RAPTER INTERNATIONAL

보안업체 F-Secure는 15일(현지시간), 미국 시스코(Cisco Systems)의 기업용 스위치 Catalyst 2960-X의 위조품이 유통되고 있는 것이 확인되었다고 주의를 당부했다.

이것은 Catalyst2960-X를 도입한 기업이 소프트웨어 갱신을 진행했을 때 기능이 정지되는 현상이 보고되어 이것을 F-Secure Consulting이 조사하게 되면서 밝혀진 것으로, 네트워크에 대한 공격을 용이하게 하는 백도어와 같은 기능은 없었지만, 보안 제어를 피하기 위해 다양한 수단이 이용되고 있었다고 밝혔다. 예를 들어 어떤 유닛은 제로데이 취약성을 악용해 펌웨어 조작에 대한 보호를 제공하는 부안 부팅 프로세스가 약화됐다. 가짜 제품은 물리적인 부문과 동작 형태가 진짜와 아주 비슷했다고 하며 정품의 본래 설계를 복제하기 위해 고액의 투자를 실시했거나 CiscoSystems의 개발 문서에 액세스 했을 가능성이 있다고 밝혔다.

조사보고 중 F-Secure 드미트리 야누슈케비치 시니어 컨설턴트는 가짜 제품 위조자의 동기는 디바이스 판매로 이익을 얻는 것으로 보이지만, 이 정도의 기술을 가진 공격자라면 같은 접근법을 사용해 기업에 백도어를 설치 할 가능성도 있기 때문에 꼼꼼한 조사는 매우 중요하다고 밝혔다.

또한 향후 기업이 이러한 위조 디바이스나 컴포넌트를 사용하는 것을 방지하기 위해 아래와 같은 내용을 강조하고 있다.

1. 제조업체 인증 리셀러로부터 조달한다.

2. 조달 프로세스를 관리하는 명확한 내부 프로세스와 정책을 책정한다.

3. 모든 디바이스/컴포넌트가 제조업체로부터 제공되는 이용 가능한 최신 소프트웨어가 실행하고 있음을 확인한다.

4. 같은 제품의 복수 유닛 간에 물리적 차이를 발견한 경우 미묘해도 모두 기록한다.

출처 - https://press.f-secure.com/2020/07/15/hunting-for-backdoors-in-counterfeit-cisco-devices/

F-Secure가 URL 체크 API, F-Secure Security Cloud API for AWS를 AWS Marketplace에서 제공한다. 해당 API는 Amazon API Gateway 상에서 실행되며 클라우드 내 악성 콘텐츠의 URL을 체크하고 콘텐츠 유형별로 분류하는 기능을 포함한다.

F-Secure Security Cloud API for AWS는 악의적인 링크를 검출 / 차단하며 관리자가 추가 분석과 처리를 할 수 있도록 로그에 기록하는 것도 가능하다. 또 URL은 콘텐츠 유형에 따라 분류되고 수상한 콘텐츠는 별도로 표시하여 클라우드 서비스가 멀웨어와 불 필요한 콘텐츠로 장악되는 것을 방지하기 때문에 IT 관리자는 위협 대응과 관리가 가능하다.

API는 디지털 위협 분석 시스템인 F-Secure Security Cloud 위에 구축되어 서비스의 성능에 영향 없이 링크의 안전성을 검증할 수 있다. 현재 AWS Marketplace 내에서 주목되는 API 그룹중 하나로 선정되고 있다.

관련 정보 - https://aws.amazon.com/marketplace/pp/B01N3NNLIW?qid=1482464301463&sr=0-1&ref_=srh_res_product_title#product-description