2015.08.18

공유기가 해커들의 관문이 되고 있다

Taylor Armerding | CSO
IT 보안 가운데 가장 취약한 연결고리가 실수와 부주의가 많은 사람이라는 말을 많이 한다.

그렇다면 두 번째로 취약한 연결고리는 무엇일까? 많은 전문가들이 라우터(router), 즉 공유기를 꼽는다. 공유기는 인터넷의 '백본(근간)'으로 부르는 사람과 웹을 연결하는 장치다. 그런데 이 공유기는 능력있는 해커에 취약점을 드러낸다.

전문가들이 공유기에 대해 '경종'을 울린 역사는 꽤 길다. 하지만 큰 변화가 없었다.
1년 전 매사추세츠 캠브릿지에서 개최된 한 컨퍼런스에서 벤처 캐피탈 업체인 인큐텔(In-Q-Tel) CSO인 댄 기어는 "대부분의 상용 공유기는 안전하지 못하다. 드라이버와 운영 시스템은 리눅스 상태에 대한 스냅샷이나 마찬가지이고, 애초 가장 저렴한 상용 칩으로 공유기를 설계하기 때문이다"고 지적했다.

기어는 이에 대한 유일한 해결책은 이런 공유기를 쓰레기통에 버리고, 새 공유기를 설치하는 것이라고 말했다. 그러나 이런 방법으로도 문제를 해결할 수 없을지 모른다고 덧붙였다. 새 공유기에도 동일한 취약점이 있기 때문이다.

시스템 아키텍트인 짐 게티스는 지난해 여러 공유기에 탑재된 구식 기술들을 조사했다. 그리고 공유기를 설계하는 시점부터 3~4년된 기술을 사용하고 있음을 발견했다. 업데이트가 없다면 애초부터 기존 취약점을 떠 안은 상태에서 공유기를 사용하게 되는 것이다. 그리고 시간이 경과하면서 상황이 더 악화된다. 게티스는 최근 인터뷰에서 "이후에도 시장에 큰 변화가 없었다"고 지적했다.

암호화 기술 전문가인 레질런트 시스템스(Resilient Systems)의 브루스 슈나이어는 1년 전 한 블로그 게시글에서 "공유기와 모뎀에 탑재된 컴퓨터 기술은 1990년대 PC보다는 강력하다"고 비꼬면서 "지금 당장 보안 취약점을 해결하지 않을 경우 보안 측면에서 재앙을 맞게 될 것이다. 해커들이 컴퓨터보다는 공유기 해킹이 쉽다는 사실을 알고 있기 때문이다"고 경고한 바 있다.

해커들이 컴퓨터 하드웨어에 접속하지 않고도 파일에 대한 접속 권한을 획득하고, 악성코드를 설치하고, 피해자의 카메라로 사생활을 엿볼 수 있는 보안 구멍이 생기기 때문이다.

슈나이어는 지난 4월 네트워크 월드와 가진 인터뷰에서 기어의 1년 전 발언을 되풀이했다. "집에서 사용하는 공유기를 어떻게 패치해야 할까? 그냥 버리고 새 공유기를 사야 한다. 그런데 새 공유기 또한 재앙을 초래할 수 있다. 저가 부품에 엉망인 설계와 작동 원리나 업데이트 방법을 아는 사람이 단 한 명도 없다. 그리고 많은 취약점을 갖고 있다. 그걸 그냥 사용할 수밖에 없다."

트러스트웨이브(Trustwave)의 로렌스 먼로 이사는 업데이트가 제공되는 경우에도 보통 사용자가 업데이트를 설치하기가 너무 어렵다고 지적했다. 먼로는 "공유기는 수동으로 업그레이드해야 하는 경우가 대부분이다. 가정의 일반 사용자가 감당할 수 있는 수준 이상이다. 게다가 제때 패치가 배포되는 경우가 드물다"고 말했다.

지난해 12월, 미국 국토안보부 산하 US-CERT는 10년 전 패치가 개발됐지만 아직까지도 많은 공유기에 존재하는 '미스포츈 쿠키(Misfortune Cookie)'라는 취약점을 해결하라고 브로드밴드 공유기 제조업체에게 경고했다.

이 취약점에 이름을 붙인 체크 포인트(Check Point) 악성코드 및 취약점 부문 연구원들은 "게이트웨이 장치가 취약할 경우, 네트워크에 연결된 컴퓨터, 전화기, 태블릿, 프린터, 보안 카메라, 냉장고, 토스터 등 장치들의 감염 위험이 높아진다"고 설명하고 있다.

래피드7(Rapid7) 선임 보안 컨설턴트 마크 스타니슬라프는 "지난해 데프콘(Def Con) 행사 동안 개최된 콘테스트에서 해커들이 에이수스(Asus), 넷기어(NetGear), 디링크(DLink), 벨킨(Belkin), 링크시스(Linksys), 액션테크(Actiontec), 트렌드넷(Trendnet) 등이 제조한 상용 SOHO(Small Office/Home Office)용 공유기 5-6종에서 15개의 제로데이 취약점을 발견했다고 말했다.

'SOHOpelessly Broken'이라는 콘테스트 명칭이 이 문제의 심각성을 보여주고 있다(SOHO와 Hopelessly와의 합성어).
이 정도로 문제가 심각하다면, 공유기를 이용한 네트워크 해킹에 대한 기사가 더 많이 쏟아져야 하지 않을까? 하지만 주류 언론들은 주기적으로 대형 해킹 사고를 보도하고 있지만, 공유기 해킹이나 감염에 대한 기사는 극소수다.

이와 관련해 스타니슬라프는 "보통 사용자는 공유기가 뭔지조차 모른다"고 지적했다. 스타니슬라프는 "장치 설정, 공유기를 만든 벤더, 펌웨어를 자세히 파악해야 개인이나 홈 네트워크에 초래되는 영향을 파악할 수 있다. 'X라는 회사가 해킹을 당해 사용자의 데이터에 위험이 초래됐다'는 것보다 훨씬 복잡하고 뉘앙스가 미묘한 문제다"고 말했다.

인텔 시큐리티(Intel Security)의 온라인 보안 전문가 로버트 시실라노도 이에 동의했다. 시실라노는 "주류 언론이 다루기에는 이 문제는 너무 복잡하다. 이로 인해 이를 다루는 것을 피하는 경향이 있다"고 말했다.

먼로도 여기에 동의했다. 그러나 기사 가치가 떨어지는 것도 이유라고 덧붙였다. 아직까지는 흥미롭지 않기 때문이다. 원격으로 자동차를 해킹해 충돌 사고를 유발하는 내용이 공유기의 취약점을 다룬 내용보다 더 큰 대중의 관심을 끌 수 있다.

게티스는 "아직까지는 관심을 유발할 만한 규모의 사고가 발생하지 않은 것도 이유"라고 말했다. 그러나 향후 큰 피해가 초래될 수 있다고 경고했다.

게티스는 "사람들이 아직까지는 공유기의 위험성, 이로 인해 고객을 비롯한 사용자에게 초래될 수 있는 피해를 모르고 있다. 그러나 봇넷의 일부로 공격에 사용되는 사례가 증가하고 있다"고 말했다.

다행히 개발자와 제조업체들 사이에 이 문제에 대한 인식이 높아지고 있다.
스타니슬라프는 "IoT(Internet of Things) 장치에서는 쉬운 펌웨어 업데이트가 강조된다. 사용자가 개입할 필요가 없는 자동화된 프로세스다. 하드웨어 업데이트 수명이 전반적으로 연장된다. 이것이 SOHO 공유기 시장까지 파급된다면 이상적이다. 디자인과 기술적인 도전 과제들이 해결되면서, 제조업체들이 더욱 쉽게, 그리고 빠르게 업데이트를 배포할 전망이다"고 말했다.

게티스는 "아직 출시되지 않은 제품 가운데 이와 관련해 기능이 크게 개선된 제품이 있지만 자세한 정보는 제조업체 및 서비스 공급업체들에게 맡기겠다"고 말했다.

그러나 게티스는 "작지만 희망적인 소식에도 불구하고 이 문제와 직결된 경제성에는 변화가 없다는 점이 우려된다"며, "공유기 제조업체들에게 보안 침해 사고의 책임을 묻게끔 법을 개정하는 것이 유일한 해결책이다"고 주장했다.

게티스는 "제품을 출하한 후, 제품 수명주기 동안 기본적인 유지보수와 소프트웨어 업그레이드에 대한 책임을 부여해야 한다"고 말했다. 이렇게 해야만 신규 시장 진입 업체가 더 나은 고가 제품을 출시했을 때 보상을 받을 수 있다.

스타니슬라프는 일부 개발업체들은 사용자의 개입을 최소화시킨 상태에서 지속적으로 업데이트를 제공하는 클라우드 기반 방식을 도입했다고 말했다. 그러나 이런 방식은 펌웨어 업데이트 사실을 인지하지 못하는 사용자를 중심으로 또 다른 문제를 초래할 수 있다.

스타니슬라프는 "2012년 링크시스의 자동 펌웨어 업그레이드 방식 때문에 서비스 중단 사태가 발생했다. 개발업체들이 균형점을 찾아야만 하는 부분이다"고 말했다.

전문가들은 소비자들에게 여러 방법을 추천하고 있다. 그러나 공유기 기능과 성능이 크게 개선된 이후에야 이 문제를 완벽하게 해결할 수 있을 전망이다. 어쨌든 전문가들이 권장하는 다음과 같은 방법으로 '표적'이 될 확률을 낮출 수 있다.

- 기본 설정된 비밀번호 대신 아주 길고, 복잡하며, 특이한 비밀번호를 이용한다.
- 보유한 공유기에서 이를 지원하지 않을 경우 새 공유기를 구입한다. 먼로에 따르면, 오픈소스 커뮤니티에서 개발한 OpenWRT와 토마토(Tomato) 등으로 상용 공유기에 탑재된 개발업체의 펌웨어를 대체할 수 있다. 그러나 이를 위해서는 상당한 수준의 지식이 필요하다.
- uPnP(Universal Plug and Play)를 끈다.
- 사용 설명서를 숙독한 후, 필요 없는 기능을 끄거나 비활성화시킨다.
- ISP가 제공하는 공유기/모뎀의 경우, 이로 인해 하드웨어 업데이트에 따른 책임 일부가 전가될 수 있다.
- 전문 지식이 있다면 OpenWRT를 설치한다.
  editor@itworld.co.kr


2015.08.18

공유기가 해커들의 관문이 되고 있다

Taylor Armerding | CSO
IT 보안 가운데 가장 취약한 연결고리가 실수와 부주의가 많은 사람이라는 말을 많이 한다.

그렇다면 두 번째로 취약한 연결고리는 무엇일까? 많은 전문가들이 라우터(router), 즉 공유기를 꼽는다. 공유기는 인터넷의 '백본(근간)'으로 부르는 사람과 웹을 연결하는 장치다. 그런데 이 공유기는 능력있는 해커에 취약점을 드러낸다.

전문가들이 공유기에 대해 '경종'을 울린 역사는 꽤 길다. 하지만 큰 변화가 없었다.
1년 전 매사추세츠 캠브릿지에서 개최된 한 컨퍼런스에서 벤처 캐피탈 업체인 인큐텔(In-Q-Tel) CSO인 댄 기어는 "대부분의 상용 공유기는 안전하지 못하다. 드라이버와 운영 시스템은 리눅스 상태에 대한 스냅샷이나 마찬가지이고, 애초 가장 저렴한 상용 칩으로 공유기를 설계하기 때문이다"고 지적했다.

기어는 이에 대한 유일한 해결책은 이런 공유기를 쓰레기통에 버리고, 새 공유기를 설치하는 것이라고 말했다. 그러나 이런 방법으로도 문제를 해결할 수 없을지 모른다고 덧붙였다. 새 공유기에도 동일한 취약점이 있기 때문이다.

시스템 아키텍트인 짐 게티스는 지난해 여러 공유기에 탑재된 구식 기술들을 조사했다. 그리고 공유기를 설계하는 시점부터 3~4년된 기술을 사용하고 있음을 발견했다. 업데이트가 없다면 애초부터 기존 취약점을 떠 안은 상태에서 공유기를 사용하게 되는 것이다. 그리고 시간이 경과하면서 상황이 더 악화된다. 게티스는 최근 인터뷰에서 "이후에도 시장에 큰 변화가 없었다"고 지적했다.

암호화 기술 전문가인 레질런트 시스템스(Resilient Systems)의 브루스 슈나이어는 1년 전 한 블로그 게시글에서 "공유기와 모뎀에 탑재된 컴퓨터 기술은 1990년대 PC보다는 강력하다"고 비꼬면서 "지금 당장 보안 취약점을 해결하지 않을 경우 보안 측면에서 재앙을 맞게 될 것이다. 해커들이 컴퓨터보다는 공유기 해킹이 쉽다는 사실을 알고 있기 때문이다"고 경고한 바 있다.

해커들이 컴퓨터 하드웨어에 접속하지 않고도 파일에 대한 접속 권한을 획득하고, 악성코드를 설치하고, 피해자의 카메라로 사생활을 엿볼 수 있는 보안 구멍이 생기기 때문이다.

슈나이어는 지난 4월 네트워크 월드와 가진 인터뷰에서 기어의 1년 전 발언을 되풀이했다. "집에서 사용하는 공유기를 어떻게 패치해야 할까? 그냥 버리고 새 공유기를 사야 한다. 그런데 새 공유기 또한 재앙을 초래할 수 있다. 저가 부품에 엉망인 설계와 작동 원리나 업데이트 방법을 아는 사람이 단 한 명도 없다. 그리고 많은 취약점을 갖고 있다. 그걸 그냥 사용할 수밖에 없다."

트러스트웨이브(Trustwave)의 로렌스 먼로 이사는 업데이트가 제공되는 경우에도 보통 사용자가 업데이트를 설치하기가 너무 어렵다고 지적했다. 먼로는 "공유기는 수동으로 업그레이드해야 하는 경우가 대부분이다. 가정의 일반 사용자가 감당할 수 있는 수준 이상이다. 게다가 제때 패치가 배포되는 경우가 드물다"고 말했다.

지난해 12월, 미국 국토안보부 산하 US-CERT는 10년 전 패치가 개발됐지만 아직까지도 많은 공유기에 존재하는 '미스포츈 쿠키(Misfortune Cookie)'라는 취약점을 해결하라고 브로드밴드 공유기 제조업체에게 경고했다.

이 취약점에 이름을 붙인 체크 포인트(Check Point) 악성코드 및 취약점 부문 연구원들은 "게이트웨이 장치가 취약할 경우, 네트워크에 연결된 컴퓨터, 전화기, 태블릿, 프린터, 보안 카메라, 냉장고, 토스터 등 장치들의 감염 위험이 높아진다"고 설명하고 있다.

래피드7(Rapid7) 선임 보안 컨설턴트 마크 스타니슬라프는 "지난해 데프콘(Def Con) 행사 동안 개최된 콘테스트에서 해커들이 에이수스(Asus), 넷기어(NetGear), 디링크(DLink), 벨킨(Belkin), 링크시스(Linksys), 액션테크(Actiontec), 트렌드넷(Trendnet) 등이 제조한 상용 SOHO(Small Office/Home Office)용 공유기 5-6종에서 15개의 제로데이 취약점을 발견했다고 말했다.

'SOHOpelessly Broken'이라는 콘테스트 명칭이 이 문제의 심각성을 보여주고 있다(SOHO와 Hopelessly와의 합성어).
이 정도로 문제가 심각하다면, 공유기를 이용한 네트워크 해킹에 대한 기사가 더 많이 쏟아져야 하지 않을까? 하지만 주류 언론들은 주기적으로 대형 해킹 사고를 보도하고 있지만, 공유기 해킹이나 감염에 대한 기사는 극소수다.

이와 관련해 스타니슬라프는 "보통 사용자는 공유기가 뭔지조차 모른다"고 지적했다. 스타니슬라프는 "장치 설정, 공유기를 만든 벤더, 펌웨어를 자세히 파악해야 개인이나 홈 네트워크에 초래되는 영향을 파악할 수 있다. 'X라는 회사가 해킹을 당해 사용자의 데이터에 위험이 초래됐다'는 것보다 훨씬 복잡하고 뉘앙스가 미묘한 문제다"고 말했다.

인텔 시큐리티(Intel Security)의 온라인 보안 전문가 로버트 시실라노도 이에 동의했다. 시실라노는 "주류 언론이 다루기에는 이 문제는 너무 복잡하다. 이로 인해 이를 다루는 것을 피하는 경향이 있다"고 말했다.

먼로도 여기에 동의했다. 그러나 기사 가치가 떨어지는 것도 이유라고 덧붙였다. 아직까지는 흥미롭지 않기 때문이다. 원격으로 자동차를 해킹해 충돌 사고를 유발하는 내용이 공유기의 취약점을 다룬 내용보다 더 큰 대중의 관심을 끌 수 있다.

게티스는 "아직까지는 관심을 유발할 만한 규모의 사고가 발생하지 않은 것도 이유"라고 말했다. 그러나 향후 큰 피해가 초래될 수 있다고 경고했다.

게티스는 "사람들이 아직까지는 공유기의 위험성, 이로 인해 고객을 비롯한 사용자에게 초래될 수 있는 피해를 모르고 있다. 그러나 봇넷의 일부로 공격에 사용되는 사례가 증가하고 있다"고 말했다.

다행히 개발자와 제조업체들 사이에 이 문제에 대한 인식이 높아지고 있다.
스타니슬라프는 "IoT(Internet of Things) 장치에서는 쉬운 펌웨어 업데이트가 강조된다. 사용자가 개입할 필요가 없는 자동화된 프로세스다. 하드웨어 업데이트 수명이 전반적으로 연장된다. 이것이 SOHO 공유기 시장까지 파급된다면 이상적이다. 디자인과 기술적인 도전 과제들이 해결되면서, 제조업체들이 더욱 쉽게, 그리고 빠르게 업데이트를 배포할 전망이다"고 말했다.

게티스는 "아직 출시되지 않은 제품 가운데 이와 관련해 기능이 크게 개선된 제품이 있지만 자세한 정보는 제조업체 및 서비스 공급업체들에게 맡기겠다"고 말했다.

그러나 게티스는 "작지만 희망적인 소식에도 불구하고 이 문제와 직결된 경제성에는 변화가 없다는 점이 우려된다"며, "공유기 제조업체들에게 보안 침해 사고의 책임을 묻게끔 법을 개정하는 것이 유일한 해결책이다"고 주장했다.

게티스는 "제품을 출하한 후, 제품 수명주기 동안 기본적인 유지보수와 소프트웨어 업그레이드에 대한 책임을 부여해야 한다"고 말했다. 이렇게 해야만 신규 시장 진입 업체가 더 나은 고가 제품을 출시했을 때 보상을 받을 수 있다.

스타니슬라프는 일부 개발업체들은 사용자의 개입을 최소화시킨 상태에서 지속적으로 업데이트를 제공하는 클라우드 기반 방식을 도입했다고 말했다. 그러나 이런 방식은 펌웨어 업데이트 사실을 인지하지 못하는 사용자를 중심으로 또 다른 문제를 초래할 수 있다.

스타니슬라프는 "2012년 링크시스의 자동 펌웨어 업그레이드 방식 때문에 서비스 중단 사태가 발생했다. 개발업체들이 균형점을 찾아야만 하는 부분이다"고 말했다.

전문가들은 소비자들에게 여러 방법을 추천하고 있다. 그러나 공유기 기능과 성능이 크게 개선된 이후에야 이 문제를 완벽하게 해결할 수 있을 전망이다. 어쨌든 전문가들이 권장하는 다음과 같은 방법으로 '표적'이 될 확률을 낮출 수 있다.

- 기본 설정된 비밀번호 대신 아주 길고, 복잡하며, 특이한 비밀번호를 이용한다.
- 보유한 공유기에서 이를 지원하지 않을 경우 새 공유기를 구입한다. 먼로에 따르면, 오픈소스 커뮤니티에서 개발한 OpenWRT와 토마토(Tomato) 등으로 상용 공유기에 탑재된 개발업체의 펌웨어를 대체할 수 있다. 그러나 이를 위해서는 상당한 수준의 지식이 필요하다.
- uPnP(Universal Plug and Play)를 끈다.
- 사용 설명서를 숙독한 후, 필요 없는 기능을 끄거나 비활성화시킨다.
- ISP가 제공하는 공유기/모뎀의 경우, 이로 인해 하드웨어 업데이트에 따른 책임 일부가 전가될 수 있다.
- 전문 지식이 있다면 OpenWRT를 설치한다.
  editor@itworld.co.kr


X