지난 2월, 국내 보안 업체 POC Security는 해외 유명 해커를 통해 확인한 정보를 통해 국내 통신사 K사와 L사가 가정과 기업에 제공하는 라우터에 관리자 권한으로 접근할 수 있는 취약점이 존재한다는 사실을 연구자료와 함께 입수했다. 또한 국내 최대 NAS 장비 벤더인 W사의 모든 NAS 장비에 루트 권한으로 원격 명령 실행이 가능한 취약점이 존재하는 것도 확인한 상태다.
POC Security 관계자는 “K사와 L사가 제공하는 라우터에 존재하는 취약점을 통해 악의적인 해커는 각 가정과 기업에 심각한 보안 위협을 초래할 수 있는 상황이다. 또한 국내 ISP 업체의 각종 인프라를 지원하거나 관리하는 TR-069 서버와 라우터를 관리하는 ISP 업체들의 일부 서버에 심각한 보안 취약점이 존재하는 것도 확인했다”고 밝혔다.
또한 “주로 기업에서 데이터 저장이나 클라우드 시스템 운영을 위해 사용하고 있는 W사의 대부분의 NAS 장비에 존재하는 보안 취약점을 이용해 악의적인 해커는 루트권한으로 원격 명령을 실행할 수 있다”며 “해외 해커는 이미 이 취약점을 이용해 원격으로 설치할 수 있는 랜섬웨어를 만들어둔 상태”라고 덧붙였다.
◇K사 라우터와 TR-069 서버에 심각한 취약점 존재
K사의 경우, 라우터 관리에 사용되는 자동 설정 서버와 TR-069 서버에 심각한 취약점이 존재한다. 또한 RADIUS 서버 로그인 패스워드가 하드코딩돼 저장되어 있어 이를 분석하면 패스워드를 추출한 수 있는 상황이다. 또한 일반 가정과 사무실에서 많이 사용하고 있는 홈 라우터에 관리자 권한으로 접근이 가능한 취약점도 존재한다.
RADIUS는 사용자가 원격에서 접속할 때 사용자를 식별하고 인증을 실행하는 시스템이다. 이때 해커가 하드코딩된 패스워드 정보를 추출해 원격 접속이 가능하게 된다. 이럴 경우 다양한 해킹 피해가 발생할 수 있다.
◇L사 라우터 패스워드 노출 취약점과 TR-069 서버에 취약점 등 존재
L사의 경우 제공하는 라우터에 패스워드가 노출되는 취약점이 존재하며, 관리자 권한으로 접근 가능한 취약점도 존재한다. 또한 웹을 통해 WAN에 접근 가능한 백도어 기능이 존재하며, ACL 우회도 가능하다. L사의 경우에도 TR-069 서버에 취약점이 존재한다.
지난해 11월 독일 도이치텔레콤 사용자들의 100만대 라우터를 해킹해 봇넷을 만들고 이를 이용해 DDoS 공격으로 전화, TV, 인터넷 서비스에 심각한 지장을 발생시킨 사건도 있다. 또 TR-069의 취약점을 이용해 수천 대의 공유기를 악성코드에 감염시키고 이를 이용해 지난해 12월 러시아 5대 금융기관을 대상으로 심각한 DDoS 공격이 이루어진 바 있다.
이번 K사와 L사 라우터와 TR-069서버 취약점이 확인된 것은 우리나라도 이와 같은 공격에 언제든 노출될 수 있다는 것이다.
◇국내 유명 NAS 장비에 루트 권한으로 원격 명령 실행 가능한 취약점 존재
한편 해당 해커에 따르면, 국내 유명 NAS 전문 업체 W사의 모든 NAS 장비에 루트 권한으로 원격 명령 실행 취약점이 존재하며, 해커는 이 취약점을 이용해 테스트용으로 랜섬웨어도 이미 만들어둔 상태라고 한다. 즉 악의적 해커였다면 원격에서 쉽게 랜섬웨어를 설치할 수 있다는 의미다.
즉 이 업체의 NAS 장비를 사용하는 기업들의 데이터가 위험한 상황에 놓일 수 있다는 것이다. 또 악의적인 해커라면, 이 취약점을 이용해 기업의 데이터를 유출하거나 파괴할 수 있으며, 금전적 이익을 위해 악용할 수 있는 상황이다.
한편 원격 명령 실행 취약점 이외에도 W사의 모든 NAS 장비에는 SQL Injection, LFI, RFI 등의 취약점이 존재하는 것으로 확인됐고 내부 명령을 통해 원격으로 파일 삭제, 설정 변경 등이 가능하다. 또 150개 이상의 원격 취약점이 존재한다.
현재 국내 많은 클라우드 서비스 제공 업체, 보안회사, 데이터복구업체 등도 이 취약한 장비들을 사용하고 있어 언제든 악의적 해커들의 공격 타깃이 될 수 있는 상황임을 알아야 한다.
◇심각한 취약점 제보에도 ‘나 몰라라’…국내 기업들 버그바운티 적극 도입해야
POC Security 측은, 이 보안 문제들을 해결하기 위해 지난 2월 중순 관련 취약점에 대한 정보를 벤더 측에서 알려주고 해결책을 논의하려고 노력했다. 하지만 W사는 대표 메일로 제보를 했지만 연락이 안됐고 L사는 문제점 해결을 위한 아무런 답변이나 대책을 제시하지 않았다. 또 K사의 경우 보안팀의 문제 해결 노력은 있었으나 보안 문제를 해결하는 절차와 정책이 체계적이지 못해 아직 문제 해결을 하지 못한 상태다.
이런 취약점으로 해외에서도 이미 심각한 보안사고가 발생한 바 있고 국내에도 심각한 보안 문제가 발생할 수 있어 기업들의 보다 적극적인 보안인식이 필요함에도 불구하고 안타까운 상황이 아닐 수 없다.
POC Security 관계자는 “화이트해커의 연구 결과물이지만 취약점 정보는 언젠가는 공유될 수 있는 상황이다. 이런 정보들은 악의적 해커도 알 수 있기 때문에 국내 기업들의 대처가 필요한데도, 국내 기반 시스템을 제공하는 ISP와 데이터 저장장치 업체들이 이런식으로 무책임한 행동을 하는 것은 이해할 수 없다”고 우려했다.
ISP들이 제공하는 라우터와 같은 제품의 경우 다수의 가정과 기업에서 사용하고 있어 보안 취약점이 존재할 경우 큰 파장을 가져올 수 있다. 반드시 일정 수준의 보안 점검 절차를 거친 후 공급되도록 해야 한다.
또 보안 취약점 정보를 전달 받았으나 합리적이고도 즉각적인 보안대책 수립 절차를 세우지 않는 기업에 대해서는 이로 인해 피해가 발생 할 경우 이에 대한 엄격한 법적 처벌 조항을 도입해 적용하는 것도 필요하다.
더불어 자체 보안 취약점 분석 및 해결 능력이 없는 기업의 경우 버그바운티 프로그램을 운영하는 것도 적극 고려해야 한다.
◇해커, 제로콘에서 이번 취약점에 대해 상세 공개 예정
한편 이번 한국 라우터, TR-069 서버 NAS 장비 등의 취약점을 연구한 해커는 오는 4월 13일~14일 개최되는 POC Security 주최 비공개 국제 해킹 컨퍼런스 ‘Zer0Con’(제로콘. zer0con.org)에서 이번 취약점에 대한 상세한 발표를 진행할 예정이다.
그는 이번 발표에서 네트워크 프로토콜, 라우터, 스위치, 카메라, NAS 등의 장비, TR-069 서버 등의 취약점을 찾고 공격하는 방법에 대해 설명하고, 이번에 국내 ISP 업체들이 방치해왔던 제로데이 취약점들에 대해서도 발표할 예정이다.
★정보보안 대표 미디어 데일리시큐!★
