CVE-2018-4063 산업용 라우터 원격 코드 실행 취약점

CVE-2018-4063 산업용 라우터 원격 코드 실행 취약점

취약점 개요

CVE-2018-4063은 Sierra Wireless의 산업용 라우터 AirLink 시리즈에서 사용하는 ALEOS 펌웨어에 존재하는 원격 코드 실행(RCE) 취약점이다.
악의적인 HTTP 요청을 통해 인증 우회 및 임의 파일 업로드가 가능하며, 결과적으로 장비의 완전한 제어권 탈취로 이어질 수 있다.

영향받는 제품 및 환경

• Sierra Wireless AirLink ES450 제품군
• ALEOS 펌웨어 4.9.3 이하 버전
• OT 네트워크 경계에 인터넷 또는 외부망과 연결된 환경

기술적 원인 분석

이 취약점의 핵심 원인은 템플릿 파일 업로드 처리 로직에 있다. 파일 업로드 시 파일명 검증이 제대로 이뤄지지 않아, 공격자가 시스템 내부에 이미 존재하는 파일과 동일한 이름을 가진 파일을 업로드할 수 있다.

이때 덮어씌워지는 파일은 기존 파일의 실행 권한을 그대로 유지하며, 해당 권한이 root 권한으로 실행되는 구조를 가진다. 결과적으로 공격자는 라우터 내부에서 임의 코드를 실행할 수 있다.

공격 시나리오

1. 공격자가 취약한 AirLink 라우터의 관리 인터페이스에 접근
2. 악의적인 HTTP 요청을 구성해 인증 우회 또는 약한 인증 조건 활용
3. 악성 실행 파일을 정상 시스템 파일명으로 업로드
4. 해당 파일 실행 시 root 권한 코드 실행
5. 라우터 장악 후 내부 OT 네트워크로 확산 가능

실제 위협 동향

CISA는 CVE-2018-4063을 KEV(Known Exploited Vulnerabilities) 목록에 등재했다.
이는 해당 취약점이 실제 공격에 사용되고 있음을 의미하며, 단순 이론적 결함이 아님을 명확히 한다.

포어스카우트(Forescout) 연구에 따르면 OT 환경에서 라우터는 전체 공격 시도의 약 67%를 차지하는 주요 표적이다. 오래된 취약점임에도 불구하고 패치 미적용 장비가 많아 재공격이 반복되고 있다.

대응 및 완화 방안

• 지원 가능한 최신 ALEOS 펌웨어로 즉시 업데이트
• 패치가 불가능한 장비는 네트워크 분리 또는 교체
• 관리 인터페이스 외부 접근 차단
• HTTP/HTTPS 관리 포트 접근 통제
• OT 네트워크에 대한 지속적 스캐닝 및 이상 행위 모니터링

보안적 시사점

CVE-2018-4063 사례는 구형 취약점이라 하더라도 OT 환경에서는 장기간 유효한 공격 벡터로 남을 수 있음을 보여준다. 산업용 라우터는 네트워크 경계 장비인 만큼, 단일 취약점이 전체 설비와 생산 시스템으로 이어질 수 있다.

OT 보안은 더 이상 선택이 아니라 필수이며, 장비 수명주기 관리와 패치 전략을 포함한 체계적 보안 운영이 요구된다.