• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국내 현실 도외시한 공유기 보안대책, 실효성 있나? 2015.04.29

정부 발표 ‘공유기 보안 강화대책’, 현 상황 충분히 고려했나?  

공유기 제조사 “제조공정 바꿔야 하는데 여건상 쉽지 않아”


[보안뉴스 민세아] 지난해 11월 29일 발생한 SK브로드밴드 디도스 공격은 악성코드에 감염된 사설공유기가 악용된 것으로 드러났다. 게다가 지난해 4월부터 최근까지 공유기 DNS 변조를 통한 해킹사고가 연이어 발생하면서 공유기 보안대책 마련이 절실해졌다.



이에 미래부는 지난 1월부터 통신사(ISP)와 공유기 제조업체 및 한국인터넷진흥원(KISA)과 함께 공유기 해킹 대책회의를 몇 차례 열고 ‘공유기 보안 강화대책’을 마련했다.


공유기 해킹은 주로 비밀번호가 설정되지 않은 원격 제어 포트를 통해 해커가 침입하거나 사용자가 악성 스크립트가 삽입된 웹사이트에 접속했을 때 사용자 모르게 설치된 악성코드가 공유기의 제어권을 획득한 후 원격 제어 포트에 해커가 들어갈 수 있게 만드는 방식이 주로 사용된다. 여기서 원격 제어 포트는 원격에서 컴퓨터를 사용하기 위해 외부에서 접수할 수 있도록 열어놓는 포트를 의미하는데, 이곳이 해커들의 집중 타깃이 되고 있다는 얘기다. 

이 때문에 미래부는 공유기 제조과정에서부터 보안성이 강화될 수 있도록 ‘공유기 제품 생산시 적용할 보안가이드’를 제시했다.


▲미래부에서 발표한 ‘공유기 제품 생산시 적용할 보안가이드’

 

이번에 마련된 가이드에 따르면, 공유기 사용자가 공유기의 모든 설정을 변경할 수 있는 관리자 페이지에 접속할 때 아이디와 비밀번호 없이는 접속할 수 없도록 하거나 제조시 제품마다 서로 다른 아이디와 비밀번호를 설정해 공유기를 제조해야 한다는 것이 주요 골자다. 


또한, 공유기의 관리자 페이지 및 무선 인증시 비밀번호를 설정하지 않으면 공유기를 사용할 수 없게 한다는 내용도 포함됐다.


그러나 한 공유기 제조업체 관계자는 “회의 당시 미래부에서 가이드라인을 제시하고, 그에 대한 홍보를 충분히 진행하겠다고 했으나 보도자료 이외에 이렇다 할 홍보가 없었다”며, “제대로 된 홍보도 없이 가이드라인에 맞춰 6월부터 출고하라는 내용을 전달 받았다”며 아쉬움을 나타냈다.


또한, “이러한 지침이 국내 공유기 제조사에만 해당하는 것이라면 사용자들은 아이디, 비밀번호를 일일이 입력해야 하는 불편함을 피하기 위해 해당 조항이 없는 외산 공유기 업체를 이용하려 할 것”이라는 우려를 표명했다.


또 다른 문제는 국내에 공유기 제조공장이 없어 추가·변경사항이 발생할 경우 해외 제조공장에 요청해 수정 생산해야 하는 상황이라는 점이다. 기존 공유기 제조과정에서 추가·변경 사항이 있을 경우 생산라인 자체가 바뀌기 때문에 한국의 특수 상황에 맞는 펌웨어를 요청하기도 쉽지 않다는 것.  


가능하다 하더라도 별도의 공정을 거치게 되면 단가가 올라가게 될 뿐만 아니라 동 시간대비 생산량도 절반 이상 줄어들기 때문에 대량생산하는 제조업체는 제조공정을 단숨에 바꾸기도 쉽지 않다는 게 문제다. 미래부 방침을 따르려다 되려 큰 손해를 입을 수 있기 때문에 고민이 많다는 것이 제조사 측의 입장이다.


취약점이 발견된 공유기에 대해 해당 제조업체가 펌웨어를 수정하는 대책도 현 상황을 제대로 고려하지 않은 것이라는 지적도 나왔다. 앞서 언급했던 것처럼 본사가 외국에 있고 한국에 지사를 둔 공유기 업체의 경우 펌웨어 수정을 본사에 요청하기도 힘들고, 펌웨어를 직접 수정할 수 있는 국내 공유기 제조업체도 몇 군데에 불과하다.


물론 모든 공유기 제조사들이 자체적인 펌웨어 수정 기술이 없는 것은 아니다. 일부 공유기 제조사는 애초 관리자 아이디와 비밀번호를 설정하지 않으면 공유기를 사용하지 못하게 하는 기술을 이미 개발해 6월부터 배포 예정인 것으로 알려졌다. 기존 공유기도 펌웨어 업데이트를 통해 이러한 기술을 적용할 수 있다.


미래부에서 발표한 가이드라인은 강제성이 없으며, 실태조사를 통해 제조업체들에게 권고하고 있는 상황이라는 게 미래부 측의 입장이다. 게다가 가이드라인을 따르지 않더라도 CE나 KCC 등의 인증을 받는 데 아무런 무리가 없다는 것. 이에 공유기 제조사들은 CE 등의 인증처럼 공유기 제조사 인증제도를 만들어 사고 발생시 소프트웨어를 즉각적으로 수정할 수 있는 능력을 갖추고 있는지 판단하는 것이 더 확실한 방법이라는 주장도 제기된다.


공유기 제조업체가 보안강화를 위해 주도적으로 할 수 있는 부분에는 한계가 있다. 그렇기 때문에 기술적, 정책적 측면에만 초점을 맞추기보다 정부와 통신사, 공유기 제조사가 함께 대국민 홍보를 통한 사용자 인식 제고에 적극 나서야 할 것으로 보인다. 

[민세아 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>