요코가와 FAST/TOOLS 취약점, 산업 시스템 다중 공격 벡터 노출 우려

요코가와 FAST/TOOLS 취약점, 산업 제어 시스템에 광범위한 공격 위험 초래

미국 사이버보안 및 인프라 보안국(CISA)은 요코가와(Yokogawa)의 산업 자동화 소프트웨어 제품군인 FAST/TOOLS에서 다수의 취약점을 공개했습니다. 이러한 취약점이 성공적으로 악용될 경우, 위협 행위자는 사용자를 악성 사이트로 유도하거나 통신을 복호화하고, 중간자 공격(Man-in-the-Middle, MITM)을 수행하며, 임의 스크립트를 실행하고 파일을 유출하며, 운영 기술(OT) 환경에 대한 추가 공격 벡터를 개시할 수 있습니다.

기술적 세부 사항

이 취약점들은 ICSA-26-041-01로 분류되었으며, 특정 버전의 요코가와 FAST/TOOLS에 영향을 미칩니다. 다만 CISA의 권고안에서는 현재 구체적인 CVE ID나 영향을 받는 버전을 명시하지 않았습니다. 이 권고안은 공통 보안 권고 프레임워크(Common Security Advisory Framework, CSAF) 문서를 참조하며, 보안 팀은 CISA의 GitHub 저장소를 통해 상세 기술 사양을 확인할 수 있습니다.

주요 공격 시나리오는 다음과 같습니다:

• 세션 하이재킹 및 MITM 공격: 공격자는 FAST/TOOLS 구성 요소 간의 통신을 가로채고 조작하여 산업 프로세스 데이터 변조나 악성 명령 주입이 가능합니다.
• 크로스 사이트 스크립팅(XSS) 및 파일 탈취: 취약점을 악용하여 사용자 브라우저에서 악성 스크립트를 실행하거나, 영향을 받은 시스템에서 민감한 파일을 무단으로 추출할 수 있습니다.
• 자격 증명 탈취 및 횡적 이동: 탈취된 세션이나 복호화된 통신을 통해 산업 네트워크로의 추가 침투가 가능하며, 공격자는 중요 인프라 구성 요소로 이동할 수 있습니다.

영향 분석

요코가와 FAST/TOOLS는 석유 및 가스, 화학 제조, 수처리 등 다양한 분야에서 사용되는 감독 제어 및 데이터 수집(SCADA) 시스템입니다. 이러한 취약점이 성공적으로 악용될 경우 다음과 같은 영향이 발생할 수 있습니다:

• 운영 중단: 프로세스 데이터나 명령의 조작으로 안전하지 않은 상태, 생산 중단, 또는 장비 손상이 발생할 수 있습니다.
• 데이터 유출: 독점 프로세스 데이터, 자격 증명, 또는 지적 재산의 유출 위험이 있습니다.
• 공급망 침해: 공격자는 FAST/TOOLS 시스템에 대한 접근 권한을 악용하여 하류 파트너나 공급업체를 대상으로 공격할 수 있습니다.

이 소프트웨어가 중요 인프라에서 널리 사용되고 있다는 점을 고려할 때, 이러한 취약점은 IT와 OT 환경 모두에 중대한 위험을 초래합니다. FAST/TOOLS를 사용하는 조직은 잠재적인 산업 네트워크 전반의 연쇄 효과를 완화하기 위해 신속한 조치를 취해야 합니다.

권고 사항

CISA와 요코가와는 영향을 받는 조직이 다음 조치를 취할 것을 강력히 권고합니다:

1. CSAF 문서 검토: 전체 기술 권고안을 확인하여 구체적인 취약점 정보, 영향을 받는 버전, 패치 지침을 확인하세요.
2. 보안 업데이트 적용: 요코가와에서 제공하는 패치나 완화 조치를 즉시 배포하세요. 요코가와의 공식 채널을 통해 업데이트를 모니터링하세요.
3. OT 네트워크 분리: FAST/TOOLS 시스템을 기업 IT 네트워크와 분리하고, 권한이 있는 인원만 접근할 수 있도록 제한하세요.
4. 의심스러운 활동 모니터링: 네트워크 모니터링을 통해 예상치 못한 데이터 유출이나 무단 명령 실행과 같은 비정상적인 트래픽을 탐지하세요.
5. 최소 권한 원칙 적용: 잠재적인 악용의 영향을 최소화하기 위해 사용자 권한을 제한하세요.
6. 취약점 평가 실시: CISA의 ICS 권고안과 같은 도구를 활용하여 산업 제어 시스템에 대한 신규 위협 정보를 지속적으로 확인하세요.

보안 팀은 이러한 취약점이 중요 인프라를 대상으로 한 표적 공격에 악용될 가능성이 높으므로, 이 권고안을 최우선으로 처리해야 합니다.