 연구원들이 프로세스와 보다 직접적으로 연결되어 공격자에게 더 매력적인 표적이 되는 퍼듀 모델의 더 낮은 레벨에서 장치를 보호하는데 관심이 증가하고 있다고 분석했다.
XIoT 취약성 747건
확장된 IoT(XIoT) 취약성은 2022년 상반기에 총 747건에 이르렀으며, 평균 월 125건의 비율로 게시·해결되고 있다. 공통 취약점 등급 시스템인 CVSS스코어는 대부분 치명적(19%) 또는 높은 심각도(46%) 수준으로 나타났다.
71%에 달하는 취약성이 시스템과 장치 가용성에 큰 영향을 미치고 있으며, 이러한 영향 지표는 XIoT 기기에서 가장 크게 나타나는 것으로 확인됐다. 가장 큰 잠재적 영향은 무단으로 원격 코드를 실행하거나 명령을 실행하는 것으로, 취약성의 54%에서 보편적으로 나타났다. 그 다음은 충돌, 종료, 재시작을 일으키는 서비스 거부공격(DoS) 상황으로 43%를 차지했다.
아미르 프레밍어(Amir Preminger) 클래로티 리서치 사업부 부사장은 “이미 수십 년 동안 사물이 인터넷과 연결되면서 가상물리시스템은 우리가 먹고 마시는 음식과 물은 물론, 일상적으로 이용하는 엘리베이터와 의료 서비스에 이르기까지 현실 세계에 직접적인 영향을 미치고 있다”며 “우리는 XIoT 취약성 환경에 대한 완벽한 청사진을 제공함으로써 이러한 중요 영역에 있는 의사결정권자들이 공공의 안전과 환자의 건강, 스마트 그리드 및 유틸리티 등의 기반이 되는 중요 시스템에 대한 위험을 적절하게 평가하고, 우선순위를 지정 및 해결할 수 있도록 이번 조사작업을 수행했다”고 밝혔다.
