By 비즈테크 
위험에 처한 주유소: 새로운 해킹의 무대?
오늘날의 디지털 세계에서 우리가 일상적으로 의존하는 많은 것들이 새로운 보안 위협에 노출되어 있습니다. 오늘은 특히 눈길을 끄는 보안 위협, 바로 자동 탱크 게이지(ATG) 시스템의 심각한 취약성에 대해 이야기해 보겠습니다.
취약한 보안이 초래할 위험
BitSight의 연구원인 Pedro Umbelino이 밝혀낸 보고서에 따르면, 다섯 제조사에서 제공하는 여섯 종류의 ATG 시스템에서 심각한 보안 취약점이 발견되었습니다. 그 중 일부는 OS명령어 주입 및 인증 우회 등으로 공격자가 시스템에 무단으로 접근하여, 물리적 손상, 환경적 위험, 경제적 손실을 초래할 수 있는 가능성을 가지고 있습니다.
주요 취약점
이취약점은 주유소 뿐만 아니라 병원, 공항, 군 기지 등 중요 인프라에도 영향을 미칩니다. 검출된 11개의 취약성 중, 8개가 결정적인 위험 수준에 해당하며 다음을 포함합니다:
- CVE-2024-45066: Maglink LX의 OS 명령어 주입
- CVE-2024-43693: Maglink LX의 OS 명령어 주입
- CVE-2024-43423: Maglink LX4의 하드코딩된 자격증명
- CVE-2024-8310: OPW SiteSentinel의 인증 우회
- CVE-2024-6981: Proteus OEL8000의 인증 우회
- 그 외 다수…
이러한 취약점들은 시스템의 관리 권한을 공격자에게 허용하며, 최악의 경우 운영체제 자체를 완벽히 통제할 수 있는 가능성을 제공합니다.
다양한 디지털 공간에서의 보안 문제
ATG 시스템 외에도 OpenPLC 솔루션에서 발견된 치명적인 스택 기반 버퍼 오버플로우(CVE-2024-34026)가 있습니다. Cisco Talos의 보고서에 따르면, 적절한 조건 하에 공격자가 원격 코드 실행을 달성할 수 있다고 합니다.
또한, Riello NetMan 204 네트워크 통신 카드의 취약점이 발견되었습니다. 이는 위탁 전력 공급(UPS) 시스템에서의 제어를 가능하게 하며, 공격자가 로그 데이터까지 조작할 수 있는 위험을 초래할 수 있습니다.
산업 보안의 변화
이러한 취약점을 배경으로 미국 사이버 보안 및 인프라 보안국(CISA)은 인터넷에 노출된 운영기술(OT) 및 산업제어 시스템(ICS)에 대한 위협이 증가하고 있음을 경고하고 있습니다. 이러한 시스템의 노출은 사이버 위협 행위자에게 기본 자격 증명을 사용하거나 단순한 방법을 통해 장치에 접근하고 손상을 줄 수 있는 기회를 제공합니다.
맺음말
현재 세계 각지에서 벌어지고 있는 다양한 사이버 공격과 위협은 일상적인 생활과 직접적으로 연결될 수 있습니다. 오늘 소개한 일부 취약점들은 우리가 느슨하게 생각할 수 있는 작은 일상의 부분들, 예를 들어 주유소의 시스템을 통해 여실히 드러납니다. 디지털 시대를 살아가면서 우리는 기술의 편리성을 누리지만, 동시에 그에 따르는 위험에 항상 대비해야 합니다. 항상 최신 보안 뉴스를 주목하고, 개인 및 기업 모두 보안 기준을 엄격하게 준수하여 이러한 위험으로부터 자신을 방어하길 추천합니다.