출입 통제를 위한 OSDP 취약점에 대한 조치 방법

최근 OSDP(개방형 감독 장치 프로토콜) 취약점에 대한 논의가 많이 이루어지고 있습니다.

이러한 출입 통제 취약점은 올해 Black Hat 보안 컨퍼런스에서 보안 회사인 Bishop Fox가 처음 발표했습니다. 얼마 지나지 않아 Ars Technica의 블로그에 강연에서 언급된 공격 가능한 OSDP 리스크 5가지에 대한 자세한 설명이 게재되었습니다.

그 이후로 물리적 보안 업계는 OSDP 프로토콜에 대해 많은 질문과 우려를 보이고 있습니다. 위협 행위자들이 시스템의 취약점을 이용할 준비가 되어 있으므로 조직은 OSDP 취약점의 영향과 관련 위협을 방어하는 방법을 알아야 합니다. 

다음을 계속 읽어나가면서 OSDP 취약점으로부터 Security Center 시스템을 강화하는 데 사용할 수 있는 모든 리소스에 대해 알아보십시오.

 

 

OSDP 프로토콜이란 무엇입니까?

OSDP는 개방형 감독 장치 프로토콜(Open Supervised Device Protocol)의 약자입니다. 최근 사용되는 일반적인 출입 통제 통신 프로토콜로, 출입 통제 시스템의 다양한 구성 요소를 연결할 수 있는 안전하고 유연한 프레임워크를 제공합니다.

보다 구체적으로 OSDP는 카드 리더기 및 기타 여러 출입 통제 주변 장치를 컨트롤러에 연결합니다. 이를 통해 제어판에서 카드홀더 데이터베이스로 크리덴셜을 확인하고, 출입문 또는 구역에 대한 출입 통제를 허용하거나 거부할 수 있습니다.

OSDP는 보안 산업 협회 (SIA)가 출입 통제 상품 간의 상호운용성을 개선하기 위해 개발한 차세대 출입 통제 프로토콜입니다. OSDP는 128비트 AES 암호화, 스마트카드 기술 및 기타 고급 기능도 지원합니다. 이 때문에 OSDP는 오랫동안 사용되어 온 Wiegand 프로토콜보다 더 안전한 출입 통제 설비 옵션으로 간주되어 왔습니다. 2020년에는 국제전기기술위원회(IEC)의 국제 표준으로 승인받기도 했습니다. 

OSDP 해킹이란 무엇입니까? 그렇다면 OSDP 리스크를 방어하려면 어떻게 해야 할까요? 

올해 Black Hat 컨퍼런스에서 Bishop Fox의 Dan Petro와 David Vargas가 OSDP 해킹에 대해 발표했습니다. 두 보안 연구원은 OSDP 프로토콜 취약점을 이용해 출입 통제 시스템을 해킹할 수 있었던 방법을 공유했습니다. 또한 'Badge of Shame–Breaking into Security Facilities with OSDP'라는 제목의 블로그에서 조사 결과와 권장 사항을 자세히 설명했습니다. 

다음은 이들이 제시한 주요 OSDP 보안 취약점 5가지와 현재 이러한 위험을 완화할 수 있는 최선의 방법을 간략히 요약한 내용입니다.

주의해야 할 상위 5가지 OSDP 취약점

 

  OSDP용 암호화 옵션

OSDP는 암호화를 지원하지만 각 장치에서 해당 기능을 사용하도록 설정하는 것은 사용자의 몫입니다. 장치 설치 시 보안 채널 암호화를 활성화하지 않거나, 암호화와 같은 OSDP 프로토콜에서 사용할 수 있는 보안 기능을 모두 지원하지 않는 장치를 구현하는 경우 사이버 범죄에 취약해질 수 있습니다.

이러한 리스크를 완화하려면 어떻게 해야 할까요?

  보안 채널 사용 

이는 출입 통제 장치를 설치하고 구성할 때 수행해야 하는 작업입니다. Genetec Security Center 보안 강화 가이드에서 보안 채널 모드를 활성화한 상태에서 OSDPv2 프로토콜을 사용하도록 권장하는 내용을 확인할 수 있습니다. Security Center Config Tool에서 단계별 지침에 따라 보안 리더 연결을 사용하도록 설정할 수도 있습니다. 

  OSDP 관련 설치 지침 준수

Synergis™ Cloud Link를 사용하는 경우, Synergis Cloud Link 설치 가이드 및 Synergis Cloud Link 관리자 가이드의 모든 OSDP 관련 권장 사항을 따라야 합니다. 다음과 같은 관리자 가이드의 특정 섹션은 OSDP 표준과 OSDP 장치를 구현하는 최선의 방법에 대해 설명합니다.

• OSDP 채널 만들기
• OSDP 리더기 구성하기
• 보안 모드 사용 설정하기

 

Synergis Cloud Link에 연결되는 특정 출입 통제 벤더의 OSDP 장치에 대한 지침을 찾고 있다면 여기 Genetec 가이드를 쭉 검색해보십시오.

Synergis Cloud Link Roadrunner™에 대한 OSDP 관련 지침을 찾고 있다면 다음 리소스를 확인하십시오. 

• 지원되는 OSDP 리더기
• OSDP 구성 채널 만들기
• OSDP 리더기 구성 및 추가

 

  보안 점수 모니터링

Security Center의 Security Score 위젯은 시스템 보안을 실시간으로 모니터링하고 이를 모범 사례와 비교합니다. 그런 다음 점수를 부여하고 사이버 보안을 개선하기 위한 권장 사항을 제공합니다. 출입 통제를 위한 권장 사항 중 하나는 '보안 리더기 연결 사용'입니다. 아직 보안 채널을 활성화하지 않은 경우라면, Security Score는 잠재적 위험에 대해 경고하고 사이버 보안 점수를 개선하기 위해 출입 통제 장치 연결을 확보할 것을 권장합니다.

  하드웨어에 대한 공격 다운그레이드

리더기가 처음 온라인 상태가 되면 암호화 지원 여부를 포함한 기능 목록을 컨트롤러로 전송합니다. 하지만 보안 채널 암호화를 지원하는 것과 이를 적용하는 것은 전혀 다른 문제입니다. 

그렇다면 출입 통제 리더기와 컨트롤러가 보안 채널 암호화를 지원하고 이를 활성화한 경우에도 장치에서 암호화되지 않은 데이터 교환을 허용할까요? 

연구진은 특정 리더기의 배선에 해킹 장치를 연결하면 리더기에서 컨트롤러로 전송되는 통신을 가로챌 수 있다는 사실을 밝혀냈습니다. 그런 다음 리더기가 암호화된 통신을 지원하지 않는다고 컨트롤러에 알릴 수 있습니다. 이로 인해 통신 프로토콜이 다운그레이드되어 크리덴셜 정보에 액세스할 수 있습니다. 

이러한 리스크를 완화하려면 어떻게 해야 할까요?

  보안 장치 선택

이 취약점은 하드웨어에 따라 다르다는 점을 알고 있어야 합니다. 특정 출입 통제 장치 제조업체는 '보안 채널 필수' 기능을 제공합니다. 즉, 장치가 안전하지 않은 모든 통신을 거부합니다.

  OSDP 구성 확인

컨트롤러의 OSDP 구성을 확인할 수 있습니다. 장치마다 다르므로 출입 통제 하드웨어 벤더에 문의하여 이 설정에 대해 자세히 알아보고 컨트롤러가 암호화되지 않은 통신을 거부하는지 확인하십시오. Genetec의 특정 장치에 대한 안내가 필요한 경우 지원팀에 문의하세요.

  설치 모드 공격

새 리더기와 컨트롤러를 설정할 때 일부 OSDP 지원 장치는 자동으로 '설치 모드'가 켜집니다. 이 설정 과정에서 리더기는 컨트롤러에 일반 기본 키를 요청합니다. 연결이 설정되고 장치가 온라인 상태가 되면 암호화된 통신이 재개됩니다. 그러나 연구진은 설치 모드가 off가 아닌 경우, 위협 행위자가 장치를 가로채 새 키를 요청할 수 있다는 사실을 발견했습니다. 그러면 시스템과 데이터에 접근할 수 있습니다.

이러한 리스크를 완화하려면 어떻게 해야 할까요?

  Genetec, Mercury 및 Axis 제품의 보안 방법 알아보기

모든 OSDP 장치가 설치 중에 설치 모드가 기본적으로 켜져 있는 것은 아닙니다. 최신 Mercury 및 Axis 장치뿐만 아니라 Synergis Cloud Link 또는 Roadrunner와 같은 Genetec 제품을 사용하려면 설치 프로그램이 구성 카드 또는 앱을 통해 설치 모드를 적극적으로 켜야 합니다. 리더기가 추가되고 나면 이러한 컨트롤러의 자동 설치 모드가 자동으로 종료됩니다. 이렇게 하면 해당 취약점을 무효화하여 시스템과 데이터를 안전하게 보호할 수 있습니다.

• 항상 전체 채널을 제어하거나 신뢰할 수 있는 경우에만 설치 모드를 활성화하는 것이 좋습니다.
• 또 다른 완화 팁은 리더기와 컨트롤러에서 키를 별도로 프로비저닝하는 것입니다. 리더기가 설치 모드에 있지 않으면 컨트롤러가 OSDP를 통해 키를 전송하지 않습니다. 보안 채널이 설정되면 컨트롤러가 키를 사용하여 보안 연결을 시도합니다. 참고: 모든 장치가 이 기능을 지원하는 것은 아닙니다.

 

  장치에서 기본적으로 설치 모드가 사용 설정되어 있는 경우 수행해야 할 작업 알아보기

위에서 언급한 바와 같이, Genetec Synergis Cloud Link 또는 Roadrunner, Mercury 및 Axis 장치는 이 범주에 속하지 않습니다. 이러한 컨트롤러에서는 모두 설치 모드를 수동으로 켜야 합니다. 리더기가 설정되면 장치가 자동으로 설치 모드를 종료합니다. 하지만 설치 모드가 기본적으로 설정되어 있는 다른 장치를 사용하는 경우 고려해야 할 몇 가지 팁이 있습니다. 

• 보안 구현에 집중하십시오. 장치를 설치한 후 모든 OSDP 장치에 대해 설치 모드를 OFF에서 ON으로 전환하십시오.
• 이와 같은 다른 장치 제조업체의 경우 일부는 일정 시간이 지나면 설치 모드가 자동으로 꺼지는 기능을 가지고 있을 수 있습니다. 또한, 설치 모드가 ON인 상태로 있는 장치를 알려주는 보고 기능을 제공하여 취약한 장치를 빠르게 식별할 수 있도록 할 수도 있습니다. 
• 자동으로 설치 모드로 전환되는 장치가 있는 경우, 액세스 제어 벤더에 문의하여 설치 모드가 켜져 있지 않도록 하는 데 도움이 될 수 있는 다른 기본 제공 보호 기능을 확인하시기 바랍니다. 

  취약한 암호화 키

드물기는 하지만 일부 장치 제조업체는 통신 세션에 약한 암호화 키를 사용할 수 있습니다. 연구진은 오픈 소스 OSDP 라이브러리에서 일반적인 하드코딩 키를 발견한 후 이러한 추측을 하게 되었습니다. 이러한 키는 일반적으로 친숙하고, 간단한 컴파일로 구성되어 있기 때문에 768개의 하드코딩 키를 생성할 수 있었습니다. 위협이 될까요? 사이버 범죄자는 이러한 취약한 키를 사용하여 무차별 암호 대입 공격을 실행하고 시스템에 액세스하려고 시도할 수 있습니다.

이러한 리스크를 완화하려면 어떻게 해야 할까요?

  설치 중에 하드코딩된 키 교체

이 취약점은 다시 한 번 효과적인 장치 구현에 관한 것입니다. 일반 하드코딩 키를 사용하는 장치를 사용하는 경우, 고유하며 무작위인 키로 변경해야 합니다. 

  OSDP 인증 장치 선택

이러한 제품은 SIA의 테스트와 검증을 거쳐 OSDP 표준을 충족합니다. OSDP 장치에 대해 고유하고 무작위로 생성된 AES-128 키를 지원하는 등 다양한 보안 기능이 포함되어 있습니다. 이 기능이 기본적으로 사용하도록 설정되어 있는지 아니면 수동으로 설정해야 하는 기능인지 벤더에 문의하십시오.

  Genetec 장치에 대해 알아보기

Genetec 솔루션은 절대 하드코딩된 키를 사용하지 않습니다. Synergis Cloud Link나 Synergis Cloud Link Roadrunner 모두 각 장치에 대해 무작위로 생성된 AES-128 키를 받거나 자체 보안 키를 구성할 수 있습니다.

  강제 복구 설치 모드

마지막 취약점은 장치를 설치 모드로 되돌릴 수 있는 취약점입니다. 연구진은 해커가 기존 출입 통제 리더기의 RS485 배선에 은밀한 도청 장치를 설치하여 장치를 교체해야 할 정도로 변조할 수 있는 방법을 설명했습니다. 새 리더기가 온라인 상태가 되면 수신 장치는 설치 모드 중에 암호화 키를 캡처할 수 있습니다. 해커는 리더기를 모방하여 중요한 정보를 훔칠 수 있습니다.

이러한 리스크를 완화하려면 어떻게 해야 할까요?

  장치 알람을 심각하게 받아들이기

장치가 오프라인 상태가 되거나 지속적으로 문제를 일으키는 경우, 위협의 가능성을 염두에 두고 부지런히 위험 평가를 실시해야 합니다. 또한 Security Center에서 장치 상태 보고서를 확인하여 특정 장치에서 발생한 알람을 검토할 수도 있습니다. 이를 통해 의심스러운 이벤트나 패턴을 식별하여 침해 시도를 파악하는 데 도움이 될 수 있습니다. 

  설치 중 임시 케이블 사용

RS485 배선에 청취 장치가 설치된 경우 장치를 페어링하는 동안 새 리더기에서 컨트롤러로 임시 연결 케이블을 사용하면 이러한 위험을 완화할 수 있습니다. 이렇게 하면 안전하게 장치 연결을 시작하고 암호화된 통신을 진행하여 설치를 완료할 수 있습니다. 

OSDP 강화를 위한 체크리스트와 Genetec의 향후 계획

사이버 보안 위협은 항상 진화하고 있습니다. 그리고 이러한 OSDP 취약점은 가장 사이버 보안이 뛰어난 장치를 선택하는 것뿐만 아니라 위협을 방어하기 위해 권장되는 모범 사례를 따르는 것이 얼마나 중요한지 보여줍니다. 

다음은 현재 OSDP 위협을 방어하는 가장 좋은 방법에 대한 간단한 체크리스트입니다:

1. OSDP 인증 장치 선택
2. 모든 장치에 보안 채널 모드 사용
3. 강화 및 설치 가이드의 OSDP 권장 사항 준수
4. 장치에 대한 비단순 암호화 키 구성
5. 전체 채널을 신뢰할 수 있는 경우에만 설치 모드를 사용 설정
6. 장치에서 설치 모드가 기본적으로 활성화되어 있는 경우 장치 설치 후 설치 모드 종료(장치별 권장 사항)
7. 컨트롤러에 직접 연결을 사용해 새 리더기 설치
8. Security Score 확인 및 모범 사례 준수
9. 장치 알람을 확인 및 리포트를 통해 더 큰 문제 파악
10. 신뢰할 수 있는 벤더를 통해 추가 지원 및 안내 받기

 

이러한 팁을 공유하는 것은 시작에 불과합니다. Genetec은 출입 통제 기술 파트너와 적극적으로 협력하여 OSDP 관련 장치 기능을 식별하고 목록에 추가하고 있습니다.

또한 Security Center 플랫폼 내에서 이러한 OSDP 취약점을 방어하는 데 도움이 되는 새로운 방법을 모색하고 있습니다. 자세한 정보가 제공되는 대로 공유해 드리겠습니다. 그 동안 궁금한 점이 있거나 추가 안내가 필요한 경우 지원팀에 문의하시기 바랍니다.