중국에서 제조된 차량용 GPS 추적기 ‘MiCODUS MV720 GPS(Global Positioning System)’에서 다수의 보안 취약점이 발견됐다.
CISA에 따르면, MiCODUS MV720 GPS는 정부, 군대, 포춘 1000대 기업 등 중요 기관에 종사하는 약 42만 명이 보유한 150만 대 이상의 차량에 사용되는 추적 장치다. 이번 취약점을 통해 해커는 차량을 원격으로 제어할 수 있는 것으로 알려졌다.
취약점을 통해 해커는 차량에 접근해 글로벌 포지셔닝 시스템 추적기를 제어해 차량 연료 공급, 차량 제어, 차량 위치 감시 등 중요한 기능에 모두 접근할 수 있다.
이번 취약점은 보안 기업 BitSight 연구원에 의해 처음 발견됐으며 이름은 CVE-2022-2107로 추적된다. 연구원에 따르면, 해커는 추적기를 통해 연료 공급을 차단하고 차량을 정지시키거나 차량의 움직임을 추적할 수 있다.
CISA는 MiCODUS MV720 GPS에서 발견된 6가지 취약점에 대해 자세히 설명하는ICSA(Industrial Controls Systems Advisory)를 발표했다. 취약점 목록은 다음과 같다.
• CVE-2022-2107(CVSS 점수: 9.8): 하드 코딩된 자격 증명을 사용하면 공격자가 웹 서버에 로그인해 사용자를 가장해 GPS에서 오는 것처럼 SMS 명령을 GPS 추적기에 보낼 수 있다.
• CVE-2022-2141(CVSS 점수: 9.8): 부적절한 인증을 통해 사용자는 비밀번호 없이 일부 SMS 명령을 GPS 추적기에 보낼 수 있다.
• CVE-2022-2199(CVSS 점수: 7.5): 사이트 간 스크립팅 취약점으로 인해 공격자가 사용자를 속여 속도 제어 권한을 얻을 수 있다.
• CVE-2022-34150(CVSS 점수: 7.1): 기본 웹 서버에는 추가 검증 없이 임의의 장치 ID를 허용하는 매개 변수 장치 ID에 대해 인증된 IDOR(Insecure Direct Object References) 취약점이 있다.
• CVE-2022-33944(CVSS 점수: 6.5): 메인 웹 서버는 임의의 장치 ID를 허용하는 POST 매개 변수 장치 ID에 인증된 IDOR 취약성을 가지고 있다.
연구원들은 아직 CVE(CVSS 점수: 8.1)를 받지 못한 다른 취약점도 발견했다.
전 세계의 MiCODUS 장치 사용량을 분석한 결과, 대륙별로 차이가 있는 것으로 나타났다. 취약점이 있는 MiCODUS 장치를 사용하는 조직은 북미 지역의 제조 기업과 남미 지역의 정부 기관이 대부분이다. 유럽의 경우, 금융 기관에서 에너지 기업에 이르기까지 다양하게 분포하고 있다.
BitSight 연구원은 사용자가 MiCODUS 측이 문제를 해결할 때까지 MiCODUS MV720 GPS 추적기의 사용을 중단하거나 보류할 것을 권장했다.
국가 안보 전문가이자 전직 대통령 사이버 보안 고문인 Richard Clarke는 "중국이 미국에서 차량을 원격으로 제어할 수 있다면 큰 문제가 생길 수 있다. 모바일을 통한 장치 제어가 늘고, 이러한 GPS 추적기의 보안이 확보되지 않으면 사이버 위험이 증가할 수 있다”라고 우려했다.
BitSight의 연구 결과는 이번 취약점이 개인 안전 및 국가 안보에 영향을 미칠 수 있으며, 대규모 교통 문제나 인명 손실과 같은 심각한 사고로 이어질 수 있다는 점을 보여준다. 또한 IoT에서 보안 시스템을 갖추는 것이 얼마나 중요한지도 알 수 있다.
아울러 연구원들은 해커가 취약점을 악용해 군대와 군대의 엔티티에 대한 정보를 수집할 수도 있다는 위험성도 강조했다. 이를 통해 군사 보급로, 병력 이동 등 중요 군사 정보가 드러날 수 있기 때문이다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
