Festo 산업 제어 시스템 펌웨어에서 발견된 미문서화된 원격 접근 위험

Festo ICS 제품, 원격 접근 기능 문서화 미비 문제 부각

미국 사이버보안 및 인프라 보안국(CISA)은 최근 발표한 권고(ICSA-26-015-02)를 통해 Festo 산업 제어 시스템(ICS) 제품의 원격 접근 기능 및 필요한 IP 포트에 대한 문서화가 불완전하다고 경고했습니다. CISA가 운영 기술(OT) 환경 보안을 강화하기 위해 지속적으로 발표하는 권고의 일환으로, 이번 발표는 제품 문서상의 중요한 공백으로 인해 조직이 불필요한 보안 위험에 노출될 수 있음을 강조합니다.

기술적 세부 사항

이번 권고는 Festo 제품 문서가 모든 원격 접근 기능 또는 해당 기능을 운영하는 데 필요한 IP 포트를 충분히 설명하지 않고 있음을 명시하고 있습니다. 일부 제품 매뉴얼에서는 지원되는 기능에 대한 부분적인 설명을 제공하고 있지만, 포괄적인 문서의 부재는 보안 팀이 잠재적인 공격 표면을 인식하지 못하게 할 수 있습니다. 이 문제는 2022년 12월 13일 권고 업데이트에 추가된 "Bus module"을 포함한 여러 Festo 장치에 영향을 미칩니다.

이번 권고와 관련된 CSAF(Common Security Advisory Framework) 문서는 추가적인 맥락을 제공하지만, 현재로서는 구체적인 CVE 식별자나 기술적 완화 조치는 포함되어 있지 않습니다. 보안 전문가들은 영향을 받는 제품 및 구성에 대한 자세한 내용을 확인하기 위해 CSAF 파일을 검토할 것을 권장합니다.

영향 분석

Festo ICS 제품의 불완전한 문서화는 다음과 같은 여러 위험을 조직에 초래할 수 있습니다:

• 공격 표면 증가: 문서화되지 않은 원격 기능이나 열린 포트는 위협 행위자가 산업 네트워크에 무단 접근하는 데 악용될 수 있습니다.
• 컴플라이언스 문제: 불충분한 문서화는 IEC 62443, NIST SP 800-82, NERC CIP 등 산업 표준을 준수하는 데 어려움을 초래할 수 있으며, 이들 표준은 철저한 자산 및 접근 관리 요구합니다.
• 운영상의 사각지대: 보안 팀이 정당한 원격 접근 경로를 파악하지 못할 경우, 사고 대응 및 네트워크 모니터링이 복잡해질 수 있습니다.

보안 팀을 위한 권고 사항

CISA와 Festo는 아직 이러한 문제를 해결하기 위한 패치나 업데이트된 문서를 발표하지 않았습니다. 이에 따라 보안 전문가들은 다음과 같은 조치를 취할 것을 권장합니다:

1. 장비 목록 및 감사: 사용 중인 모든 Festo ICS 장치에 대한 포괄적인 감사를 실시하여, 문서화되지 않은 원격 접근 기능이나 열린 포트를 식별합니다.
2. 네트워크 세분화: Festo 장치를 격리된 OT 네트워크에 배치하여 침해 발생 시 횡적 이동을 제한합니다.
3. 접근 제어: 알려진 IP 포트 및 원격 기능에 대한 접근을 제한하는 엄격한 방화벽 규칙을 구현합니다. 문서화가 불완전하더라도 이를 적용해야 합니다.
4. 모니터링: Festo 장치를 대상으로 하는 비정상적인 트래픽이나 무단 접근 시도를 탐지하기 위한 네트워크 모니터링 도구를 배포합니다.
5. 벤더 협력: Festo 지원팀과 협력하여 업데이트된 문서를 요청하고, 문서화되지 않은 기능의 보안 영향을 명확히 합니다.

조직은 이번 권고를 벤더 문서와 실제 배포 환경을 검증하는 계기로 삼아야 하며, 특히 보안이 불투명하게 운영되는 OT 환경에서는 이러한 접근이 유효한 전략이 아님을 명심해야 합니다. CISA 또는 Festo로부터 추가 업데이트가 제공될 예정입니다.