차량을 모니터링하기 위해서 많은 기업들이 GPS 추적 장치를 활용한다. 차량 도난을 위해서도 같은 장치가 사용된다. 이 중 한 중국산 제품에서 취약점이 발견됐고, 회사 측에서는 별다른 패치의 의사가 보이지 않고 있다.

[보안뉴스 문가용 기자] 회사 소유 차량들의 움직임과 경로를 모니터링 하기 위해, 혹은 탈취된 차량의 위치를 파악하기 위해 만들어진 GPS 추적 장비에서 6개의 취약점이 발견됐다. 이 취약점들을 익스플로잇 하는 데 성공할 경우, 공격자들은 차량 운행과 관련된 사업 운영을 방해할 수도 있고, 특정 차량을 추적할 수도 있다.

​

[이미지 = utoimage]

해당 문제점을 발견한 건 보안 업체 비트사이트(BitSight)다. 마이코더스 MV720(MiCODUS MV720)이라는 장비를 분석하다가 나온 결과라고 한다. 취약점은 장비 자체에도 있지만, 백엔드 서비스에도 존재한다고 비트사이트는 알렸다. “따라서 중간자 공격, 인증 우회 공격, 위치 추적 등을 할 수 있게 됩니다. 하드코드 된 비밀번호와 API 서버의 디폴트 비밀번호가 변경되지 않았다는 취약점들이 여태까지 발견되었습니다.”

비트사이트는 이번에 발견된 취약점들을 익스플로잇 하면 생명을 위협할 정도로까지 심대한 피해가 있을 수 있다고 주장한다. “예를 들어 공격자들이 이번 취약점을 익스플로잇 할 경우 운송 차량들의 연료 공급을 일제히 막을 수 있습니다. 그러면 물품 배송이 되지 않고, 유통망 전체에 커다란 혼란이 생기게 됩니다. 사회적 문제로까지 퍼질 수 있죠. 하필 공격을 받은 차량이 앰뷸런스라면 환자의 생명이 위험해질 수 있습니다. 그 외에도 GPS 정보를 사용해 특정 차량을 모니터링 하다가 위험한 길로 진입하도록 유도할 수도 있겠죠.”

총 6개의 취약점 중 5개가 CVE 번호를 부여받았다. CVE-2022-2107, CVE-2022-2141, CVE-2022-2199, CVE-2022-34150, CVE-2022-33944가 바로 그것이다. 디폴트 비밀번호가 설정되어 있다는 내용의 취약점은 보안 취약점으로 인정받지 못했고, 따라서 CVE 번호도 지정되지 않았다.

GPS 버그, 패치되지 않아

위 취약점들은 아직까지 실제 공격에 활용되지는 않은 것처럼 보인다고 비트사이트의 CTO인 스티븐 보이어(Stephen Boyer)는 설명한다. “하지만 해당 제품을 만든 중국 회사 마이코더스 측에서는 아무런 대응을 하지 않고 있습니다. 저희의 제보도 묵살된 상황이고, 지금은 그 어떤 대답도 들을 수 없습니다.”

비트사이트가 마이콘더스에 이 문제들에 대해 알린 건 2021년 9월의 일이었다. 당시 마이콘더스는 답장을 보내 보다 상세한 정보를 달라고 요구했다. 하지만 그것이 마이콘더스가 보낸 마지막 응답이었다. 그 후 마이콘더스는 그 어떤 대화에도 응하지 않았고, 매체의 연락에도 답을 하지 않고 있는 상황이다. “회사가 이렇게 나오고 있어서 사용자들만 위험에 그대로 노출되어 있습니다. 특히 비밀번호가 하드코딩 되어 있다는 것이 치명적입니다. 이를 해결하려면 MV720 장비 자체를 사용하지 않거나 심카드를 제거해야 합니다.” 비트사이트는 단독으로 문제를 해결할 수 없어 국토안보부에 이 사실을 공개한 상황이다.

“사물인터넷 장비들은 취약점들로 가득합니다. 앞으로 더 많은 사물인터넷 장비가 개발되고 보급되겠지만, 취약점이 들끓고 있다는 문제는 해결되지 않을 가능성이 높습니다.” 보안 업체 노비포(KnowBe4)의 데이터 보안 전문가 로저 그라임즈(Roger Grimes)의 설명이다. “게다가 사물인터넷 장비를 패치한다는 것 자체가 꽤나 어려운 일입니다. 사실 개발사가 자동 패치 기능을 탑재해야 하는데, 그렇게 하지 않고 있죠. 사용자가 직접 해야만 하는데, 기술적으로 까다로울 수 있는 주문입니다.”

“일반 소프트웨어 패치마저 까다롭게 느끼는 게 일반인들입니다. 사물인터넷 장비요? 최소 10배는 더 어렵습니다. 물론 정확한 통계 수치는 아닙니다만, 90%의 사물인터넷 장비 사용자들은 취약점 소식을 모르거나 알아도 패치하지 않는 걸 선택할 것이라고 생각합니다. 이번에 발견된 GPS 추적 오류 역시, 이러한 소식이 밖으로 나가더라도 많은 사용자들은 개의치 않을 것이고요. 그런데도 기업은 전혀 패치의 의지를 보이지 않지요. 해커들만 신나고 좋은 상황입니다.”

사물인터넷, 보안과 거리가 먼 분야

취약점은 사실상 거의 모든 사물인터넷 장비들에서 발견되는 문제다. 사물인터넷을 제조하는 업체들은 설계를 할 때나 마감 후에나 보안을 거의 고려하지 않는 것으로 알려져 있다. 예외인 업체들도 있겠지만 시장 전반적인 분위기가 보안을 배제하고 있다. 그럼에도 점점 더 많은 기업과 가정에서 사물인터넷 장비들을 적극 도입해 활용하고 있다. 이에 미국 정부에서는 사물인터넷 장비들이 반드시 탑재하고 있어야 할 보안 필수 사항들을 마련해 적용했다.

사물인터넷 장비들은 우리가 생각하는 것보다 훨씬 널리 보급되어 있다. 비트사이트가 조사한 바에 따르면 포춘 50대 기업들 중 최소 다섯 곳에서 자사 차량들을 모니터링 하기 위해 GPS 장비들을 사용하고 있다고 한다. 중동, 유럽, 북미의 각종 에너지 기업들과 정부 기관들에서도 시설을 관리하고 생산량을 제어하기 위해 사물인터넷 장비들을 사용하고 있다.

마이코더스 MV720을 사용하고 있는 기업이나 차량의 정확한 수는 아직 파악되지 않고 있다. 하지만 마이코더스는 전 세계적으로 150만 대의 장비가 수출되었다고 주장한다. 비트사이트는 마이코더스 API 서버로 연결된 인스턴스가 169개국에서 240만 건 이상 발견되고 있다는 것을 알아내기도 했다. 결코 적지 않은 수의 차량들이 이번 취약점의 영향권 아래 있을 수 있다는 의미가 된다.

“마이코더스 서버와 통신하고 있는 고유 IP 주소들 중 상당수가 인도네시아와 멕시코에 있는 것으로 조사됐습니다. 인도네시아의 경우 적은 수의 사용자가 많은 장비를 운영하는 것처럼 보이고, 멕시코의 경우 반대로 많은 사용자들이 각각 장비를 보유하고 사용하는 것으로 보입니다. 인도네시아에서는 기업이 자사 차량 현황을 파악하기 위해, 멕시코에서는 차량 도난을 방지하기 위해 마이코더스 GPS 추적 장치가 사용되는 듯합니다.” 그 외에 러시아와 우즈베키스탄, 모로코, 칠레에서도 적지 않은 사용자들이 발견되고 있다고 한다.

3줄 요약

1. 중국산 GPS 트래커에서 다량의 취약점이 발견됐으나, 회사는 아직 고칠 의사 없는 듯.

2. 제조사의 ‘나 몰라라’ 태도는 사물인터넷 생태계의 보편적인 문제.

3. 사물인터넷 장비는 물리적인 영향을 미칠 수 있어 상당히 위험.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=108486&page=2&mkind=1&kind=1)]