넷기어(NETGEAR)의 레디나스(ReadyNAS) 제품이 명령어 삽입(Command Injection) 공격에 취약한 것으로 알려졌다. 이는 변수 입력 값 검증 미흡으로 인해서 내부 시스템 명령어를 외부에서 실행 가능한 취약점이다.
 
넷기어는 해당 취약점을 해결하기 위해 3개월 전 패치를 제공했지만, 당시 이를 발견해 회사측에 보고했던 크래그 영(Craig Young)은 대부분의 사용자들이 펌웨어 업데이트를 하지 않은 것으로 나타났다고 밝히고, 공격자가 이번 취약점을 통해 제품에 대한 루트(Root) 권한을 확보할 수 있다며 그 심각성을 경고했다.

 
특히 그는 넷기어가 이번 취약점에 대해 정보를 자세히 공개하지 않았기 때문에 사용자들이 그 심각성을 알지 못하고 있다고 주장했다. 넷기어 웹사이트에 게시된 권고문에는 취약점에 대한 내용 없이 이번 펌웨어 업데이트가 보안 이슈를 해결한다는 문구만이 공지사항 뒷부분에 작은 문자(Fine print)로 쓰여져 있는 것을 볼 수 있다. 

크레그 영은 “사용자들에게 취약점을 알리고, 그 심각성을 정확히 전달하는 것이 중요하다”며, “이전 버전의 레디에이터(RAIDiator) 펌웨어가 구동되고 있는 제품을 이용한다면, 쉽게 공격을 당할 수 있다는 점을 지적하고 펌웨어 업데이트의 필요성을 일깨워야 한다”고 의견을 피력했다.
 
그는 쇼단(Shodan) 검색 엔진을 통해 1만여대가 취약한 것을 발견했으며, 쇼단 외 다른 검색 엔진에서도 이러한 사실을 확인할 수 있었다. 그 결과, 인터넷에 연결된 제품 중 73%가 패치가 되지 않은 것으로 드러났다. 문제는 레디나스에 대한 공격 패턴이 기존의 침입방지시스템(IPS) 등으로는 쉽게 탐지할 수 없다는 점이다.
 
이번 취약점은 명령어 삽입을 가능하게 하고, 이를 통해 사용자 인증을 우회할 수 있도록 한다. 즉, 인증되지 않은 HTTP 요청에 의해 임의의 Perl 코드를 서버에 삽입하게 되고 이에 따라 공격자는 레디나스에 자신의 의도하는 명령을 실행할 수 있게 된다.
 
만약 레디나스 웹 인터페이스가 인터넷에 연결돼 있지 않으면, 공격자는 사용자가 악성 웹사이트를 방문하도록 유도하거나 악성 파일이 첨부된 이메일을 보내는 등의 방법을 이용할 수 있다.
 
크레그 영은 “넷기어의 레디나스가 치명적인 보안 위협에 노출됐으나 이에 대한 심각성이 간과되고 있다”고 강조하며, “레디나스를 이용하고 있는 사용자들 중 아직 펌웨어 업데이트를 하지 않았다면, 빠른 시일내 이를 완료해야 할 것”이라고 조언했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com