ABB, 코마우, 덴소, 화낙, 가와사키에서 만든 언어들…널리 사용되나 오래되기도
이 언어들로 만들어진 오픈소스들에서도 위험한 취약점들 다수 나와…최종 제품까지 이어져[보안뉴스 문가용 기자] 밀란의 폴리테크닉대학과 보안 업체 트렌드 마이크로(Trend Micro)가 산업 현장에 가장 널리 사용되는 프로그래밍 언어들을 공격자의 관점에서 분석했다. 특히 로봇들을 비롯해 여러 프로그래밍 가능한 설비들에 대한 사이버 공격이 어떤 방식으로 이뤄질 수 있는지를 연구했다고 한다.
[이미지 = utoimage]
이번에 연구 대상이 된 언어들은 ABB, 코마우(Comau), 덴소(Denso), 화낙(Fanuc), 가와사키(Kawasaki), 쿠카(Kuka), 미쓰비시(Mitsubishi), 유니버설 로봇(Universal Robots)에서 만든 것으로, 각종 커스텀 애플리케이션들을 만드는 데 사용되고 있으며 이를 통해 로봇들이 복잡한 임무를 수행한다.
또한 연구원들은 100개의 오픈소스 자동화 프로그램들도 분석했다. 전부 위에 언급한 회사에서 만든 언어들로 개발된 프로그램들이다. 상당 수에서 취약점들이 나왔고, 공격자가 로봇의 오퍼레이션을 중단시키거나 심지어 로봇을 제어할 수 있게 해주는 것들도 있는 것으로 나타났다. 오픈소스의 취약점이 최종 제품에 그대로 나타나는 건 흔히 있는 일이다.
이번에 분석된 프로그래밍 언어들 대부분이 대단히 오래된 것들로, 사실 다른 언어로 쉽게 대체가 가능하지 않다. 기업 입장에서는 많은 비용과 시간이 드는 작업이다. 그렇기 때문에 언어들에서 문제가 발견됐다 하더라도 단기간에 문제가 해결되지는 않는다.
ABB사에서 만든 프로그래밍 언어는 라피드(Rapid)다. 라피드로 만들어진 앱이 탑재된 로봇이 호스팅된 네트워크에 접근 가능한 공격자라면, 라피드의 취약점들을 익스플로잇 하여 민감한 정보를 취득할 수 있게 된다. 이 때 인증 과정을 거칠 필요가 없게 되며 상황에 따라 지적 재산에까지 손을 댈 수 있게 된다. ABB는 로봇스튜디오(RobotStudio)라는 공식 스토어에서 취약한 앱들을 삭제했다.
쿠카 사의 로봇에서 자주 사용되는 오픈소스 앱에서는 네트워크 패킷을 스푸핑 할 수 있는 취약점이 발견됐다. 이를 통해 공격자는 로봇의 움직임을 제어할 수 있게 되며, 따라서 물리적 피해를 일으키거나 생산에 큰 차질을 빚을 수 있게 된다. 이와 유사한 사례들이 위에 언급된 거의 모든 기업들의 언어 및 앱들에서 발견됐다.
또한 분석된 모든 언어들에서 외부 시스템과 앱이 데이터를 주고받게 해주는 ‘통신 기능’이 있는 것으로 나타났다. 그런데 일부는 로우레벨의 시스템 자원에 접근하도록 허하기도 했다. 이 때문에 앱을 통해 파일 시스템에 접근해 코드를 로딩하고 실행시키는 것도 가능한 것으로 나타났다. 공격자에게 이는 멀웨어 공격에 꽤나 유용한 기능이 된다고 트렌드 마이크로는 설명했다.
불행 중 다행이라면 이런 오래된 언어들을 공략하는 것이, 모든 해커들에게 허락된 건 아니라는 것이다. 연구 보고서에 의하면 공격을 실시하려면 먼저 표적을 잘 이해해야 하고, 그러려면 공격 대상이 되는 로봇들을 분석할 작은 실험실 하나 정도는 가지고 있어야 한다고 한다. 로봇들은 적게 잡아 2만 달러 정도의 가격을 가지고 있다. 많게는 수십만 달러를 훌쩍 넘기도 한다. 즉 국가의 지원을 받을 정도의 해커들이어야 시도해봄직한 공격이라는 것이다.
비슷한 현상은 방어하는 입장에도 적용될 예정이다. 로봇 프로그래밍 환경을 바꾼다는 게 간단한 일이 아니기 때문이다. 이 과정에서 이전에 없었던 취약점이 새로 발생할 수도 있고, 서비스나 생산이 중단될 수도 있다. 로봇 교체로까지 취약점 패치가 이어져야 하는 경우, 기업 입장에서도 적잖은 돈을 써야만 한다. 따라서 트렌드 마이크로는 “취약점이 발견되고 보고되어도 실제적인 조치를 취할 수 있는 곳은 거의 없을 것”이라고 썼다.
그래서 트렌드 마이크로는 로보틱운영시스템산업컨소시엄(Robotic Operating System Industrial Consortium)과 함께 공격 위험성을 낮출 수 있는 권장 사항들을 개발하고, 취약점과 멀웨어를 탐지하는 데 도움이 될 만한 도구를 만들었다. 모든 정보는 이 페이지(https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/unveiling-the-hidden-risks-of-industrial-automation-programming)를 통해 열람이 가능하다.
4줄 요약
1. 오래된 로봇용 프로그래밍 언어와, 그 언어로 만든 앱들에서 취약점 발견됨.
2. 로봇 통제와 물리적 피해로까지 이어질 수 있는 취약점들임.
3. 국가 지원 받는 공격자라면 공격 가능. 방어자에게는 패치가 쉽지 않은 결단.
4. 그래서 로봇 산업 컴소시엄에서 취약점 탐지 도구와 안전 실척 수칙 만듦.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=90288&page=1&kind=1)]
