전화나 라우터 등 통신 네트워크는 취약하다는 오랜 역사를 갖고 있다. 최근 취약한 네트워크 문제점이 다시 불거지고 있다. 글로벌 최대 통신장비 회사인 시스코 문제다. 와이어드가 시스코 장비의 결함과 침투 피해 가능성을 보도했다.
연구원 등 관계자들이 최근 발견된 전화, 웹 카메라, 네트워크 스위치와 같은 시스코 엔터프라이즈 제품에 결함이 있어 해커들이 악용할 수 있으며 이 경우 기업이 큰 피해를 입을 것이라고 경고했다. 시스코가 세계적으로 네트워크 장비 시장을 장악하고 있기 때문에 장비의 오류는 여기에 연결된 수백만 대의 통신장비 및 컴퓨터에 영향을 미친다.
어떤 소프트웨어든 결함은 있지만 해킹 가능성과 방어를 위해 패치하는 것은 중요하다. 해커는 암호화되지 않은 많은 내부 정보를 가로채고 시스템 사이를 이동하기 위해 취약한 내부 네트워크 스위치를 공략한다. 해커는 시스코 장비 전체를 한꺼번에 공격해 차단시키거나 복제해 자신의 시스템처럼 바꿀 수 있다.
엔터프라이즈 보안회사인 아미스의 벤 세리 부사장은 "네트워크 세분화는 IoT 기기를 확보하는 핵심 방식"이라며 "엔터프라이즈 기기가 세계에서 표적이 되고 있으며 시스코가 취약점을 갖고 있다면 해커들에게 심각하게 노출될 수 있다"고 말했다.
이 결함은 시스코 제품이 개인 네트워크 내에서 서로 자신의 신분을 알릴 수 있도록 ‘탐색 프로토콜’이라고 불리는 메커니즘의 구현에 있다. CDP(시스코 디스커버리 프로토콜: 시스코 장비끼리 서로를 찾아내는 탐색 메커니즘)는 네트워크 장치 사이의 통신 레이어 중 기초 데이터 링크를 설정하는 네트워크의 ‘레이어 2’의 일부다. 모든 기기는 일종의 ID 방송 메커니즘을 사용하지만 CDP는 시스코 독점 버전이다.
CDP를 사용하여 시스코 제품을 분리하면 다소의 이점은 있지만 해커 등 공격자가 네트워크에 일단 진입하면 시스코 제품을 쉽게 찾을 수 있게 된다고 지적했다. 또한 모든 시스코 제품은 CDP를 사용하므로 한 번에 여러 장치를 자동으로 동시에 대상 지정하거나 네트워크 스위치와 같은 중요한 장치를 접수하는 등의 프로세스에서 취약점에 노출될 수 있다.
아미스는 지난 8월 말에 조사 결과를 시스코에 공개했다. 그 결과 네트워크 장비 대기업은 제시된 다섯 가지 취약점 모두에 대한 패치를 발표했다. 시스코의 경우 제품에 따라 CDP를 조금씩 다른 방식으로 구현하기 때문에 패치해야 할 부분이 너무 많다. 아미스는 공개 프로세스 전체를 탐색해 오류를 발견하고 시스코와 협력하여 패치를 끝냈다고 밝혔다.
시스코 대변인은 "5일 소프트웨어 시정 정보 및 완화와 함께 여러 시스코 제품에 대해 CDP 구현의 취약점을 공개했다"며 "회사 측은 설명된 취약점의 악의적인 사용 사례에 대해서는 알지 못한다“고 말했다.
취약점과 시스템 오류를 악용하기 위해 해커는 먼저 대상 네트워크 내부에 발판을 만들어야 하지만, 신속한 공격으로 시스코 장치를 손상시켜 시스템에 더 깊이 침투할 수 있다. 그리고 해커가 스위치나 라우터를 제어하면 파일 및 일부 통신과 같은 암호화되지 않은 네트워크 데이터를 가로채거나 사용자 및 장치의 인증을 관리하는 회사의 고급 인증 데이터 등에 접근할 수 있다.
수많은 시스코의 오류를 발견해 공개한 IoT 보안회사 레드 볼룸(Red Balloon)은 지난 수십 년 동안 연구원들이 시스코 CDP의 취약점을 발견하고 주의를 기울였기 때문에 시스템이 악용되기 전에 이를 막거나 최소화할 수 있다고 지적했다. 이러한 엔터프라이즈 IoT 오류의 악용에 대한 우려는 실제 일어난다. 지난해 8월 MS의 연구원들은 국가가 지원하는 러시아 해커가 회사 네트워크에 침투하기 위해 사무용 IoT 장치를 공격한 사실을 발견했다.
취약한 장치의 일부는 자동 업데이트되지만 상당수는 그렇지 않다. 시스템이 보호받기 위해서는 수동 패치가 필요하다. 엔터프라이즈 스위치 및 라우터에서는 패치가 특히 어렵다. 이 패치는 네트워크가 다운되지 않도록 신중하게 이루어져야 하기 때문이다.
전 세계 엔터프라이즈 네트워크에 시스코 장비가 어느 기업에나 존재한다는 점을 고려할 때 첫 번째 단계는 항상 문제를 사전에 해결하는 것이라는 지적이다.
조민성 글로벌이코노믹 기자 mscho@g-enews.com
![[단독] 삼성웰스토리, 베트남서 5억대 세금추징 ‘망신’](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=184&h=118&m=1&simg=20241123122843083909a1f3094311109215171.jpg)
