우선 데일리시큐는 지난 3월 27일 단독으로 ‘국내 통신사 라우터와 유명 NAS 장비에 심각한 보안취약점 다수 확인’이란 제하의 기사를 통해 그 심각성을 보도한 바 있다. 그럼에도 불구하고 아직 제대로 패치가 이루어지지 않고 있으며 의지도 부족하다는 것을 알게 됐다. 기사 보도 이후 KT 관계자는 제로콘을 찾아 피에르와 취약점에 대한 이야기를 나눴고 향후 패치를 진행하겠다고 밝혔다. 하지만 나머지 업체들은 아직까지 적극 대응을 하지 않고 있다.
한편 KT 관계자에 따르면 “KT는 3월 초 POC 시큐리티 측의 제보를 접수하고 펌웨어 문제점을 확인했다. 확인 후 1차 조치는 3월 말 관리용 IP 접속 차단 조치를 실시했고 현재는 홈 AP 펌웨어 업데이트를 완료해 고객 대상 배포 패치작업을 진행중이다”라고 밝혔다.
제로콘 현장에서 만난 피에르는 이번 취약점에 대해 “한국 대형 통신사인 KT와 LG 등에서 제공하는 라우터와 TR-069 서버에 대한 취약점을 분석한 결과 패치가 안된 상태이며 보안이 엉망이란 것을 확인했다. LG 라우터는 공격자가 원격에서 공격이 가능한 상태이며 KT도 라우터 취약점을 통해 사용자 내부 침투를 통한 해킹이 가능한 상황”이라며 “서버가 업데이트 안돼서 발생하는 취약점이다”라고 설명했다.
또 “와이즈기가 NAS 장비를 분석한 결과 외부 해커가 원격에서 공격이 가능한 취약점이 발견됐다. CSRF(Cross Site Request Forgery) 취약점을 통해 내부 침투가 가능하며 SQL인젝션 등 다양한 공격이 가능한 상황”이라며 “이를 통해 공격자는 사용자 웹사이트를 암호화시켜 돈을 요구하는 랜섬웨어 공격도 가능하고 정보탈취도 가능해 심각하다”고 설명했다.
CSRF 취약점은 XSS와 유사하고 특정 사용자 보다는 불특정 다수를 대상으로 로그인된 사용자가 자신의 의지와는 상관없이 공격자가 의도한 악의적 행위를 하게 만드는 공격이다.
또한 아이피타임(IPTIME) 제품에도 여러 취약점이 발견됐다고 밝혔다. 그는 “아이피타임에서 제공하는 API를 분석한 결과 IP디스크 기기가 매우 취약한 암호화 매카니즘을 사용하고 있었고 이를 통해 공격자는 쉽게 패스워드를 알아낼 수 있었다. IP디스크 내부에 클라우드 시스템도 업데이트가 안돼 있어 취약하다”고 설명했다.
그는 또 “이번 한국 라우터 취약점을 해외에는 발표하지 않았다. 하지만 이를 공개하지 않았다고 해서 안전한 것이 아니다. 내가 찾았다면 다른 해커들도 충분히 찾을 수 있는 취약점이다. 공개여부가 문제가 아니라 악의적 해커들이 찾아 공격을 할 수도 있기 때문에 적극적인 노력이 필요하다”며 “특히 한국 기업들은 외국 해커의 버그바운티에 개방적이어야 한다. 취약점을 찾아도 알려줄 곳도 없고 반응도 없다. 이번 취약점에 대한 반응도 비슷한 것을 보면 한국 기업과 기관의 버그바운티에 대한 인식 개선이 우선되어야 할 것으로 보인다”고 지적했다.
피에르는 지난해 한국에 휴가차 방문했을 때 한국 통신사들의 라우터와 NAS 장비에 대해 분석을 하면서 이번 취약점을 알게 됐다고 한다. 현재 너무 취약한 상황이라 라우터를 통해 인터넷에 연결되는 네트워크와 IoT 장비들 모두가 위험 상황이라고 우려했다.
그는 마지막으로 “제로콘과 같은 컨퍼런스는 좋은 아이디어다. 취약점을 숨기기 보다는 공개해서 개선하는 것이 보다 더 안전하다. 제로콘과 같은 컨퍼런스를 통해 한국 IT 시큐리티가 발전하길 바란다. 한국 기업과 정부의 보안 발전에 긍정적 역할을 할 것으로 기대한다”고 전했다.
이번 기사는 KT, LG, 와이즈기가, 아이피타임 업체명을 밝힌다. 앞서 단독 기사에도 밝혔듯이 POC Security는 해당 취약점에 대해 업체들에게 2월 중순부터 연락해 충분히 공지하고 패치할 수 있는 시간적 여유를 제공했다. 그럼에도 불구하고 KT를 제외한 나머지 업체들은 4월 21일 현재까지 적극적인 대응 모습이 보이지 않고 있다. 미래부와 한국인터넷진흥원은 한국에서 유통되는 라우터와 NAS 장비에 대한 보다 철저한 보안점검을 실시하고 근본적인 보안 대책을 마련해야 한다. 이를 방치하면 향후 대규모 공격에 활용될 수 있는 위험성이 크다.
제로콘은 버그헌터와 익스플로잇 개발자를 위한 전문 컨퍼런스로 국내외 버그헌터 전문가 140여명이 참가했으며 발표자들도 국제적으로 최고의 퀄리티와 인지도를 가진 해커들이 대거 참여했다. 특히 해외 20개국의 전문 버그헌터들도 참석했다. 폴란드, 루마니아, 인도, 이스라엘, 중국, 베트남 등 참관객 국가도 다양하다. 제로콘은 향후 매년 4월 둘째주 개최할 예정이다.
KT를 제외한 관련 업체들은 이번 취약점과 관련 POC Security 측에 문의해 신속한 패치를 진행해야 한다.
★정보보안 대표 미디어 데일리시큐!★