일부 D-Link 라우터의 펌웨어에서 유저명과 비밀번호 없이도 디바이스 설정을 바꿀 수 있는 백도어가 발견됐다. 이는 웹 기반의 유저 인터페이스에서 정상적인 인증 절차를 우회하는데 이용될 수 있어 문제가 되고 있다.
 
이러한 보안 이슈를 처음 제기한 크래그 헤프너(Craig Heffner)는 블로그를 통해 “브라우저의 유저 에이전트 스트링이 ‘xmlset_roodkcableoj28840ybtide’인 사용자는 누구든지 인증 없이 웹 인터페이스에 접속할 수 있으며, 디바이스 설정을 보거나 바꿀 수 있다”고 밝혔다. 이 하드코딩된 값(value)의 마지막 부분을 거꾸로 읽으면, ‘edit by 04882 joel backdoor’가 된다.
 
그에 따르면, 영향을 받는 모델은 D-Link의 DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240, DIR-615 등이다. 또한 일본 플래넥스 커뮤니케이션즈(Planex Communications)가 제조하는 BRL-04UR과 BRL-04CW가 동일한 펌웨어를 이용하는 것으로 나타나 역시 취약할 것으로 보고 있다.

 
원격으로 관리할 수 있도록 구성돼 있고 웹 관리 인터페이스가 인터넷에 노출된 라우터의 경우 인가되지 않은 접속에 대한 위험성은 보다 높다. 뿐만 아니라 해당 인터페이스가 내부 네트워크에서만 접속할 수 있다고 해도 여전히 보안 위협에 직면할 수 있다. 공격자가 무선 네트워크를 통해 연결하거나 네트워크 내 컴퓨터에 악성코드를 심어 라우터의 구성을 마음대로 바꿀 수 있기 때문이다.
 
이러한 변경은 보다 심각한 결과를 초래할 수 있다. 예를 들면, 공격자가 라우터에 이용되는 DNS 서버를 바꿀 수 있고, 이를 통해 사용자를 가짜 웹사이트로 리다이렉트할 수 있다.

D-Link는 해당 취약점을 해결한 펌웨어 업데이트를 10월 말까지 실시하겠다고 밝혔다. 업데이트는 D-Link 웹사이트의 보안 페이지와 영향을 받는 각각의 제품의 지원 페이지에 있는 다운로드 섹션에 게시될 예정이다. 그러나 회사측은 왜 펌웨어에 백도어가 심어져 있는지, 어느 제품 모델이 영향을 받는지에 대해 명확하게 설명하지 않았다.
 
D-Link 관계자는 라우터에 와이파이 비밀번호가 설정돼 있는지 확인하고 원격 접속을 허용하지 않도록 해 잠재적인 위험을 최소한으로 줄일 것을 사용자들에게 조언했다.
 
또한 이번 보안 취약점과 관련돼 링크를 클릭하거나 파일을 설치하는 등의 조치를 취할 것을 당부하는 이메일을 받는다면, 무시할 것을 당부했다. 공격자가 이번 이슈를 이용한 이메일을 보낼 수 있으며 사용자가 클릭 혹은 설치를 하는 순간 공격자는 라우터에 접속할 수 있기 때문이다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com