하트블리드와 협업 솔루션의 상관관계?
처음 하트블리드가 발생했을 때, 협업 및 UC 솔루션과는
큰 관계가 없는 이야기라는 게 업계의 반응이었습니다.
하지만 곧 시큐어 IP 텔레포니(Secure IP Telephony)를 구현한
여러 공공기관 및 금융 기관에서 문의가 이어지기 시작했습니다.
이는 전화기와 IP PBX(Internet Protocol-Private Branch Exchange) 시스템을
일반 서버나 자신이 사용하는 컴퓨터와 동일한 것이라 착각한 데 따른 것이었는데요. ^^
그래서 이번 기회에, 하트블리드가 시스코 전화기와 IP PBX에 미치는 영향 및
그에 따른 시스코의 대응 상황을 간단히 정리해 드리고자 합니다.
하트블리드가 전화기에 미치는 영향
전화기는 통화를 주목적으로 만들어진 장비입니다.
그리고 시스코 전화기는 HTTPS 접속과 SSH 접속이 기본적으로 비활성화되어 있지만,
설정에 따라 IP 주소를 이용하여 접속을 시도할 수 있습니다.
하지만 하트블리드 영향으로 패스워드가 노출돼 해커 또는 불법 사용자가 전화기에 접속을 해도,
쉘로 쌓여져 있기 때문에 실제로 피해가 발생할 수 없는 구조입니다.
패스워드를 알고 있는 관리자도 웹으로 접속 시에는 전화기 설정 정보를 보는 것 말고는
할 수 있는 것이 없죠. SSH 접속 시에도, 사용할 수 있는 명령어가 매우 제한적인 탓에
전화기를 기점으로 다른 장비에 접속하는 것은 불가능합니다.
이외에 TLS / SRTP를 구현하였을 경우 최악의 상황에서
다이나믹 세션 키(Dynamic Session Key)키가 유출될 수 있습니다.
이 키를 알고 있으면, TLS 세션 내에 움직이는 패킷을 캡쳐해 도청이 가능합니다.
하지만, 여기서 패킷을 캡쳐하려면 원격이 아니라 기업 내에 침투해 수집해야 하므로 쉽지 않죠.
또한, 다이나믹 세션 키는 고정된 것이 아니라 수시로 변경되므로 이용 가치가 높지 않습니다.
따라서하트블리드에 의한 최악 상황을 가정하더라도,
전화기를 통해 해커가 유의미한 정보를 얻기는 불가능합니다.
시스코의 IP 전화기를 사용하고 있다면 안심하셔도 됩니다. ^^
하트블리드가 IP PBX에 미치는 영향
IP PBX는 전화기의 핵심 시스템으로 전화서비스에 치명적인 영향을 받을 수 있습니다.
그러나 시스코 IP PBX인 CUCM(Cisco Unified Communications Manager)은
SELinux를 사용합니다. SELinux란 'Security Enhanced Linux'의 준말로,
보안이 강화된 리눅스 버전을 의미합니다. 일례로 시스템 내의 모든 파일은
사용 권한이 설정되어 있어 특정 어플리케이션이 사용하는 파일을 다른 어플리케이션이
접근할 수 없습니다. 또한, CUCM의 SELinux인 OS에는 기본적으로 루트 권한이 존재하지 않습니다.
관리자도 CUCM에 별도의 어플리케이션이 파일을 설치하는 것이 불가능하죠.
즉, 관리자 패스워드를 획득하고 CUCM에 접근이 가능하더라도
할 수 있는 것은 구성정보를 삭제하는 수준 정도가 될 것이며,
이 서버를 기점으로 다른 서버에 영향을 미치는 것은 불가능합니다.
이런 2중, 3중의 보안 정책 덕분에 CUCM은 안전합니다.
다만 한 가지, 서비스 중단에 대한 우려는 있을 수도 있는데요.
다행히도 하트블리드의 위험에 노출된 CUCM 10.0.1 버전은 국내에서 사용하고 있지 않습니다.
시스코 UC 솔루션의 대응
하트블리드에 영향을 받은 시스코의 협입 및 UC 제품군의 진행 상황을 살펴보기 위해
시스코의 하트블리드에 대한 대처상황을 실시간으로 공유하는 공식 홈페이지를 방문해 보겠습니다.
이번 글의 주제와 가까운 IP PBX, 음성 게이트웨이(Voice Gateway), 전화기에 대해서 살펴보시면요.
IP PBX: 해결 완료
시스코 IP PBX는 CUCM으로 최신버전은 CUCM 10.5 입니다.
이중 CUCM 10.0.1 버전이 영향을 받으며, 그 이하 버전에서는 영향이 없습니다.
•버그가 발견된 버전
CUCM 10.0.1 버전에서 하트블리드 버그가 발견
•해결 방법
CUCM 10.0.1SU1 이상 버전으로 업그레이드
•패치 여부
CUCM 10.0.1SU1은 2014년 4월 28일 시스코 웹사이트에 배포
•국내 영향
현재 국내 기업은 CUCM 9.x 이하 버전을 이용하고 있으므로
하트블리드에 대한 CUCM의 영향은 없습니다.
시스코가 잘하는 것 중 하나가 정보를 투명하게 공개한다는 점이지요! ^^
여기에서는 시스코 CUCM이 사용 중인 오픈 소스와 관련된 정보를 공유하고 있습니다.
각 버전별로 공개되어 있지만, 현재 국내에서 가장 많이 사용하는 CUCM 9.x는
오픈SSL 0.9.8u 를 사용중입니다.
CUCM 버전별로 사용 중인 오픈 소스 및 오픈SSL에 대한 상세 버전을 확인하려면
여기에서 검색을 해보시기 바랍니다.
Cisco Unified 8961 / 9951 / 9971 IP Phone : 해결 완료
시스코 IP폰 중 최신 기종의 전화기들의 최신버전인 9.4(1) 버전에서 영향을 받습니다.
그 이하 버전을 사용할 경우에는 영향을 받지 않으며, 전화기별 대응 상황은 다음과 같습니다.
전화기 기종 | 버그가 발견된 버전 | 버그가 해결된 버전 | 패치 |
8961 | 9.4(1) | 9.4.1SR1.2 | 4월 21일 패치 |
9951 | 9.4(1) | 9.4.1SR1.2 | 4월 21일 패치 |
9971 | 9.4(1) | 9.4.1SR1.2 | 4월 21일 패치 |
여기를 참조하시기 바랍니다. 9.4(1) 펌웨어는 오픈SSL 0.9.8k를 사용 중이랍니다.
Cisco Unified 7821 / 7841 / 7861 IP Phone: 해결 중
시스코 IP폰 중 최신 기종의 전화기들의 최신버전인 10.1(1)에서 영향을 받으며,
동일한 펌웨어를 사용합니다.
전화기 기종 | 버그가 발견된 버전 | 버그가 해결된 버전 | 패치 예정 |
7821 | 10.1(1)SR1.4 | 10.1(1)SR2 | 5월 29일 패치 |
7841 | 10.1(1)SR1.4 | 10.1(1)SR2 | 5월 29일 패치 |
7861 | 10.1(1)SR1.4 | 10.1(1)SR2 | 5월 29일 패치 |
음성 게이트웨이 및 기타 전화기: 영향 없음
나머지 전화기와 시스코 ISR 기반의 음성 게이트웨이 CUBE는 영향을 받지 않습니다.
음성 게이트웨이가 사용하는 IOS의 오픈 소스 정보는 아래 링크에서 찾을 수 있습니다.
하트블리드가 발생한 지 시간이 제법 지났지만, 아직 모든 것이 완벽하게
해결된 상황은 아닙니다. 단순히 애플리케이션의 오픈SSL 스택을
패치버전으로 바꾸기만 하면 되는 것이 아니라,
이를 통해 기존의 서비스에 영향이 없는 지를 일일히 확인을 해야 하기 때문입니다.
보안 문제를 급하게 해결하려다 또 다른 문제에 부딪히지 않도록 하기 위한 조치이지요.
어쨌든, 시스코 UC 솔루션에 대한 하트블리드 문제는 이제 마무리되고 있습니다.
시스코 IP 텔레포니 사용하시는 분들은 곧 하트블리드를 잊고 편하게 지내도 될 듯합니다. ^^
