2022 상반기 XIoT 보안 현황 보고서 발표

올해 상반기 IoT 기기에서의 보안 취약성이 지난해 같은 기간 보다 증가한 것으로 나타나 IoT 관련 기기들의 보안 강화가 절실한 것으로 분석됐다.
 

클래로티의 연구팀인 Team82는 31일 운영 기술(OT), 산업 제어 시스템(ICS), IoMT, XIoT에 영향을 미치는 취약성에 대한 심층 조사 및 분석 내용을 담은 2022 상반기 XIoT 보안 현황 보고서를 발표했다.

이에 따르면 IoT 기기에 영향을 미치는 취약성 노출이 2021년 하반기에 비해 56% 증가했고, 지난 1년 간 공급업체가 자체적으로 공개한 취약성이 69% 증가한 것으로 나타났다.

독립 조사기관 발표보다 공급 업체의 공개가 더 많이 보고된 것은 이번이 처음이다.

전체 또는 부분적으로 수정된 펌웨어 취약성도 79% 증가한 것이 눈에 띈다.

펌웨어 패치에서 취약성을 해결하는 것이 최초 소프트웨어 배포보다 상대적으로 어려운 점을 감안할 때 주목할 만한 개선이 이뤄진 것으로 볼 수 있다. 

핵심 내용을 살펴보면 IoT 기기에서 15%의 취약성이 발견되었으며, 이는 Team82의 2021년 하반기 보고서에서 조사된 9%보다 크게 증가한 수치이다. 또한 IoT와 IoMT 취약성을 합하면 18.2%에 이르며, 처음으로 IT 전체 취약성 16.5%를 넘었다.

▲ 취약성 조사 기관 (그림제공: 클래로티)
 

공급업체가 자체 공개한 취약성이 29%에 이르면서 독립 조사기관(19%)을 넘어섰으며 제3자 보안회사(45%)에 이어 두 번째로 많은 취약성 보고자가 되었다.

CVE(공개적으로 알려진 정보 보안 결함 목록: Common Vulnerabilities and Exposures)에는 214개를 게시했다. 

Team82가 2021년 하반기에 보고한 127개보다 거의 두 배에 달하는 수치다.
 
이는 더 많은 OT, IoT, IoMT 공급업체들이 취약성 공개 프로그램을 수립하고, 제품의 보안과 안전성을 검사하는데 더 많은 리소스를 투자하고 있음을 보여준다.

게시된 펌웨어 취약성과 소프트웨어 취약성은 각각 46% 및 48%로 거의 유사한 수치를 보였다. 2021년 하반기 보고서에서 소프트웨어(62%) 대비 거의 절반에 불과했던 펌웨어(37%) 취약성이 크게 증가한 것으로 나타났다.

또, XIoT 취약성은 2022년 상반기에 총 747건에 이르렀으며, 평균적으로 월 125건의 비율로 게시 및 해결되고 있다. CVSS(공통 취약점 등급 시스템: Common Vulnerability Scoring Syste) 스코어는 대부분 치명적(19%) 또는 높은 심각도(46%) 수준으로 나타났다. 

71%에 달하는 취약성이 시스템 및 장치 가용성에 큰 영향을 미치고 있으며, 이러한 영향 지표는 XIoT 기기에서 가장 크게 나타나는 것으로 확인됐다.

가장 큰 잠재적 영향은 무단으로 원격 코드를 실행하거나 명령을 실행(취약성의 54%에서 보편적으로 나타남)하는 것이었으며, 그 다음으로는 DoS(서비스거부공격: Denial-of-Service) 상황(충돌, 종료 또는 재시작)이 43%로 뒤를 이었다.

이 보고서의 데이터는 Team82를 비롯해 신뢰할 수 있는 오픈소스인 △NVD(National Vulnerability Database) △ICS-CERT(Industrial Control Systems Cyber Emergency Response Team) △CERT@VDE △MITRE △슈나이더 일렉트릭 △지멘스에서 발견한 취약성으로 구성되어 있다. 

아미르 프레밍어(Amir Preminger) 클래로티 리서치 사업부 부사장은 “사물이 인터넷과 연결되면서 가상물리시스템은 음식과 물은 물론, 엘리베이터와 의료 서비스에 이르기까지 현실 세계에 직접적인 영향을 미치고 있다”며 “우리는 XIoT 취약성 환경에 대한 청사진을 제공함으로써 공공의 안전과 환자의 건강, 스마트 그리드 및 유틸리티 등의 기반이 되는 중요 시스템에 대한 위험을 적절하게 평가하고, 우선순위를 지정 및 해결할 수 있도록 이번 조사작업을 수행했다”고 밝혔다.