가상물리시스템(CPS) 보안 기업인 클래로티(Claroty)가 발표한 새로운 조사 결과에 따르면, IoT 기기에 영향을 미치는 취약성 노출이 2021년 하반기에 비해 56% 증가한 것으로 나타났다.
이번 2022년 상반기 XIoT 보안 현황 보고서에 따르면, 같은 기간 동안 공급업체가 자체적으로 공개한 취약성이 69% 증가했다. 독립 조사기관 발표보다 공급 업체의 공개가 더 많이 보고된 것은 이번이 처음이다.
전체 또는 부분적으로 수정된 펌웨어 취약성도 79% 증가했다. 펌웨어 패치에서 취약성을 해결하는 것이 최초 소프트웨어 배포보다 상대적으로 어려운 점을 감안할 때 주목할 만한 개선이 이뤄진 것으로 볼 수 있다.
클래로티의 수상 경력이 있는 연구팀인 Team82가 작성한 이 보고서는 운영 기술(OT), 산업 제어 시스템(ICS), IoMT(Internet of Medical Things), 빌딩 관리 시스템 및 엔터프라이즈 IoT를 포함하는 광범위한 가상물리시스템 네트워크를 뜻하는 XIoT(Extended Internet of Things)에 영향을 미치는 취약성에 대한 심층 조사 및 분석 내용을 담고 있다.
이 보고서의 데이터는 Team82를 비롯해 신뢰할 수 있는 오픈소스인 NVD(National Vulnerability Database), ICS-CERT(Industrial Control Systems Cyber Emergency Response Team), CERT@VDE, MITRE와 산업 자동화 기업인 슈나이더 일렉트릭(Schneider Electric), 지멘스(Siemens)에서 발견한 취약성으로 구성되어 있다.
클래로티의 리서치 사업부 부사장인 아미르 프레밍어(Amir Preminger)는 “이미 수십 년 동안 사물이 인터넷과 연결되면서, 가상물리시스템은 우리가 먹고 마시는 음식과 물은 물론, 일상적으로 이용하는 엘리베이터와 의료 서비스에 이르기까지 현실 세계에 직접적인 영향을 미치고 있다”라며 “우리는 XIoT 취약성 환경에 대한 완벽한 청사진을 제공함으로써 이러한 중요 영역에 있는 의사결정권자들이 공공의 안전과 환자의 건강, 스마트 그리드 및 유틸리티 등의 기반이 되는 중요 시스템에 대한 위험을 적절하게 평가하고, 우선순위를 지정 및 해결할 수 있도록 이번 조사작업을 수행했다”라고 말했다.
이번 보고서의 내용은 다음과 같다.
◇IoT 기기- IoT 기기에서 15%의 취약성이 발견되었으며, 이는 Team82의 2021년 하반기 보고서에서 조사된 9%보다 크게 증가한 수치이다. 또한 IoT와 IoMT 취약성을 합하면 18.2%에 이르며, 처음으로 IT 전체 취약성 16.5%를 넘었다. 이는 연결된 기기들이 네트워크에 더 깊이 침투할 수 있는 관문이 될 수 있기 때문에 이를 보호해야 하는 공급업체들과 연구원들의 이해도가 개선되고 있음을 나타낸다.
◇공급업체 자체 공개 취약성- 공급업체가 자체 공개한 취약성이 29%에 이르면서 독립 조사기관(19%)을 처음으로 넘었다. 제3자 보안회사(45%)에 이어 두 번째로 많은 취약성 보고자가 되었다. CVE(공개적으로 알려진 정보 보안 결함 목록)에는 214개를 게시했다. Team82가 2021년 하반기에 보고한 127개보다 거의 두 배에 달하는 수치다. 이는 더 많은 OT, IoT, IoMT 공급업체들이 취약성 공개 프로그램을 수립하고, 제품의 보안과 안전성을 검사하는데 더 많은 리소스를 투자하고 있음을 보여준다.
◇펌웨어- 게시된 펌웨어 취약성과 소프트웨어 취약성은 각각 46% 및 48%로 거의 유사한 수치를 보였다. 2021년 하반기 보고서에서 소프트웨어(62%) 대비 거의 절반에 불과했던 펌웨어(37%) 취약성이 크게 증가한 것으로 나타났다. 또한 이번 보고서에서는 전체 또는 부분적으로 수정된 펌웨어의 취약성이 2021년 하반기 21% 대비 2022년 상반기에는 40%로 상당히 증가한 것으로 드러났다. 이는 길어진 업데이트 주기와 간헐적 유지관리로 인해 펌웨어 패치 적용에 상대적으로 어려움을 겪고 있는 점을 감안하면 주목할 만한 결과이다. 연구원들이 프로세스와 보다 직접적으로 연결되어 공격자에게 더 매력적인 표적이 되는 퍼듀 모델(Purdue Model)의 더 낮은 레벨에서 장치를 보호하는데 관심이 증가하고 있음을 보여준다.
◇규모 및 중요도- XIoT 취약성은 2022년 상반기에 총 747건에 이르렀으며, 평균적으로 월 125건의 비율로 게시 및 해결되고 있다. CVSS(공통 취약점 등급 시스템) 스코어는 대부분 치명적(19%) 또는 높은 심각도(46%) 수준으로 나타났다.
◇영향- 거의 4분의 3(71%)에 달하는 취약성이 시스템 및 장치 가용성에 큰 영향을 미치고 있으며, 이러한 영향 지표는 XIoT 기기에서 가장 크게 나타나는 것으로 확인됐다. 가장 큰 잠재적 영향은 무단으로 원격 코드를 실행하거나 명령을 실행(취약성의 54%에서 보편적으로 나타남)하는 것이었으며, 그 다음으로는 DoS(서비스거부공격, Denial-of-Service) 상황(충돌, 종료 또는 재시작)이 43%로 뒤를 이었다.
◇완화조치- 가장 높은 단계의 완화조치는 네트워크 세분화(취약성 노출의 45%에서 권장)로 나타났으며, 다음으로 보안 원격 액세스(38%), 그리고 랜섬웨어, 피싱 및 스팸방지(15%)가 그 뒤를 이었다.
◇Team82의 기여도- Team82는 2022년 상반기 44개를 비롯해 현재까지 총 335개의 취약성을 공개하면서 OT 취약성 연구를 선도적으로 이끌어가고 있다.
Team82의 전체 조사결과와 심층 분석 및 취약성 동향에 따른 권장 보안조치는 2022년 상반기 XIoT 보안 현황 보고서를 다운로드하면 확인할 수 있다. 또한 Team82 슬랙 채널(Slack Channel)을 통해 보고서에 대한 추가 논의 및 통찰력에 대한 정보를 얻을 수 있다.
★정보보안 대표 미디어 데일리시큐!★
