기능 이상으로 민원 들어와 원격 점검 후 포트를 닫지 않아
사물인터넷 보안 경각심 높아졌다 하지만 아직 이런 실수 빈번

[보안뉴스 문가용 기자] 동남아권의 통신 거인인 싱텔(Singapore Telecommunications Limited)이 약 1천여 대의 라우터를 실수로 공개해 잠재적 공격에 노출시킨 일이 발생했다. 최근 싱텔이 일부 라우터들에서 발생한 문제로 민원을 받아 원격 유지 관리 서비스를 진행하다가 생긴 일이다. 혹 떼려다 혹 붙인 꼴.


이를 발견한 보안 업체 뉴스카이 시큐리티(NewSky Security)는 “문제의 근본은 포트 포워딩(port forwarding)이었다”고 진단한다. “싱텔 고객 서비스 담당자가 와이파이 문제를 해결하기 위해 포트 포워딩을 활성화시켰습니다. 그리고 문제를 해결하고 나서, 포트 닫는 것을 깜빡 잊어버린 것입니다.” 뉴스카이의 수석 보안 연구원인 안킷 아눕하브(Ankit Anubhav)의 설명이다.

뉴스카이 시큐리티는 이 사실을 싱가포르 침해대응센터(SingCERT)에 급히 알리고 싱텔과 함께 해당 문제를 해결하기 위해 나섰다. 싱가포르 침해대응센터의 부센터장인 더글라스 문(Douglas Mun)은 “싱텔은 10,000번 포트에 대한 포트 포워딩 기능을 비활성화시켰다”고 발표하며 “앞으로도 문제 점검을 위한 포트 포워딩 기능 활성화 이후 이를 비활성화 시키는 걸 놓치지 않게 하기 위한 대책을 마련 중에 있다”고 말했다.

싱텔 측은 아직 이 사안에 대한 공식 입장을 발표하고 있지 않고 있으나, 뉴스카이 시큐리티에 의하면 이번 사건으로 공격에 노출된 라우터는 싱텔이 직접 브랜딩 한 와이파이 기가빗 라우터(Wifi Gigabit Router) 모델이라고 한다. 현재는 문제가 전부 해결된 상태다.

포트가 열려 있으면 라우터들은 여러 가지 공격에 노출된다. 아눕하브는 “라우터가 해킹 당하거나 노출되면 공격자가 라우터의 환경설정을 조작해 트래픽의 흐름을 조정할 수 있게 된다”며 “그 외에도 데이터 패킷을 모니터링하거나 멀웨어를 심는 것도 가능하다”고 설명했다.

또한 “미라이 등의 IoT 봇넷이 등장한 이후로 보안에 충실하지 않은 라우터와 IoT 장비에 대한 경각심이 높아졌다고는 하지만 이런 류의 작은 실수로 인한 거대 사고가 아직까지 너무 흔하게 일어난다”고 덧붙였다. “이번 사고만 하더라도, 해당 기기들에 대한 완전한 통제권을 가져올 수 있었습니다. 포트가 열려 있었기도 하지만, 장비에 인증 장치가 전무했기 때문이기도 합니다. 로그인 옵션이 전부 비활성화 되어 있더군요.”

이러한 현상을 발견한 아눕하브는 쇼단 검색 엔진을 통해 10000번 포트를 검색해 취약한 모든 기기들을 찾아낼 수 있었으며, 더불어 관리자 계정으로 접속하는 데에도 성공했다고 한다. 거기서부터는 공격자가 하고 싶은 일을 전부 할 수 있게 되었다고 한다. “네트워크 트래핑의 스누핑부터 시작해 네트워크를 통한 광범위한 감염까지, 전부 자유롭게 할 수 있죠.”

라우터는 해커들에게 있어 늘 상위권에 있는 공격 목표다. 라우터 침해에 성공하면 멀웨어 심기는 물론 DNS 하이재킹을 통한 공격도 실시할 수 있으며, 라우터 장비 대부분 펌웨어가 오래되어 있거나 비밀번호가 쉽게 설정되어 있어 공격이 쉽기까지 하기 때문이다.

아눕하브는 싱텔 라우터 외에도 이번 달 초, 장비 제조사인 데이터콤(Datacom)에서 만든 라우터 5000개에서 텔넷 비밀번호가 없는 상태로 유지되고 있는 것을 발견하기도 했다. 브라질의 대형 통신사인 Oi 인터넷(Oi Internet)에서 제공하고 있던 라우터들이었다.

또한 지난 주 FBI는 VPN필터(VPNFilter)라고 하는 대규모 IoT 봇넷에 대한 경고를 발표하기도 했다. VPN필터에 감염되기 쉽거나 감염된 라우터들의 제조사들은 링크시스(Linksys), 마이크로틱(MikroTik), 넷기어(Netgear), TP링크(TP-Link) 등이었다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>