2016.07.20

자신의 공유기와 홈 네트워크를 안전하게 만드는 방법

Lucian Constantin | IDG News Service
물론 사용자가 모든 라우터, 즉 공유기 보안 문제를 해결할 수 있는 것은 아니다. 그러나 공격으로부터 공유기를 보호할 수 있는 많은 행동 수칙은 있다.


Credit: Michael Homnick / PC World

많은 컴퓨터 사용자들은 자신의 인터넷 공유기가 집 전자기기 가운데 가장 중요한 것이라는 걸 알지 못한다. 공유기는 다른 기기 대부분을 연결하고 이를 전세계 인터넷과 연결하기 위해 높은 권한을 갖고 있는데, 이를 해커들이 탈취, 악용할 수 있다.

안타깝게도 많은 소비자와 소기업용 공유기는 안전하지 않은 기본 설정으로 출시되며, 문서화되지 않은 백도어 계정이 있으며, 기존 서비스를 노출시키고 기본적인 결함이 많은 펌웨어를 사용하고 있다.

이런 문제 가운데 일부는 사용자들이 해결할 수 없지만 이런 기기들을 대규모 자동화된 공격으로부터 최소한 보호할 수 있는 조치들이 많이 있다. 자신의 공유기를 해커들이 쉽게 공략하지 못하도록 해보자.

기본적인 조치
- ISP에 의해 공급되는 공유기를 사용하지 말라.
이런 공유기들은 제조사가 소비자에게 판매하는 일반적인 공유기보다 보안에 취약하다. 사용자들이 바꿀 수 없는 하드코딩된 원격 지원을 갖추고 있는 경우가 많고, 그들에게 맞춤화된 펌웨어 버전의 패치는 공유기 제조사들이 배포한 동일한 결함 수정 패치보다 뒤늦게 적용되곤 한다.

- 기본 운영자 비밀번호를 변경하라.
많은 공유기가 기본적으로 운영자 비밀번호로 설정되어 있어 공격자들은 공개적으로 알려진 이런 비밀번호로 기기에 침투하곤 한다. 공유기의 운영 인터페이스에 처음 브라우저를 통해 연결한 후 바로 비밀번호부터 바꿔라. 접속 시 주소는 구축 가이드나 스티커에 나와있는 공유기의 기본 설정 IP 주소다.

- 공유기의 웹-기반 관리 인터페이스는 인터넷에서 접속 불가능해야 한다.
대부분의 이용자에게 LAN 외부에서 공유기를 관리하는 것은 불필요하다. 만약 원격 관리가 필요할 경우 VPN 솔루션을 활용해 로컬 네트워크에 우선 안전 채널을 만들고 공유기의 인터페이스에 접속하도록 하자.

- LAN 내라도 공유기를 관리 가능 IP 주소를 제한하는 게 좋다.
만약 이 옵션이 가능하면 DHCP(Dynamic host Configurations Protocol)을 통해 컴퓨터에 할당된 IP 주소 풀의 일부가 아닌 단일 IP 주소에서 접속을 허용하는 게 최선이다.
예를 들어 공유기의 DHCP 서버에게 192.168.0.1부터 192.168.0.50까지의 IP 주소만 할당하게 설정하고 192.168.0.53으로부터의 접속만 허용하도록 웹 인터페이스를 구성하라. 컴퓨터는 사용자가 공유기에 접속을 필요로 할 때만 이 주소를 사용하기 위해 수동으로 구성되어야 한다.

- 가능하면 공유기 인터페이스에 대한 HTTPS 접속을 켜고 작업 후 항상 로그아웃하라.
공유기 작업을 할 때는 익명이나 프라이버시 모드로 브라우저를 사용해 어떤 세션 쿠키도 남기지 많고 브라우저가 공유기의 이용자명과 비밀번호를 절대 저장하지 않게 하라.

- 공유기의 LAN IP 주소를 가능하면 변경하라.
대부분의 경우 공유기는 사전 규정된 넷 블록에서 첫 번째 주소를 할당받게 되는데 예를 들면 192.168.0.1을 받게 된다. 만약 그 옵션이 적용되면 이를 192.168.0.99 혹은 DHCP 풀에 속하지 않는 기억하기 쉬운 다른 주소로 변경하라.
공유기가 사용하는 전체 넷 블록은 사설 네트워크를 위해 남겨진 이들 가운데 하나로도 변경 가능하다. 그렇게 하면 그런 기기에 흔하게 할당된 기본 IP 주소를 활용해 이용자의 브라우저를 통해 공유기에 접속하려 하는 CSRF(cross-site request forgery) 공격을 막을 수 있다.

- 복잡한 와이파이 비밀번호와 강력한 보안 프로토콜을 선택하라.
WPA2(Wi-Fi Protected Access II)를 선택해야 한다. 구형 WPA와 WEP는 무차별 대입(brute force) 공격에 취약하다. 만약 공유기가 이 옵션을 제공하면 게스트 문서는 네트워크를 생성하고 이 역시 WPA2와 강력한 비밀번호로 보호하라.
방문자나 친구들에게 자신의 주 네트워크가 아닌 이 고립된 게스트 네트워크를 사용하게 하라. 그들이 악의성이 없다 하더라도 그들의 기기가 악성코드에 잠식, 감염되어있을 수 있다.

- WPS(Wifi Protected Setup)을 비활성화하라.
이는 사용자들이 스티커에 인쇄된 PIN을 활용해 손쉽게 와이파이 네트워크를 설정하는데 도움을 주기 위해 설계되었다. 하지만 WPS의 많은 벤더 이행에서 몇년 전 해커들이 네트워크에 침투할 수 있게 만드는 심각한 취약점이 발견되었다.
어떤 특정 공유기 모델과 펌웨어 버전이 취약한지 단정하기 힘들기 때문에 간단히 이 기능을 꺼두는 것이 좋다. 그 대신 공유기를 유선 연결하고 웹 기반 관리 인터페이스에 접속해 예를 들어 와이파이를 WPA2와 맞춤 암호(WPS불필요)로 설정할 수 있다.

- 공유기가 더 적은 수의 인터넷 서비스에 노출될수록 더 좋다.
이는 해당 서비스들을 스스로 활성화시키지 않았고 이들이 무엇을 하는지 모를 경우 특히 그렇다. 텔넷(Telnet), UpnP(Universal Plug and Play), SSH(Secure Shell), HNAP(Home Network Administration Protocol)같은 서비스들은 심각한 보안 위험을 제기할 수 있기 때문에 인터넷에서 접속되면 안된다.
이들은 필요없는 경우 로컬 네트워크에서도 꺼두어야 한다. GRC(Gibson Research Corporation)의 실드 UP(Shields UP)같은 온라인 서비스들은 자신의 공유기의 공공 IP 주소를 오픈 포트로부터 스캔할 수 있다. 실드 업 역시 UpnP를 별도로 스캔할 수 있다.

- 공유기의 펌웨어를 항상 업데이트하라.
일부 공유기들은 인터페이스에서 바로 펌웨어 업데이트 체크가 가능하고 일부는 자동 업데이트 기능도 갖추고 있다. 가끔 이런 체크들이 제조사의 시간에 걸친 서버 변경으로 인해 단절될 수 있다. 정기적으로 제조사의 지원 웹사이트를 체크하고 당신의 공유기 모델에 맞는 펌웨어 업데이트를 직접 챙기는 게 좋다.

더 복잡한 조치 부분
- 망 분할(Network segmentation)을 활용해 위험 기기를 고립시켜둘 수 있다.
일부 소비자 공유기들은 VLAN(virtual local area networks)을 더 큰 사설 네트워크 내부에 생성하는 옵션을 제공한다. 이런 가상 네트워크는 연구자들이 반복적으로 많은 취약점을 드러내 온 사물인터넷 기기를 고립시켜두는데 사용될 수 있다.
많은 사물인터넷 기기는 외부 클라우드 서비스를 통해 스마트폰 앱으로 제어가 가능해 이들에 인터넷 접속이 있는 한 이들 기기는 최초 설치 이후 로컬 네트워크를 통해 직접 스마트폰을 통해 커뮤니케이션이 안되도 된다.
사물인터넷 기기들은 종종 보호되지 않은 운영 프로토콜을 로컬 네트워크에 노출시키곤 하기 때문에 공격자들이 악성코드에 감염된 컴퓨터와 같은 네트워크상에 있는 한 공격자들은 그런 기기들에 손쉽게 침투할 수 있다.

- MAC 주소 필터링은 악성 기기를 자신의 와이파이 네트워크에서 떼어놓을 수 있다.
많은 공유기가 물리적 네트워크 카드의 독특한 식별자인 MAC 주소에 기반해 와이파이 네트워크상에 어떤 기기들을 허용할지 제한할 수 있다.
이 기능을 활성화하면 공격자들이 비밀번호를 훔쳤어도 와이파이 네트워크상에 침투하는 걸 방지할 수 있다. 단점은 수동으로 적법한 기기들을 등록하는 일이 대규모 네트워크상에는 엄청난 부담이 된다는 점이다.

- 포트 포워딩(Port forwarding)은 IP 필터링과 결합되어야 한다.
공유기 이면의 컴퓨터상에 실행되는 서비스들은 포트 포워딩 규칙이 공유기 상에 규정되지 않은 한 인터넷에서 접속될 수 없다. 많은 소프트웨어 프로그램이 항상 안전하지는 않은 UpnP를 통해 자동으로 공유기 내 포트를 열기 위한 시도를 할 것이다.
만약 UpnP가 비활성화되면 규칙이 수동으로 추가될 수 있고 일부 공유기들은 네트워크 내 특정 서비스에 접속하기 위해 소스 IP 주소나 특정 포트에 연결할 수 있는 넷 블록을 특정하는 옵션을 제공한다.
예를 들어 사용자가 직장에서 자신의 홈 컴퓨터상의 FTP 서버에 접속하고자 한다면 자신의 공유기 내 포트 21(FTP)의 포트 포워딩 규칙을 생성할 수 있지만 오직 자신 회사의 IP 넷 블록으로부터의 연결만 허용할 수 있다.

- 커스텀 펌웨어가 공장 펌웨어 보다 더 안전할 수 있다.
몇몇 리눅스 기반 커뮤니티-유지 펌웨어 프로젝트들이 다양한 홈 공유기용으로 나와있다. 오픈WRT(OpenWRT), DD-WRT, Asuswrt-Merlin(아수스 공유기 전용) 등이 인기 있는 프로젝트들이다.
이들은 공장 펌웨어보다 일반적으로 더욱 발전된 기능과 맞춤 설정을 제공하고, 이들의 관리자들은 공유기 벤더보다 결함 식별이 한발 앞선다. 이들 펌웨어 패키지가 애호가들을 위해 나왔기 때문에 사용자수는 벤더-공급 펌웨어 이용자들에 비해 훨씬 적다.
이는 커스텀 펌웨어에 대한 대규모 공격 가능성을 더욱 낮춘다. 하지만 공유기상에 커스텀 펌웨어를 올리는데 상당한 기술적 지식이 필요하고 만약 올리면 품질 보증도 무효화되고 제대로 올리지 못하면 기기가 아예 쓰지 못하게 망가질 수도 있다. 충분히 경고했다! editor@itworld.co.kr


2016.07.20

자신의 공유기와 홈 네트워크를 안전하게 만드는 방법

Lucian Constantin | IDG News Service
물론 사용자가 모든 라우터, 즉 공유기 보안 문제를 해결할 수 있는 것은 아니다. 그러나 공격으로부터 공유기를 보호할 수 있는 많은 행동 수칙은 있다.


Credit: Michael Homnick / PC World

많은 컴퓨터 사용자들은 자신의 인터넷 공유기가 집 전자기기 가운데 가장 중요한 것이라는 걸 알지 못한다. 공유기는 다른 기기 대부분을 연결하고 이를 전세계 인터넷과 연결하기 위해 높은 권한을 갖고 있는데, 이를 해커들이 탈취, 악용할 수 있다.

안타깝게도 많은 소비자와 소기업용 공유기는 안전하지 않은 기본 설정으로 출시되며, 문서화되지 않은 백도어 계정이 있으며, 기존 서비스를 노출시키고 기본적인 결함이 많은 펌웨어를 사용하고 있다.

이런 문제 가운데 일부는 사용자들이 해결할 수 없지만 이런 기기들을 대규모 자동화된 공격으로부터 최소한 보호할 수 있는 조치들이 많이 있다. 자신의 공유기를 해커들이 쉽게 공략하지 못하도록 해보자.

기본적인 조치
- ISP에 의해 공급되는 공유기를 사용하지 말라.
이런 공유기들은 제조사가 소비자에게 판매하는 일반적인 공유기보다 보안에 취약하다. 사용자들이 바꿀 수 없는 하드코딩된 원격 지원을 갖추고 있는 경우가 많고, 그들에게 맞춤화된 펌웨어 버전의 패치는 공유기 제조사들이 배포한 동일한 결함 수정 패치보다 뒤늦게 적용되곤 한다.

- 기본 운영자 비밀번호를 변경하라.
많은 공유기가 기본적으로 운영자 비밀번호로 설정되어 있어 공격자들은 공개적으로 알려진 이런 비밀번호로 기기에 침투하곤 한다. 공유기의 운영 인터페이스에 처음 브라우저를 통해 연결한 후 바로 비밀번호부터 바꿔라. 접속 시 주소는 구축 가이드나 스티커에 나와있는 공유기의 기본 설정 IP 주소다.

- 공유기의 웹-기반 관리 인터페이스는 인터넷에서 접속 불가능해야 한다.
대부분의 이용자에게 LAN 외부에서 공유기를 관리하는 것은 불필요하다. 만약 원격 관리가 필요할 경우 VPN 솔루션을 활용해 로컬 네트워크에 우선 안전 채널을 만들고 공유기의 인터페이스에 접속하도록 하자.

- LAN 내라도 공유기를 관리 가능 IP 주소를 제한하는 게 좋다.
만약 이 옵션이 가능하면 DHCP(Dynamic host Configurations Protocol)을 통해 컴퓨터에 할당된 IP 주소 풀의 일부가 아닌 단일 IP 주소에서 접속을 허용하는 게 최선이다.
예를 들어 공유기의 DHCP 서버에게 192.168.0.1부터 192.168.0.50까지의 IP 주소만 할당하게 설정하고 192.168.0.53으로부터의 접속만 허용하도록 웹 인터페이스를 구성하라. 컴퓨터는 사용자가 공유기에 접속을 필요로 할 때만 이 주소를 사용하기 위해 수동으로 구성되어야 한다.

- 가능하면 공유기 인터페이스에 대한 HTTPS 접속을 켜고 작업 후 항상 로그아웃하라.
공유기 작업을 할 때는 익명이나 프라이버시 모드로 브라우저를 사용해 어떤 세션 쿠키도 남기지 많고 브라우저가 공유기의 이용자명과 비밀번호를 절대 저장하지 않게 하라.

- 공유기의 LAN IP 주소를 가능하면 변경하라.
대부분의 경우 공유기는 사전 규정된 넷 블록에서 첫 번째 주소를 할당받게 되는데 예를 들면 192.168.0.1을 받게 된다. 만약 그 옵션이 적용되면 이를 192.168.0.99 혹은 DHCP 풀에 속하지 않는 기억하기 쉬운 다른 주소로 변경하라.
공유기가 사용하는 전체 넷 블록은 사설 네트워크를 위해 남겨진 이들 가운데 하나로도 변경 가능하다. 그렇게 하면 그런 기기에 흔하게 할당된 기본 IP 주소를 활용해 이용자의 브라우저를 통해 공유기에 접속하려 하는 CSRF(cross-site request forgery) 공격을 막을 수 있다.

- 복잡한 와이파이 비밀번호와 강력한 보안 프로토콜을 선택하라.
WPA2(Wi-Fi Protected Access II)를 선택해야 한다. 구형 WPA와 WEP는 무차별 대입(brute force) 공격에 취약하다. 만약 공유기가 이 옵션을 제공하면 게스트 문서는 네트워크를 생성하고 이 역시 WPA2와 강력한 비밀번호로 보호하라.
방문자나 친구들에게 자신의 주 네트워크가 아닌 이 고립된 게스트 네트워크를 사용하게 하라. 그들이 악의성이 없다 하더라도 그들의 기기가 악성코드에 잠식, 감염되어있을 수 있다.

- WPS(Wifi Protected Setup)을 비활성화하라.
이는 사용자들이 스티커에 인쇄된 PIN을 활용해 손쉽게 와이파이 네트워크를 설정하는데 도움을 주기 위해 설계되었다. 하지만 WPS의 많은 벤더 이행에서 몇년 전 해커들이 네트워크에 침투할 수 있게 만드는 심각한 취약점이 발견되었다.
어떤 특정 공유기 모델과 펌웨어 버전이 취약한지 단정하기 힘들기 때문에 간단히 이 기능을 꺼두는 것이 좋다. 그 대신 공유기를 유선 연결하고 웹 기반 관리 인터페이스에 접속해 예를 들어 와이파이를 WPA2와 맞춤 암호(WPS불필요)로 설정할 수 있다.

- 공유기가 더 적은 수의 인터넷 서비스에 노출될수록 더 좋다.
이는 해당 서비스들을 스스로 활성화시키지 않았고 이들이 무엇을 하는지 모를 경우 특히 그렇다. 텔넷(Telnet), UpnP(Universal Plug and Play), SSH(Secure Shell), HNAP(Home Network Administration Protocol)같은 서비스들은 심각한 보안 위험을 제기할 수 있기 때문에 인터넷에서 접속되면 안된다.
이들은 필요없는 경우 로컬 네트워크에서도 꺼두어야 한다. GRC(Gibson Research Corporation)의 실드 UP(Shields UP)같은 온라인 서비스들은 자신의 공유기의 공공 IP 주소를 오픈 포트로부터 스캔할 수 있다. 실드 업 역시 UpnP를 별도로 스캔할 수 있다.

- 공유기의 펌웨어를 항상 업데이트하라.
일부 공유기들은 인터페이스에서 바로 펌웨어 업데이트 체크가 가능하고 일부는 자동 업데이트 기능도 갖추고 있다. 가끔 이런 체크들이 제조사의 시간에 걸친 서버 변경으로 인해 단절될 수 있다. 정기적으로 제조사의 지원 웹사이트를 체크하고 당신의 공유기 모델에 맞는 펌웨어 업데이트를 직접 챙기는 게 좋다.

더 복잡한 조치 부분
- 망 분할(Network segmentation)을 활용해 위험 기기를 고립시켜둘 수 있다.
일부 소비자 공유기들은 VLAN(virtual local area networks)을 더 큰 사설 네트워크 내부에 생성하는 옵션을 제공한다. 이런 가상 네트워크는 연구자들이 반복적으로 많은 취약점을 드러내 온 사물인터넷 기기를 고립시켜두는데 사용될 수 있다.
많은 사물인터넷 기기는 외부 클라우드 서비스를 통해 스마트폰 앱으로 제어가 가능해 이들에 인터넷 접속이 있는 한 이들 기기는 최초 설치 이후 로컬 네트워크를 통해 직접 스마트폰을 통해 커뮤니케이션이 안되도 된다.
사물인터넷 기기들은 종종 보호되지 않은 운영 프로토콜을 로컬 네트워크에 노출시키곤 하기 때문에 공격자들이 악성코드에 감염된 컴퓨터와 같은 네트워크상에 있는 한 공격자들은 그런 기기들에 손쉽게 침투할 수 있다.

- MAC 주소 필터링은 악성 기기를 자신의 와이파이 네트워크에서 떼어놓을 수 있다.
많은 공유기가 물리적 네트워크 카드의 독특한 식별자인 MAC 주소에 기반해 와이파이 네트워크상에 어떤 기기들을 허용할지 제한할 수 있다.
이 기능을 활성화하면 공격자들이 비밀번호를 훔쳤어도 와이파이 네트워크상에 침투하는 걸 방지할 수 있다. 단점은 수동으로 적법한 기기들을 등록하는 일이 대규모 네트워크상에는 엄청난 부담이 된다는 점이다.

- 포트 포워딩(Port forwarding)은 IP 필터링과 결합되어야 한다.
공유기 이면의 컴퓨터상에 실행되는 서비스들은 포트 포워딩 규칙이 공유기 상에 규정되지 않은 한 인터넷에서 접속될 수 없다. 많은 소프트웨어 프로그램이 항상 안전하지는 않은 UpnP를 통해 자동으로 공유기 내 포트를 열기 위한 시도를 할 것이다.
만약 UpnP가 비활성화되면 규칙이 수동으로 추가될 수 있고 일부 공유기들은 네트워크 내 특정 서비스에 접속하기 위해 소스 IP 주소나 특정 포트에 연결할 수 있는 넷 블록을 특정하는 옵션을 제공한다.
예를 들어 사용자가 직장에서 자신의 홈 컴퓨터상의 FTP 서버에 접속하고자 한다면 자신의 공유기 내 포트 21(FTP)의 포트 포워딩 규칙을 생성할 수 있지만 오직 자신 회사의 IP 넷 블록으로부터의 연결만 허용할 수 있다.

- 커스텀 펌웨어가 공장 펌웨어 보다 더 안전할 수 있다.
몇몇 리눅스 기반 커뮤니티-유지 펌웨어 프로젝트들이 다양한 홈 공유기용으로 나와있다. 오픈WRT(OpenWRT), DD-WRT, Asuswrt-Merlin(아수스 공유기 전용) 등이 인기 있는 프로젝트들이다.
이들은 공장 펌웨어보다 일반적으로 더욱 발전된 기능과 맞춤 설정을 제공하고, 이들의 관리자들은 공유기 벤더보다 결함 식별이 한발 앞선다. 이들 펌웨어 패키지가 애호가들을 위해 나왔기 때문에 사용자수는 벤더-공급 펌웨어 이용자들에 비해 훨씬 적다.
이는 커스텀 펌웨어에 대한 대규모 공격 가능성을 더욱 낮춘다. 하지만 공유기상에 커스텀 펌웨어를 올리는데 상당한 기술적 지식이 필요하고 만약 올리면 품질 보증도 무효화되고 제대로 올리지 못하면 기기가 아예 쓰지 못하게 망가질 수도 있다. 충분히 경고했다! editor@itworld.co.kr


X