2020-08-10 10:30 (월)
국내 상당수 네트워크 프린터, 해킹공격에 취약한 이유
상태바
국내 상당수 네트워크 프린터, 해킹공격에 취약한 이유
  • 길민권
  • 승인 2013.12.02 06:13
이 기사를 공유합니다

이번 취약점은 계정 관리 실패, 접근 통제 실패가 핵심
네트워크 프린터의 IP가 공인IP이거나 포트포워딩 된 대부분 사이트의 네트워크 프린터 해킹이 가능하다는 취약점 제보가 들어왔다.
 
이번 네트워크 프린터 해킹과 관련된 제보를 해 온 익명(www.facebook.com/Koxxxxxxxxxxx)의 제보자는 “이번 취약점은 계정 관리 실패, 접근 통제 실패가 핵심이다. 우선 네트워크 프린터 자체의 관리 URL이 구글에 검색 된다는 것 자체부터 취약한 것”이라며 “구글을 통해 외부에서 접속 가능한 수십개의 네트워크 프린터들의 주소가 노출된다. 여기서부터 문제가 발생한다”고 말했다.


<외부에서 접속 가능한 수십개의 네트워크 프린터들 주소, 구글검색 가능>
 
또한 제보자는 “구글 검색으로 찾은 모 기업의 네트워크 프린터 관리 사이트 오른쪽에 끝에 보면 관리자 모드 버튼이 있다. 이 버튼을 누르면 아이디와 비밀번호를 요구한다. 하지만 비밀번호를 모아놓은 사이트를 이용해 해당 기업의 프린터 관리 페이지 비밀번호를 구할 수 있고 대부분 취약한 계정을 사용하고 있다는 것을 알 수 있다. 대부분 아이디를 ‘admin’으로 패스워드는 ‘password’ 혹은 거의 패스워드를 설정해 놓지 않아 쉽게 인증이 되고 있다”고 설명했다.
 
또 그는 “쉬운 계정들로 인증이 되지 않을 경우 해커가 해 볼만한 공격은 브루트포스 공격으로 대부분의 프린터 앞쪽에 별도의 방화벽 등이 없기 때문에 무작위 대입 공격에 대한 방어가 거의 불가능하다”며 “실제로 툴을 돌려보아도 5번 정도 틀리면 세션을 끊거나, IP 밴을 하는 것이 좋지만 그러한 조치들이 이루어 지지 않았다. 굳이 툴을 안 쓰고 브라우저에서 탭 몇 개 띄어서 계속 로그인 시도를 해도 별다른 조치가 없다는 것을 알 수 있었다”고 밝혔다.
 
더욱이 “구글의 회원가입 페이지를 보면 자동 가입을 방지하기 위해 이미지를 주고 이미지 내의 글자를 입력하라는 방법이 있는데 이를 사용함으로써 툴 사용을 어느 정도 막을 수 있지만 이와 같은 조치 조차 전혀 존재 하지 않고 있는 상황”이라고 우려를 표했다.
 
또 하나 취약한 부분에 대해 그는 “그 다음의 문제점은 네트워크 프린터가 취약한 프로토콜을 사용한 다는 점”이라며 “굳이 telnet을 사용할 필요가 없다. 사용을 해야 한다면 암호화를 지원하는 ssh를 사용해야 한다. telnet의 경우 공격자가 mitm 공격을 통해 관리자의 pc를 감염시킬 경우, 손쉽게 스니핑이 가능하며 이는 계정 유출로 이어 질 수 있다”고 밝혔다.
 
그는 또 다른 취약점에 대해 “문서 관리 서버가 같이 있는 경우 발생 할 수 있는 취약점으로써 최소한 실제적인 문서 파일(hwp, pdf, doc 등)이 저장되고 그것을 실제로 보거나 삭제할 수 있는 메뉴가 존재하는 페이지는 별도의 인증을 한 번 더 두는 것이 바람직하다”고 강조했다.
 
이러한 프린터 취약점을 방치하면 어떤 사고가 발생할 수 있을까. 그는 “프린터 자체 로그에 프린터를 한 유저명(컴퓨터의 경우 컴퓨터 이름), IP, 인증을 사용할 경우 아이디, 비밀번호(평문/암호화) 등이 남기 때문에 이를 기반으로 해 같은 웹 사이트에 다른 서비스(메일 등) 등의 해킹에 사용 될 수 있다”며 “또한 몇몇 벤더들이 제공하는 네트워크 프린터와 문서관리 서버의 경우 회사에서 중요한 자료를 백업으로 문서관리 서버에 저장한 경우, 공격자가 침투해 관리자의 계정만 탈취한다면 또 다른 내부 자료 유출 및 백업 삭제로 이루어 질 수도 있는 위험한 상황”이라고 강조했다.
 
어떤 대응방안이 있을까. 그는 “취약점 패치 방안은 프린터가 사설 IP 환경인 경우, 프린터의 사설 IP를 공인 IP와 NAT시켜서 외부에서 접속 가능하게 하는 것은 절대 금지시켜야 한다. 또 프린터가 공인 IP 환경인 경우, 굳이 IPv4의 공인 IP가 부족한 요즘 프린터에 공인을 부여할 필요가 없다. 따라서 사설로 변환 하는 것을 추천한다. 어쩔 수 없이 외부에서 접속해야 하는 경우, 허가된 사용자(특정 IP)만이 접속 할 수 있도록 해야 한다”고 조언했다.

더불어 그는 “이 취약점은 프린터 벤더 사들이 직접 소스 코드를 수정 하지 않는 이상 별 다른 패치 방법이 없을 것으로 보여 진다. 벤더사의 적극적인 보안 조치가 필요하다”고 밝혔다. 프린터 벤더사들의 적극적인 대처가 필요한 상황이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com