클래로티의 연구조직인 Team82는 RCE(remote code execution)를 이용해 지멘스 SIMATIC S7-1200/1500 시리즈에 하드코딩된 글로벌 개인 암호화 키(개인키, Global Private Cryptographic Key) 추출에 성공했다고 밝혔다.
공격자가 이 키를 추출하면, 영향을 받는 지멘스 제품라인의 모든 PLC를 완전히 제어할 수 있다.
약 10년 전 지멘스는 TIA 포털 v12 및 SIMATIC S7-1200/1500 PLC CPU 펌웨어 제품군의 통합 보안 아키텍처에 비대칭 암호화 방식을 도입했다. 이는 장치 및 사용자 프로그램의 무결성과 기밀성을 보장하는 것은 물론, 산업 환경 내에서 장치의 통신을 보호하는 역할을 수행했다.
당시에는 시스템 통합 사업자(System Intergrator) 및 사용자에게 암호키 관리 시스템이 운영상 부담이 되었기 때문에 산업용 제어 시스템에 동적 키 (Dynamic Key) 관리 및 배포 기능이 존재하지 않았다. 이로 인해 지멘스는 PLC와 TIA 포털 간의 프로그래밍 및 통신을 보호하기 위해 고정된 암호화 키를 사용하기로 결정했다.
그러나 이후 기술과 보안 연구가 발전하고, 위협 환경이 빠르게 변화하면서 이러한 하드코딩 방식의 암호화 키로 위험을 완벽하게 보호할 수 없게 되었다. 하드코딩된 글로벌 암호 키를 추출할 수 있는 악의적인 행위자들은 복구할 수 없는 형태로 장치의 전체 제품라인의 보안을 손상시킬 수 있게 되었다.
클래로티의 연구팀인 Team82는 하드코딩된 키와 같은 관행에서 벗어나 사용자의 시스템에 미치는 위험을 입증하고, 산업 자동화 에코시스템의 전반적인 보안을 개선하기 위해 주요 공급업체들과 긴밀히 협력하여 PLC 보안에 대한 광범위한 연구를 지속적으로 수행해 왔다.
이전의 지멘스 SIMATIC S7-1200 및 S7-1500 PLC에 대한 연구와 로크웰 오토메이션의 로직스 컨트롤러 및 스튜디오 5000 로직스 디자이너에 대한 연구를 확장하여 최근까지 지속적으로 연구활동을 수행해 왔다.
클래로티 연구원들은 영향을 받는 각 지멘스 제품라인에 사용된 하드코딩된 글로벌 암호화 키(CVE-2022-38465)를 복구할 수 있는 SIMATIC S7-1200 및 S7-1500 PLC CPU 대상의 새롭고 혁신적인 기법을 발견하고, 지멘스에 공개했다.
지멘스 PLC에 대한 이전 연구(CVE-2020-15782)에서 발견된 취약점을 사용하여 PLC의 기본 메모리 보호 기능을 우회하고, 원격으로 코드를 실행하기 위해 읽기 및 쓰기 권한을 얻을 수 있었으며, 지멘스 제품 라인 전반에 사용되는 강력한 보안 기능을 갖춘 내부 개인 키(Private Key)를 추출할 수 있었다. 이러한 새로운 기법을 통해 전체 프로토콜 스택을 재구현하고, 보안이 적용된 통신 및 설정을 암호화하고 복호화했다.
내부적으로 밝혀진 이러한 사실에 대응하여 지멘스는 자사의 주력 PLC 라인과 TIA 포털 엔지니어링 워크스테이션 애플리케이션을 보호하는 암호화 체계에 대한 정밀 점검을 실시했다. 지멘스는 기존의 하드코딩된 키를 이용한 보호 기능이 더 이상 충분하지 않다는 보안 권고를 인정하고, 하드코딩된 키의 사용을 제거하는 동적 PKI(Public-Key Infrastructure)를 도입하는데 필요한 리소스와 시간을 투자했다.
지멘스는 사용자가 즉시 SIMATIC S7-1200 및 S7-1500 PLC와 해당 버전의 TIA 포털 프로젝트를 최신 버전으로 업데이트할 것으로 권장하고 있다.
지멘스 측은 보안권고를 통해 TIA 포털 V17 및 관련 CPU 펌웨어 버전에 장치별 개별 암호를 기반으로 기밀 구성 데이터를 보호하는 새로운 PKI 시스템과 TLS로 보호되는 PG/PC(Programming Device) 및 HMI 통신이 포함되어 있다고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★