독일 IT 매거진 CHIP의 보안 연구원과 편집자들이 인터넷 공유기 제조업체 에이수스, AVM, 디링크, 넷기어, 에디맥스, 티피링크, 시놀로지, 링크시스 등 9개의 Wi-Fi 라우터에서 총 226개의 잠재적 보안 결함을 발견했다. 이는 수백만 명의 사용자에게 영향을 미칠 수 있다.
보안 결함이 가장 많이 발견된 라우터는 티피링크의 Archer AX6000으로 총 32개가 발견되었으며, 시놀로지의 RT-2600ac가 30개, 넷기어의 Nighthawk AX12가 29개 순으로 많았다.
이 외에도 넷기어의 Nighthawk AX12, 에이수스의 ROG Rapture GT-AX11000, 에디맥스의 BR-6473AX, 링크시스의 Velop MR9600, AVM FritzBox 7530 AX 및 AVM FritzBox 7590 AX에서도 수십 가지의 취약점이 발견되었다.
연구원들은 수천 개의 CVE와 보안 결함을 검사한 IoT 점검 도구의 보안 플랫폼을 통해 네트워크 장치를 분석했다. 그 결과 발견된 가장 일반적인 문제는 펌웨어의 오래된 리눅스 커널, 오래된 멀티미디어 및 VPN 기능, 하드코딩된 인증 키, 안전하지 않은 통신 프로토콜의 사용 및 취약한 기본 암호였다.
전문가들에 따르면 네트워크 장치에 오래된 운영 체제인 리눅스 커널이 사용되는 경우가 많은데, 이는 펌웨어에 새로운 커널을 통합하기 위한 비용이 많이 들기 때문이다. 장치 소프트웨어도 대부분 비지박스(Busy box) 등의 표준 소프트웨어에 의존하는 경우가 많고, 멀티미디어 기능이나 VPN 등의 라우팅 외에도 기기가 제공하는 추가 서비스도 마찬가지다.
연구원들은 실제로 많은 제조업체에서 admin 등 기본 암호를 사용하며, 대부분의 암호도 일반적인 텍스트로 이루어졌다고 말했다. 다만 이들이 파악한 모든 문제가 악용 가능한 것은 아니며 발견 사항을 제조업체와 공유하여 대부분의 결함은 이미 수정되었다. 전문가들은 IoT 장치 사용 시 기본 설정 변경 및 자동 업데이트 확인, 불필요한 기능의 비활성화를 권장했다.
펌웨어 보안 분석 플랫폼 IoT Inspector의 CTO 플로리안 루카반스키는 “테스트 결과는 안전한 중소기업 및 가정용 라우터에 대한 기대치를 크게 낮췄다. 모든 취약점이 같은 심각성을 지닌 것은 아니지만, 테스트 당시 모든 장치가 해커에게 유리한 보안 취약점을 보여주었다”고 말했다.
IoT Inspector의 CEO 얀 웬덴부르크는 “기본 비밀번호를 변경하고 자동 업데이트 기능을 활성화하는 것은 모든 IoT 장치 사용 전 필수적인 사항이다. 기기의 취약점 외에 가장 큰 위험은 'plug, play and forget'라는 모토에 따라 IoT 장치를 사용하는 것이다”이라고 전했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
