공장이나 발전소의 ICS에 자주 설치되는 VNC...오픈소스에서 취약점 수두룩

[이미지 = iclickart]

VNC 시스템이란 원격 프레임 버퍼(RFB) 프로토콜을 통해 사용자들이 원격에서 장비를 제어할 수 있게 해주는 것으로, 다양한 산업 현장과 공장과 발전소의 ICS에서 널리 활용되고 있다고 한다. 공장 관리자들이 VNC를 가지고 원격에서 제품 및 시설 제어를 하는 것이다.

카스퍼스키는 이런 VNC들 중 오픈소스로 풀려 널리 활용되는 제품 네 가지를 분석했다.
1) LibVNC
2) UltraVNC
3) TightVNC
4) TurboVNC
이 중 UltraVNC와 TightVNC는 산업 자동화 시스템 개발사들도 자주 권장하고 사용하는 솔루션이다.

이 네 가지 제품을 분석해 찾아낸 취약점은 총 37개다. 전부 CVE 번호를 부여받았고, 서버용 소프트웨어와 클라이언트 소프트웨어에서 골고루 발견됐다. 이 중 일부는 원격 코드 실행 공격에 활용될 수도 있어 매우 위험한 것으로 나타났다. 37개 중 20개 넘는 취약점이 UltraVNC에서 나왔다.

물론 37개 전부 고유하고 독자적이며 치명적인 취약점인 건 아니었다. “일부는 이전에 이미 발견되었던 취약점의 ‘변종’과 같은 것들이었습니다. 그리 심각하지 않은 취약점들도 포함되어 있고요.”

서버용 소프트웨어에서 발견된 취약점들의 경우, 공격 표적이 되는 VNC 서버와 같은 네트워크에 있어야만 공격자가 익스플로잇을 할 수 있다. 하지만 이게 그렇게 성립 어려운 조건은 아니다. 이미 쇼단(Shodan)을 통해 검색만 해봐도 인터넷을 통한 직접 접근이 가능한 서버가 60만 개가 넘는 것으로 나온다. 클라이언트용 소프트웨어의 경우 공격자가 제어하는 서버로 취약한 클라이언트용 VNC가 연결될 경우 익스플로잇 할 수 있다.

37개 취약점들 대부분 이미 패치가 완료된 상태다. 다만 TightVNC의 경우는 개발과 유지가 중단된 상태고, 따라서 아무런 픽스가 발표되지 않고 있다. 취약점들에 대한 보고가 전달된 게 올해 1월이었고, 거의 1년 동안 소식이 없으니, 가까운 미래에 패치가 나오지 않을 가능성이 높아 보인다.

이에 카스퍼스키는 “산업 현장에서 사용되고 있는 VNC 소프트웨어의 경우라면 커다란 위험이 될 수 있다”고 경고했다. 하지만 “서버용 버전에서 발견된 버그를 익스플로잇 하려면, 대부분 인증 단계를 거쳐야만 한다”며 “이 부분을 강화해서 시스템을 강화하면 어느 정도 안전할 수 있다”고 방법을 제시하기도 했다. “클라이언트 버전의 경우라면, 100% 신뢰할 수 없는 VNC 서버에 연결하지 않는 방법을 추천한다”고 한다.

카스퍼스키의 연구원인 파벨 체레무슈킨(Pavel Cheremushkin)은 “이번에 발견된 취약점들 대부분 꽤나 단순한 실수나 오류에서 비롯된 것”이라며 “생애주기가 무척이나 길다는 걸 생각해봤을 때 놀라울 수밖에 없었다”고 설명한다. “단순한 취약점이, 긴 생애주기를 가진 소프트웨어에 있었다는 건, 공격자들이 이미 알고 있고 실제 익스플로잇에 성공했을 가능성이 높다는 뜻입니다. 게다가 오픈소스로 제공되는 소프트웨어니 분석에 아무런 제한도 없었겠죠.”

카스퍼스키는 ICS-CERT 웹사이트(https://ics-cert.kaspersky.com/reports/2019/11/22/vnc-vulnerability-research/)를 통해 이번에 발견된 취약점들에 대한 기술적 세부 내용을 공개하고 있다.

3줄 요약

1. 장비의 원격 제어를 가능하게 해주는 VNC 시스템, 산업 현장에서 특히 많이 사용됨.

2. VNC 시스템 중에서도 인기가 높은 오픈소스 소프트웨어들이 있음.

3. 인기 높은 네 가지를 분석해보니 취약점이 40개 가까이 나옴. 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=84741&page=1&mkind=1&kind=1]​