IPv6 보안취약점동향 2014. 11
IPv6 보안취약점동향 인터넷주소산업팀 정유경선임연구원, 김웅상책임연구원, 임준형팀장 2014년 9월, 국내 IPv6 상용서비스의개시와함께 IPv6 도입및전환이시작되었다. 국내외적으로 IPv6로의전환에따른관련통계자료들이증가추세를보이며실제환경속으로 IPv6주소가들어오고있다. IPv6 도입및전환에앞서인프라영역에서네트워크장비나 OS 등은이미 IPv6에대한지원준비를완료하였지만, 이에비해정보보호제품및보안장비들의 IPv6 지원에대한개발은아직미흡한단계이다. 본고에서는현재까지공개된 IPv6 관련보안취약점을취합하여정리해보고자한다. I. 개요 인터넷의사용자증가와 IoT라는새로운환경변화에따라 IPv4 인터넷주소고갈이현실화되고있다. 인터넷주소부족을해결하기위하여그대안으로새로운인터넷주소체계 IPv6가개발되었고, 전세계적으로 IPv6의도입및전환을위해노력하고있다. 국내에서는 2014년 9월, IPv6를사용하는단말의출시와 ISP의 IPv6 네트워크구축으로 IPv6 상용서비스가개시되었고, 이제그서비스를확장해나아가고자한다. IPv6의특징을간단히살펴보면 128비트주소체계로무제한개의주소 ( 약 43억 43억 43억 43억개 ) 를가지며, 헤더형식을단순화시켜헤더처리의효율성을높였다. 또한, IPsec(IP security protocol) 을기본적으로제공하며패킷별품질제어, 주소자동설정등을통해보안기능및주소관리의효율성측면을강화하였다. 기본적으로 IPv6는 IPv4에비해보안이강화되기는하였지만, IPv4/IPv6 주소를혼용해서사용하는환경에는여전히많은보안취약점이존재할수있다. IPv4에서존재하던보안취약점뿐만아니라 IPv6 확장헤더처리에따른보안취약점, 주소체계특성에따른취약점, IPv6 전환기술에서의취약점등의새로운 IPv6 취안취약점이생겨났고, 향후트래픽증가에따라새로운보안취약점이생겨날수있다. 현재보안은인터넷환경에서매우중요한이슈이다. 그러나 IPv6 전환확 - 2 -
산에있어서보안장비및보안관련제품들의 IPv6 지원에대한개발은더딘상황이다. 정보보호및보안이매우중요한현실에보안위협에대한막연한불안감이 IPv6 도입및전환의방해요소로작용하고있다. 본고에서는 IPv6 정보보호제품및보안장비개발에필요한 IPv6 관련보안취약점을파악하여정리해보고자한다. Ⅱ. IPv6 보안취약점조사및분석 국내외보안취약점을공유하는웹사이트를조사하여 IPv6 관련보안취 약점에대하여유형별로구분하고관련취약점 ID 정보를제공하고자한다. 1. CVE (Common Vulnerabilities and Exposures) CVE(Common Vulnerabilities and Exposures) 는미국국토보안부 (Department of Homeland Security) 내국가사이버보안국 (National Cyber Security Division) 의지원으로 MITRE에서시간에따라감지된보안취약점을정리해둔목록이다. 모든 CVE의항목은 "CVE-년도-순번" 의식별자를갖는다. 기본적으로 MITRE를주축으로해서각종소프트웨어개발회사 ( 주로 OS) 와 CERT/CC같은기관에서감지된보안취약점을보고하면, CVE 조정위원회를통해서목록이관리된다. CVE 보안취약점 DB에서 IPv6 관련보안취약점은총 179개의관련취약점이조사되었으며, 조사된취약점을 Linux, Cisco, ICMPv6, DHCPv6, IPsec, IPv6 확장헤더, Fragmentaion, Dynamic Address, Dual stack 등의유형으로구분하였다. 구분된보안취약점유형에상응하는관련취약점 ID 와개수를아래의 [ 표 2-1 CVE IPv6 보안취약점과같이분류하였다. 구분관련취약점개수 DHCPv6 CVE-2014-3270 1 개 DNSv6 CVE-2012-5688, CVE-2010-2951, CVE-2004-0150 3 개 ICMPv6 CVE-2014-6683, CVE-2014-2309, CVE-2014-0254, CVE-2013-6683, CVE-2013-3183, CVE-2013-0343, 30 개 - 3 -
IPsec CVE-2012-3079, CVE-2012-2394, CVE-2011-4012, CVE-2011-3282, CVE-2011-3274, CVE-2011-2395, CVE-2011-2393, CVE-2011-2059, CVE-2011-1652, CVE-2010-4671, CVE-2010-4670, CVE-2010-4669, CVE-2010-4563, CVE-2010-4562, CVE-2010-0241, CVE-2010-0239, CVE-2009-3641, CVE-2009-2189, CVE-2009-0418, CVE-2008-4404, CVE-2008-2476, CVE-2007-1365, CVE-2007-0343, CVE-2006-1651 CVE-2013-6982, CVE-2013-4350, CVE-2013-1144, CVE-2012-0381, CVE-2007-3248, CVE-2007-3157, CVE-2005-3670, CVE-2011-1547 8 개 IPv4/IPv6 변환기술 CVE-2014-3817 1개 IPv6 Unicast CVE-2010-2363 1개 IPv6 확장헤더 CVE-2010-0006, CVE-2008-0352, CVE-2007-4567 3개 MIPv6 CVE-2009-0634, CVE-2009-0633 2개 Tunneling Fragmentation Dynamic Address CVE-2012-4620, CVE-2011-1768, CVE-2008-2136, CVE-2007-3038, CVE-2007-1338, CVE-2006-6266, CVE-2006-6263, CVE-2010-0812 CVE-2013-5549, CVE-2013-5474, CVE-2013-3382, CVE-2013-2779, CVE-2013-1218, CVE-2013-1164, CVE-2012-4444, CVE-2012-2744, CVE-2011-4326, CVE-2011-3188, CVE-2011-2699, CVE-2007-1497 CVE-2012-4623, CVE-2012-3955, CVE-2012-3954, CVE-2012-3570, CVE-2011-4868, CVE-2011-0413 8 개 12 개 6 개 Dual Stack CVE-2013-1189 1 개 Routing Protocol CVE-2011-3324, CVE-2011-3323, CVE-2008-1057, CVE-2007-4285, CVE-2007-2242, CVE-2007-0481 6 개 Multicast Address CVE-2009-2187 1 개 OWASP CVE-2012-0475, CVE-2011-3670 2 개 Apple Mac IOS Cisco CVE-2011-1418, CVE-2011-1132, CVE-2008-1576 CVE-2007-4689 CVE-2014-3271, CVE-2014-2176, CVE-2014-2182 CVE-2014-2155, CVE-2014-2144, CVE-2014-2113, CVE-2014-0705, CVE-2013-5560, CVE-2013-5553, 4 개 26 개 - 4 -
Linux CVE-2013-5547, CVE-2013-1148, CVE-2012-3058, CVE-2012-1324, CVE-2012-0369, CVE-2012-0355, CVE-2012-0354, CVE-2012-0353, CVE-2011-3296, CVE-2011-0944, CVE-2011-0393, CVE-2010-4684, CVE-2009-4913, CVE-2008-3816, CVE-2008-1153, CVE-2005-2451, CVE-2005-0195 CVE-2014-4167, CVE-2013-7263, CVE-2013-6431, CVE-2013-5691, CVE-2013-4563, CVE-2013-4470, CVE-2013-4387, CVE-2013-4163, CVE-2013-4162, CVE-2013-4125, CVE-2013-2232, CVE-2012-6543, CVE-2012-1583, CVE-2011-1172, CVE-2010-1188, CVE-2010-0437, CVE-2009-2698, CVE-2009-2208, CVE-2009-1360, CVE-2008-3686, CVE-2007-1592, CVE-2007-1388, CVE-2007-1000, CVE-2005-4886, CVE-2005-3858, CVE-2005-3806, CVE-2005-2973, CVE-2005-2555, CVE-2004-0370, CVE-2004-0592, CVE-2006-3202, CVE-2004-0257 32 개 HP CVE-2002-0992 1개 IBM CVE-2013-3035, CVE-2009-1906 2개 IRIX CVE-2003-0473, CVE-2003-0472 2개 Juniper CVE-2014-3822, CVE-2006-3529, CVE-2004-0468 3개 Solaris Windows Application CVE-2009-4226, CVE-2009-3164, CVE-2009-0304, CVE-2006-5073, CVE-2006-5013, CVE-2003-1064, CVE-2013-0405 CVE-2013-6798, CVE-2012-0179, CVE-2010-1892, CVE-2005-1649 CVE-2012-6058, CVE-2012-6054, CVE-2011-1138, CVE-2011-1002, CVE-2008-0630, CVE-2008-0177, CVE-2007-6439, CVE-2004-0786, CVE-2003-0254, CVE-2002-2198, CVE-2005-0337, CVE-2005-0021, CVE-2003-0429 7개 4개 13개 179개 [ 표 2-1] CVE IPv6 보안취약점 2. Microsoft Microsoft 에서는전세계적으로 Microsoft Active Protections Program - 5 -
(MAPP) 라는민간업체로이루어진 Microsoft 소프트웨어취약점에대한공동대응기구를운영한다. 매달 Windows외 office, Visual Studio등의자사의소프트웨어취약점에대한업데이트를수행하고해당취약점과대응방안에대한내용을홈페이지에기재한다. Microsoft 보안취약점 DB에서 IPv6 관련보안취약점은총 4개의관련취약점이조사되었으며, 조사된취약점을 TCP/IP의 IPv6 라우터알림원격서비스거부취약점, TCP/IP의 ICMPv6 원격서비스거부취약점, 방화벽우회보안취약점, TCP/IP 로컬권한상승취약점유형으로구분하였다. 구분된보안취약점유형에상응하는관련취약점 ID와개수를아래의 [ 표 2-2] Microsoft의 IPv6 보안취약점과같이분류하였다. 구분관련취약점개수 TCP/IP의 IPv6 라우터알림원격서비스거부취약점 TCP/IP의 ICMPv6 원격서비스거부취약점 CVE-2014-0254 CVE-2013-3183 1 개 1 개 방화벽우회보안취약점 CVE-2012-0174 1 개 TCP/IP 로컬권한상승 취약점 CVE-2012-0179 1 개 4 개 [ 표 2-2] Microsoft 의 IPv6 보안취약점 3. Cisco Cisco는세계적인네트워크장비제조회사로스위치, 라우터를비롯한각종네트워크장비와보안장비를공급한다. 장비에서발생하는각종취약점및오류사항에대하여패치를수행하고해당정보를홈페이지에서제공한다. Cisco의보안취약점 DB에서 IPv6 관련보안취약점은총 17개의관련취약점이조사되었으며, 조사된취약점을 ICMPv6, DHCPv6, Dual stack, Cisco IOS software 등의유형으로구분하였다. 구분된보안취약점유형에상응하는관련취약점 ID와개수를아래의 [ 표 2-3] Cisco의 IPv6 보안취약점과같이분류하였다. - 6 -
구분 관련취약점 개수 ICMPv6 CVE-2014-2144, CVE-2013-6683 2개 DHCPv6 CVE-2014-2182, CVE-2014-2155, CVE-2012-4623 3개 DualStack CVE-2013-1189 1개 Cisco IOS software CVE-2014-2176, CVE-2011-0944, CVE-2014-2113, CVE-2013-5474, CVE-2013-1164, CVE-2013-2779 CVE-2012-4620 7 개 ASA CVE-2012-3058, CVE-2013-5560 2 개 OpenSSH CVE-2008-1483 1 개 LAN Controllers CVE-2012-0369 1 개 17 개 [ 표 2-3] Cisco 의 IPv6 보안취약점 4. Securityfocus SecurityFocus는보안업계에서신뢰받는보안관련커뮤니티의하나로각종취약성데이터베이스를보유하고있으며, 매일업데이트되는취약성정보와보안관련정보등을제공하고있다. Securityfocus 보안취약점 DB에서 IPv6 관련보안취약점은총 79개의관련취약점이조사되었으며, 조사된취약점을 Linux, Cisco, ICMPv6, DHCPv6, Fragmentaion, Dynamic Address, Dual stack 등의유형으로구분하였다. 구분된보안취약점유형에상응하는관련취약점 ID와개수를아래의 [ 표 2-4] Securityfocus IPv6 보안취약점과같이분류하였다. 구분관련취약점개수 DHCPv6 CVE-2014-3270, CVE-2014-3271, CVE-2014-2182, CVE-2014-2155 2 개 DNSv6 CVE-2012-5688 1 개 ICMPv6 IPsec CVE-2014-2309, CVE-2014-0254, CVE-2013-3183, CVE-2013-0343, CVE-2012-2394, CVE-2011-3282, CVE-2011-3274, CVE-2011-2393, CVE-2011-2059, CVE-2014-2144, CVE-2013-6982, CVE-2013-4350, CVE-2013-1144, CVE-2012-0381 10 개 4 개 - 7 -
Tunneling CVE-2012-4620, CVE-2011-1768 2 개 linux Fragmentation Dynamic Address CVE-2013-7263, CVE-2013-6431, CVE-2013-4563, CVE-2013-4387, CVE-2013-4163, CVE-2013-4162, CVE-2013-4125, CVE-2012-6543, CVE-2011-1172, CVE-2013-5691, CVE-2013-4470, CVE-2012-1583, CVE-2011-1547 CVE-2013-5549, CVE-2013-5474, CVE-2013-3382, CVE-2013-2779, CVE-2013-1218, CVE-2013-1164, CVE-2012-4444, CVE-2012-2744, CVE-2011-4326, CVE-2011-3188, CVE-2011-2699 CVE-2012-4623, CVE-2012-3955, CVE-2012-3954, CVE-2012-3570, CVE-2011-4868, CVE-2011-1418, CVE-2011-0413 13 개 11 개 7 개 Dual Stack CVE-2013-1189 1 개 Routing Header CVE-2011-3324, CVE-2011-3323 2 개 OWASP TOP 10 CVE-2011-3670, CVE-2012-0475 2 개 Cisco CVE-2014-2113, CVE-2014-0705, CVE-2013-6683, CVE-2013-5553, CVE-2013-5547, CVE-2013-1148, CVE-2012-3058, CVE-2012-0369, CVE-2012-0355, CVE-2012-0354, CVE-2012-0353, CVE-2011-3296, CVE-2011-0944, CVE-2011-0393, CVE-2013-5560 15 개 Windows CVE-2013-6798, CVE-2012-0179 2 개 Solaris CVE-2013-0405 1 개 Apple Mac CVE-2011-1132 1 개 Application CVE-2012-6054, CVE-2012-6058, CVE-2011-1138, CVE-2011-1002 4 개 IBM CVE-2013-3035 1 개 79 개 [ 표 2-4] Securityfocus IPv6 보안취약점 5. Exploit-DB Exploit-DB는국내 외최신해킹기법이제공되는취약점정보공유커뮤니티로써전세계해커들이새로운해킹기법과각종프로그램및웹사이트의취약점을공유하며검증받는것을목적으로사용한다. - 8 -
Exploit-DB 보안취약점 DB에서 IPv6 관련보안취약점은총 34개의관련취약점이조사되었으며, 조사된취약점을 Linux, Windows, Application, Fortigate UTM WAF 등의유형으로구분하였다. 구분된보안취약점유형에상응하는관련취약점 ID와개수를아래의 [ 표 2-5] Exploit-DB IPv6 보안취약점과같이분류하였다. 구분관련취약점개수 Linux Application CVE-2009-3641, CVE-2008-0352, CVE-2007-4567, CVE-2005-2973, CVE-2010-3081, CVE-2009-3726, CVE-2005-2709, CVE-2004-0989, CVE-2004-0110, CVE-2003-1450, CVE-2007-1365, CVE-2006-6652, CVE-2001-0830 CVE-2009-3641, CVE-2009-3904, CVE-2003-0001, CVE-2010-2435, CVE-2008-4558, CVE-2001-0183 13개 4개 6개 2개 Apple Mac OS CVE-2008-0177 1 개 Solaris CVE-2009-0304 1 개 Windows CVE-2010-0239, CVE-2007-3157 2 개 3 개 Fortigate Utm WAF 1 개 Multi OS 1 개 34 개 [ 표 2-5] Exploit-DB IPv6 보안취약점 6. Secunia Secunia는각종응용프로그램및 Windows, Linux, MAC OSX등각종시스템의취약점을점검하는도구를제공하는업체이다. 취약점점검을위한대량의취약점데이터베이스를보유하고있으며회원에한해무료로취약점에대한데이터베이스검색을공유하고있다. Secunia 보안취약점 DB에서 IPv6 관련보안취약점은총 51개의관련 - 9 -
취약점이조사되었으며, 조사된취약점을 Linux, Cisco, ICMPv6, IPsec, Fragmentaion, Dynamic Address, Open stack 등의유형으로구분하였다. 구분된보안취약점유형에상응하는관련취약점 ID와개수를아래의 [ 표 2-6] Secunia IPv6 보안취약점과같이분류하였다. 구분관련취약점개수 ICMPv6 CVE-2014-2309, CVE-2014-0254, CVE-2014-6683, CVE-2011-3274, CVE-2011-3282, CVE-2009-3641, CVE-2008-4404, CVE-2009-0418, CVE-2008-2476 9 개 2 개 IPSec CVE-2013-4350 1개 IPv4/IPv6 전환기술 CVE-2014-3817 1개 IPv6 Unicast CVE-2010-2363 1개 Fragmentation CVE-2013-2779, CVE-2011-4326 2개 Dynamic Address CVE-2012-3955 1개 Cisco CVE-2014-2176, CVE-2014-2113, CVE-2013-5560, CVE-2011-0944, CVE-2008-3816, CVE-2014-2144, CVE-2014-2107, CVE-2013-6982, CVE-2013-1164, CVE-2012-3058, CVE-2012-0369, CVE-2011-3296, CVE-2011-0393 13 개 2 개 IBM CVE-2013-3035 1 개 Linux Juniper CVE-2013-4470, CVE-2010-2522, CVE-2013-4563, CVE-2013-4162, CVE-2010-2523, CVE-2013-4163 CVE-2014-3813, CVE-2014-3814 6 개 2 개 3 개 Windows CVE-2012-0179 1개 Open Stack CVE-2014-4167 1개 Solaris CVE-2009-0304 1개 Application 4개 51 개 [ 표 2-6] Secunia IPv6 보안취약점 - 10 -
7. Packetstorm 세계적인보안연구전문그룹및비영리단체로, 보안이슈에대한엡데이트된정보와히드라 (Hydra) 같은광범위한오픈소스보안툴을실시간으로제공하고있다. 또한보안포탈웹사이트 Packetstrom에서제공하는취약점도구를구매할수있으며제로데이취약점뿐만아니라 Windows, Java 등주요소프트웨어에한해서는 exploit이나오지않은 0.5-day 취약점도구매할수있다. Packetstrom 보안취약점 DB에서 IPv6 관련보안취약점은총 63개의관련취약점이조사되었으며, 조사된취약점을 Linux, Cisco, ICMPv6, DHCPv6, Fragmentaion, Dynamic Address, Dual stack 등의유형으로구분하였다. 구분된보안취약점유형에상응하는관련취약점 ID와개수를아래의 [ 표 2-7] Packetstorm IPv6 보안취약점과같이분류하였다. 구분관련취약점개수 Fragmentation Dynamic Address CVE-2012-2744, CVE-2011-4096 CVE-2012-3955 2개 13개 1개 3개 DNSv6 CVE-2012-5688 1개 DHCPv6 2개 ICMPv6 18개 IPv4/IPv6 전환기술 3개 Dual Stack 1개 Linux CVE-2011-1083, CVE-2012-1583, CVE-2012-2745, CVE-2012-4444, CVE-2012-5689 5 개 12 개 Cisco 2 개 63 개 [ 표 2-7] Packetstorm IPv6 보안취약점 - 11 -
Ⅲ. 맺음말 IPv4 프로토콜은보안을고려하여설계하지않았기때문에다양한보안공격에노출되어있는반면에 IPv6에서는 IPsec(IP security protocol) 을기본적으로제공하며플로우레이블을이용한패킷별품질제어, 주소자동설정등의기능이추가되어 IPv4에비해보안기능및 QoS(Quality of Service), 편리성등의측면이강화되었다. IPv6는 IPv4에비해보안성이강화되었으나 IPv6 환경으로의전환, IPv4/IPv6 혼합망, IPv6 프로토콜스펙의변경등의요인으로보안취약점들이새롭게발생될가능성은존재한다. 국 내외공개된웹사이트를통해 IPv6 관련보안취약점을조사한결과 ICMPv6, IPSec, IPv6 확장헤더, Fragmentation, Tunneling, Cisco, Linux 등에서발생되었던 IPv6 관련취약점 215개가조사되었다. 전체조사된 IPv6 보안취약점들을각각분석하여 CVE-ID와관련있는 IPv6 보안취약점 과 CVE-ID와관련없는 IPv6 보안취약점 으로분류한결과 CVE-ID와관련있는 IPv6 보안취약점 은 179개, CVE-ID와관련없는 IPv6 보안취약점 은 36개로분류되었다. 특히, 많은보안취약점중 IPv6의특징인 ICMPv6 메시지를이용한보안취약점이많은수를차지하고있는것과같이 IPv6만의보안취약점에대한점검및대응기술개발연구가필요하다. 세계적인 IPv6 전환의증가추세에따라국내의 IPv6 상용서비스개시를시작으로 IPv6 도입및전환은계속해서확산될것이다. 앞으로 IoT의다양한인터넷서비스들도 IPv6를기반으로개발될것이다. 그러나이런 IoT 서비스를위한네트워크구축시필요한정보보호및보안제품에서의 IPv6 지원은매우미흡한상황이다. IPv6로의전환에적극적인사업자들도보안장비의 IPv6 지원문제에걸음을멈추고더이상나아가지못하고있다. IoT 환경에서의 IPv6 주소사용은불가피하다. 정보보호및보안업계에서의 IPv6 도입은 IoT 환경으로가는길목을열어줄뿐만아니라, 정보보호시장에서도한발빠른기술경쟁력을가질수있는기회가될것이라예상된다. 앞으로정보보호및보안산업계가 IPv6 보안취약점에대해지속적인관심을가지고새로운보안취약점발견또는그대응기술에대한연구개발노력이필요하다. - 12 -
< 참고문헌 > 1. CVE, https://cve.mitre.org/ 2. CWE, http://cwe.mitre.org/ 3. Microsoft, https://technet.microsoft.com/security/bulletin/dn602597 4. Cisco, http://tools.cisco.com/security/center/publicationlisting.x 5. Securityfocus, http://www.securityfocus.com 6. Exploit-DB, http://www.exploit-db.com 7. Secunia, http://secunia.com/community/advisories/search/ 8. PacketstormSecurity, http://packetstormsecurity.com/ 9. KISA 인터넷침해대응센터, http://krcert.or.kr/kor/main/main.jsp 10. IPv6 보안기술안내서 ( 제2010-25 호, KISA 안내. 해설 ), 한국인터넷진흥원, 2010.02-13 -