[더테크 뉴스]  산업, 헬스케어 및 상업 환경 전반의 가상 물리시스템 보안 기업인 클래로티의 연구조직인 Team82는 RCE를 이용해 지멘스 SIMATIC S7-1200/1500 시리즈에 하드 코딩된 글로벌 개인 암호화 키 추출에 성공했다고 밝혔다.

공격자가 이 키를 추출하면, 영향을 받는 지멘스 제품라인의 모든 PLC를 완전히 제어할 수 있다.

약 10년 전 지멘스는 TIA 포털 v12 및 SIMATIC S7-1200/1500 PLC CPU 펌웨어 제품군의 통합 보안 아키텍처에 비대칭 암호화 방식을 도입했다. 이는 장치 및 사용자 프로그램의 무결성과 기밀성을 보장하는 것은 물론, 산업 환경 내에서 장치의 통신을 보호하는 역할을 수행했다.

당시에는 시스템 통합 사업자 및 사용자에게 암호 키 관리 시스템이 운영상 부담이 됐기 때문에 산업용 제어 시스템에 동적 키관리 및 배포 기능이 존재하지 않았다. 이로 인해 지멘스는 PLC와 TIA 포털 간의 프로그래밍 및 통신을 보호하기 위해 고정된 암호화 키를 사용하기로 했다.

그러나 이후 기술과 보안 연구가 발전하고, 위협 환경이 빠르게 변화하면서 이러한 하드 코딩 방식의 암호화 키로 위험을 완벽하게 보호할 수 없게 됐다. 하드 코딩된 글로벌 암호 키를 추출할 수 있는 악의적인 행위자들은 복구할 수 없는 형태로 장치의 전체 제품라인의 보안을 손상시킬 수 있게 됐다.

클래로티의 연구팀인 Team82는 하드 코딩된 키와 같은 관행에서 벗어나 사용자의 시스템에 미치는 위험을 입증하고, 산업 자동화 에코시스템의 전반적인 보안을 개선하기 위해 주요 공급업체들과 긴밀히 협력해 PLC 보안에 관한 광범위한 연구를 지속해서 수행해 왔다.

이전의 지멘스 SIMATIC S7-1200 및 S7-1500 PLC에 대한 연구와 로크웰 오토메이션의 로직스 컨트롤러 및 스튜디오 5000 로직스 디자이너에 대한 연구를 확장해 최근까지 지속해서 연구 활동을 수행해 왔다.

클래로티 연구원들은 영향을 받는 각 지멘스 제품라인에 사용된 하드 코딩된 글로벌 암호화 키를 복구할 수 있는 SIMATIC S7-1200 및 S7-1500 PLC CPU 대상의 새롭고 혁신적인 기법을 발견하고 지멘스에 공개했다.

지멘스 PLC에 대한 이전 연구에서 발견된 취약점을 사용해 PLC의 기본 메모리 보호 기능을 우회하고, 원격으로 코드를 실행하기 위해 읽기 및 쓰기 권한을 얻을 수 있었으며, 지멘스 제품 라인 전반에 사용되는 강력한 보안 기능을 갖춘 내부 개인 키를 추출할 수 있었다. 이러한 새로운 기법을 통해 전체 프로토콜 스택을 재구현하고, 보안이 적용된 통신 및 설정을 암호화하고 복호화했다.

내부적으로 밝혀진 이러한 사실에 대응해 지멘스는 자사의 주력 PLC 라인과 TIA 포털 엔지니어링 워크스테이션 애플리케이션을 보호하는 암호화 체계에 대한 정밀 점검을 했다. 지멘스는 기존의 하드 코딩된 키를 이용한 보호 기능이 더 이상 충분하지 않다는 보안 권고를 인정하고, 하드 코딩된 키의 사용을 제거하는 동적 PKI를 도입하는데 필요한 리소스와 시간을 투자했다.

지멘스는 사용자가 즉시 SIMATIC S7-1200 및 S7-1500 PLC와 해당 버전의 TIA 포털 프로젝트를 최신 버전으로 업데이트할 것으로 권장하고 있다. 지멘스는 보안 권고를 통해 TIA 포털 V17 및 관련 CPU 펌웨어 버전에 장치별 개별 암호를 기반으로 기밀 구성 데이터를 보호하는 새로운 PKI 시스템과 TLS로 보호되는 PG/PC 및 HMI 통신이 포함돼 있다고 밝혔다.