2021-01-19 11:16 (화)
네티스 공유기, 백도어 발견…비밀번호 하드코딩돼
상태바
네티스 공유기, 백도어 발견…비밀번호 하드코딩돼
  • 호애진
  • 승인 2014.08.27 01:38
이 기사를 공유합니다

중국뿐만 아니라 한국, 대만, 이스라엘, 미국에도 일부 영향 미쳐
펌웨어 수정 불가… 현재로선 해결 방안 없어, 기기 교체해야
중국의 한 라우터 제조사의 제품군에서 심각한 보안 결함이 발견됐다. 이를 통해 해커는 기기의 설정을 마음대로 바꿀 수 있으며, 임의코드를 실행할 수 있을 뿐만 아니라 사용자의 인터넷 트래픽을 모니터링할 수 있는 것으로 나타났다. 특히, 우리나라 사용자들에게도 일부 영향을 미치는 것으로 파악돼 파장이 예상된다.
 
보안업체 트렌드마이크로(Trend Micro)는 25일(현지시각) 자사 블로그를 통해 중국 내에서는 넷코어(Netcore)로, 중국 외 국가에서는 네티스(Netis)라는 제품명으로 판매 중인 제품들에서 기기에 액세스할 수 있는 백도어가 발견됐으며, 이 백도어를 열기 위해 필요한 비밀번호가 기기의 펌웨어에 하드코딩됐고, 모든 라우터에서 동일한 비밀 번호가 사용되고 있는 것으로 파악했다고 밝혔다.

 
트렌드마이크로 팀 여(Tim Yeh) 연구원은 “공격자들은 이러한 라우터에 쉽게 로그인할 수 있으며, 사용자들은 이 백도어를 수정 또는 비활성화하는 것이 불가능하다”고 우려를 제기했다.
 
제품 지원을 위해 이러한 방식이 사용되기도 하지만, 하드코딩 방식으로 소프트웨어에 백도어를 코딩하는 것은 오용될 가능성이 있어 일반적으로 권장되지 않는다.
 
그의 설명에 따르면, 넷코어 및 네티스 라우터에는 UDP 포트인 53413 포트가 열려 있고, 라우터는 외부에서 액세스할 수 있는 IP 주소를 가지기 때문에 이 포트에 대한 질의(query)가 수행될 수 있다. 트렌드 마이크로는 인터넷을 스캔한 결과 UDP 포트가 열려 있는 2백만개 이상의 IP 주소를 발견했으며, 해당 IP 주소를 사용 중인 장비들이 이러한 취약점에 노출될 가능성이 있는 것이다.

 
보안 결함이 존재하는 라우터 중 대부분은 중국 내에 위치하지만, 한국, 대만, 이스라엘, 미국 등에서도 일부 사용되고 있는 것으로 드러났다.
 
백도어를 사용함으로써 공격자는 기기로 파일을 업로드 또는 다운로드하는 것뿐만 아니라. 또한 라우터의 설정이 변경될 수 있어 중간자 공격(man-in-the-middle attack)의 일환으로 해커가 사용자의 인터넷 트래픽을 모니터링하는 것도 가능하다.
 
또한 라우터의 웹기반 관리 제어판에서 사용되는 사용자 이름 및 비밀 번호를 담고 있는 파일이 암호화 되지 않은 채 저장돼 있어 공격자가 이를 다운로드하는 것이 가능하다는 점도 발견됐다.
 
이번 사안을 해결하기 위해 사용자가 할 수 있는 방안은 거의 없는 것으로 알려졌다. 여 연구원은 “대부분의 넷코어 및 네티스 라우터는 취약한 소프트웨어를 대신해 설치될 수 있는 dd-wrt 또는 토마토(Tomato)와 같은 오픈소스 펌웨어 패키지의 설치를 지원하지 않는 것으로 보인다”며 “현재로서 유일한 대안은 기기를 교체하는 것”이라고 조언했다.

<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 호애진 기자 ajho@dailysecu.com