Offcanvas

IoT / 보안 / 애플리케이션 / 오픈소스 / 운영체제 / 통신|네트워크

펌웨어 이미지에서 취약점 대량 발견… IoT 보안 '위험 신호'

2015.11.23 Lucian Constantin  |  IDG News Service
임베디드 기기의 펌웨어 이미지에서 수천 개의 취약점이 발견됐다. 평범한 수준의 보안 테스트를 실시한 결과다. 


이미지 출처 : IDGNS

라우터, DSL 모뎀, VoIP, IP 카메라 등 각종 임베디드 기기에 적용되는 공개형 펌웨어의 이미지 수백 개에서 고위험성 취약점이 대량으로 발견됐다. 개발업체의 보안 테스트가 부실하다는 지적이 제기되고 있다.

독일의 보훔루르대학교와 프랑스의 유러콤 연구소는 임베디드 기기의 펌웨어 이미지와 관련해 보안 테스트를 공동으로 실시했다. 이 테스트는 펌웨어 이미지를 언팩할 수 있는 자동화 플랫폼을 이용해 이미지를 테스트 환경에서 활성화시킨 다음, 관리 인터페이스와 연결된 임베디드 웹 서버를 가동시키는 순서로 진행됐다.

해당 연구진은 54개 업체가 개발한 리눅스 기반 임베디드 기기를 대상으로 펌웨어 이미지 1,925건을 수집해 그 중 246건을 우선적으로 조사했다. 나머지 이미지는 추후 순차적으로 조사한다는 계획이다.

연구진은 오픈소스로 제작된 테스트용 해킹 툴을 활용해 펌웨어의 웹 기반 관리 인터페이스에서 발생 가능한 취약점을 동적 분석 방식으로 조사했다. 그 결과 조사 대상 펌웨어 이미지 중 46건에서 225개의 고위험성 취약점이 발견됐다.

테스트 환경이 아닌 실제 펌웨어 환경에서도 테스트를 실시했다. 이 테스트는 웹 인터페이스 코드를 추출한 후 일반 서버에 연결하는 순서로 진행됐다. 테스트 결과 515개의 펌웨어 중 307개에서 보안 결함이 발견됐다.

연구진은 오픈소스 툴을 이용해 임베디드 기기의 펌웨어 이미지에서 PHP 코드를 추출하는 방식으로 정적 분석도 실시했다. 145개의 펌웨어 이미지에서 9,046개의 취약점이 발견됐다.

해당 연구진은 동적 분석과 정적 분석 결과를 취합한 결과, 명령 실행, SQL 주입, 크로스 사이트 스크립팅 등 심각한 취약점이 펌웨어 185개의 웹 기반 관리 인터페이스에서 발견됐다고 전했다. 조사 대상인 54개의 개발업체 중 약 1/4이 결함 있는 펌웨어를 제공 중인 것.

연구진은 취약점 스캐닝 작업뿐 아니라 테스트의 신뢰성 확보에도 심혈을 기울였다. 자동 테스트 플랫폼을 이용해 펌웨어를 조사하는 등 실제 기기에 대한 개입도를 최소화했다. 또 여러 개의 스캐닝 툴을 활용하지 않았으며, 매뉴얼 코드 리뷰와 고급 논리 결함 테스트를 실시하지 않았다.

테스트 결과에 따르면 이번 취약점은 어느 보안 테스트에서나 발견됐을 만한 결함들이었다. 이 때문에 개발업체측의 보안 테스트가 부실하지 않았느냐는 지적이 제기되고 있다.

이번 테스트에 참여한 연구원 안드레이 코스틴은 해당 업체들이 코드 보안 테스트를 전혀 실시하지 않았거나, 실시했더라도 철저하게 진행하지 않았을 것이라고 추측했다.

코스틴은 지난 19일 루마니아 부쿠레슈티에서 열린 디프캠프(DefCamp) 보안 컨퍼런스에서 테스트 결과를 발표했다. 이 테스트는 펌웨어 이미지 보안 관련 테스트 중에서는 사실상 2번째로 규모가 큰 테스트다. 이번 테스트에 활용됐다는 자동 테스트 플랫폼은 백도어 및 암호화 취약점 조사 관련 웹 크롤러로, 유러콤이 작년에 개발했다.

조사된 펌웨어 중 일부는 최신 버전이 아니므로, 이번에 발견된 취약점 전부를 제로 데이 취약점으로 볼 수는 없다. 그러나 사실상 대다수의 사용자가 펌웨어 패치를 진행하지 않으므로, 잠재적인 위험성은 상당히 높은 편이다.

한편 디프캠프의 IoT 빌리지 부스에서는 4개의 IoT 기기를 해킹하는 실험이 펼쳐졌다. 스마트 초인종에서 2개의 심각한 취약점이 발견되면서 해킹 가능성이 입증됐다.

디링크의 하이엔드급 라우터도 해킹되면서 개발업체측 펌웨어의 취약점이 드러났다. 해당 업체가 관련 패치를 진행했으나, 사용자에게 패치 안내가 제대로 이뤄지지 않고 있다.

미크로틱(Mikrotik)의 라우터에서도 1개의 저위험성 취약점이 발견됐다. 네스트 캠 제품만 유일하게 결함이 발견되지 않았다.

이번 취약점은 아직 일반에 공개되지 않았다. 보안업체 비트디펜더(Bitdefender) 중심의 IoT 빌리지 주최측은 해당 업체에게 취약점을 먼저 알려 패치할 수 있도록 한다는 방침이다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.