中 “D-LINK·Cisco·Linksys·Netgear·Tenda 라우터에 백도어 존재”

[보안뉴스 온기홍=중국 베이징] 중국에서 사용되는 유명 브랜드들의 유무선 공유기(라우터·Router)에서 관리자 권한을 탈취해 시스템에 접근하게 하는 악성 프로그램인 백도어(Backdoor)가 내장돼 있는 등 보안취약점이 존재하는 것으로 밝혀졌다.

중국 관영매체들은 국가인터넷응급센터(CNCERT)의 최근 발표 내용을 인용해 국내외 유명 네트워크 장비 제조회사가 출시한 일부 라우터에 백도어 취약점이 존재하며, 해커가 이런 라우터를 원격 제어함으로써 인터넷 안전에 해를 끼칠 수 있다고 일제히 전했다.

국가인터넷응급센터가 자체 운영하는 국가정보안전취약점공유플랫폼(CNVD)의 분석·검증 결과, D-LINK, Cisco, Linksys, Netgear, Tenda 등 유명 네트워크 장비업체가 내놓은 일부 라우터에 백도어 취약점이 있는 것으로 밝혀졌다. 이들 일부 라우터는 기업용 또는 개인용 제품들이다.



▲ 중국 국영방송인 CCTV가 지난달 30일 유명 네트워크 설비 업체의 공유기에 취약점이 존재해 해커들로부터 공격을 받을 수 있다고 보도한 화면.
이와 관련 먼저 Cisco와 Netgear, Linksys가 내놓은 여러 라우터 제품에는 TCP 32764 포트 백도어 취약점(일련번호: CNVD-2014-00513, CNVD-2014-00243, CNVD-2014-00264)이 존재하는 것으로 밝혀졌다고 국가인터넷응급센터는 밝혔다.

공격자는 이 포트를 통해 설비에 접속하고 관리자 권한으로 설비에서 시스템 명령을 내려 제어권을 얻게 된다고 센터는 설명했다. 공업정보화부 산하 통신연구원도 최근 Cisco와 Linksys 설비 백도어 취약점(CNVD-2014-00243)의 일부 제품에 대해 검증 작업을 진행했다.

또한 Tenda가 출시한 무선 공유기 ‘W330R’와 ‘W302R’의 최신 버전과 ‘Medialink MWN-WAPR150N’에도 백도어(CNVD-2013-13948)가 있는 것으로 확인됐다고 센터는 밝혔다.

이 취약점은 UDP 데이터 파일을 통해 이용하게 되는데, 데이터 파일(문자 부호 ‘w302r_mfg’로 시작)는 취약점을 통해 각종 명령을 실행한다. 또 루트(root) 권한으로 임의의 명령을 실행하고, 설비 제어권을 손에 넣는다.

넷기어(NetGear)가 공급하는 여러 공유기에서도 백도어 취약점(CNVD-2013-15013)가 발견됐다. 공격자는 이 백도어를 이용해 인접 네트워크 안에서 공유기의 루트 권한을 얻게 되고 트로이목마를 삽입해 사용자의 공유기를 제어하게 된다고 국가인터넷응급센터는 설명했다.

이와 함께 D-LINK가 출시한 일부 공유기에서도 백도어 취약점(CNVD-2013-13777)이 발견됐는데 공격자는 ‘User-Agent’를 ‘xmlset_roodkcableoj28840ybtide’로 바꿔서 공유기 웹 인증 기제를 피해 백그라운드 관리 권한을 얻는다. 이어 공격자는 하드웨어 업그레이드 방식을 통해 백도어를 삽입해 공유기 제어권을 획득하게 된다.

국가인터넷응급센터는 이들 취약점에 대해 등급을 매기면 ‘고위험’급이라고 강조했다. 주요 공격 경로는 인접 네트워크(공유기와 동일한 LAN 내) 공격이며, 이 중 일부 제품은 내부 ACL 제어를 제대로 하지 못하기 때문에 인터넷 상에서 공격을 개시하는 것으로 밝혀졌다.

국가인터넷응급센터는 “해커들은 백도어 취약점을 이용해 라우터 제품에 대해 원격 제어권을 확보한 뒤, DNS를 공격하고 민감한 정보(온라인 뱅킹·전자우편·메신저·SNS 비밀번호 등)를 훔치는데다 온라인 피싱 행위를 함으로써 사용자의 온라인 거래와 데이터 저장과 관련해 안전을 위협할 수 있다”며 “이는 유관 제품들까지 언제든 안전 ‘지뢰’로 변하게 한다”고 밝혔다.

실제 공격자가 백도어를 이용해 원격 제어권을 확보한 일부 D-LINK 라우터의 경우, 인터넷상에서 대응하는 IP 주소는 적어도 1만 2,000개에 달해 많은 사용자들에게 영향을 끼치는 것으로 확인됐다고 센터 측은 밝혔다.

국가인터넷응급센터는 CNVD를 통해 5개사에 이 같은 위협 상황을 통보하는 한편, 일반 사용자에게도 사전 경보 정보를 전했다. 이와 관련, 최근 시스코 측은 일부 제품에 대한 해결 방안을 제공했다.

이에 대해 D-LINK 중국법인은 최근 발표한 성명에서 “백도어 문제가 있다고 전해진 일부 라우터에 대해 이미 지난해 10월 말 보안 패치를 내놓았다”며 “문제의 제품을 중국 시장에서 판매하지 않았다”고 해명했다.

또 D-LINK 중국법인 측은 최근 중국 시장에서 판매하고 있는 동종 제품은 완전히 새로운 운영체계를 사용했기 때문에 최근 드러난 백도어 취약점의 영향을 받지 않는다고 덧붙였다.

▲ 중국의 국가인터넷응급센터가 최근 분석을 통해 백도어 취약점 영향을 받는 것으로 확인됐다고 발표한 공유기 제품 모델.


한편 중국 국가인터넷응급센터 측은 “사용자들이 평소 라우터에 주의를 기울이지 않지만, 라우터의 안전 여부는 네트워크의 정상적 운행에 영향을 끼칠 뿐 아니라 기업과 개인의 정보 유출을 초래할 수 있다”며 사용자들에게 주의를 당부했다.

중국 네트워크 설비 업체들도 사용자들에게 “자모, 숫자, 부호가 혼합된 비밀번호를 만들어 공유기 보안 등급을 강화하는 게 바람직하다”고 강조했다.
[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>