.gif)
공유기 해킹에 무딘 사용자들...사용자 보안의식 개선부터
[보안뉴스 민세아] 공유기 보안 강화를 위한 정부와 공유기 제조사들의 노력이 계속되고 있는 가운데 공유기 보안 강화 대책에 대한 일부 사용자들의 불만이 속출하면서 보안의식 개선에 있어 아직 갈 길이 멀다는 것을 보여주고 있다.
지난해 미래창조과학부(이하 미래부)는 통신사, 공유기 제조업체, 한국인터넷진흥원(이하 KISA)과 함께 공유기 보안 강화대책을 마련해 추진했다. 공유기를 대상으로 한 디도스(DDoS) 공격이나 개인정보 유출 등의 보안사고를 막기 위해 ‘공유기 취약점 신고 포상제(이하 신고 포상제)’를 국내 공유기 제조사 및 유통사 대상으로 운영하는 등 보안이슈 해결에 적극 나선 것.
해당 신고 포상제에서 접수된 공유기 취약점들은 KISA에서 확인해 해당 공유기 제조사에 보완 조치를 요청하고, 이행 여부를 지속적으로 점검해 왔다.
한 공유기 제조사는 KISA의 권고사항을 받아들여 관리자 아이디, 비밀번호 설정과 와이파이 비밀번호에 특수문자를 포함해 8자리 이상으로 설정을 강제하는 내용으로 펌웨어를 업그레이드했다. 이 과정에서 문제가 불거졌다. 이렇게 보안 설정을 강화한 제조사에 일부 사용자들이 불만을 토로했다.
해당 업체의 공유기를 판매하는 한 쇼핑몰 웹사이트에는 해당 공유기 펌웨어 업그레이드를 비난하는 글이 연이어 올라왔다. “공유기 관리자 계정에 암호를 강제하는 것도 불편한데, 와이파이에 암호를 강제하는 것은 너무 불편하다. 왜 해달라고 하지도 않은 짓을 하느냐”는 것이다.
해당 공유기를 사용하기가 불편해 앞으로 해당 제조사의 공유기를 사용하지 않겠다는 이용자들도 다수 있었다. 또 다른 이용자는 “누가 내 공유기에 접속해서 내 데이터를 쓰든 말든 상관없다. 나는 내 공유기에 비밀번호를 걸고 싶지 않고, 무선보안도 거부한다. 펌웨어를 다운그레이드 하는 방법이나 알려달라”고 댓글을 달았다.
이러한 사용자들의 입장은 ‘내가 구입한 공유기는 내 것인데, 국가가 왜 개인의 공유기 보안까지 통제하려 하느냐, 고작 가정집 공유기를 누가 해킹하겠느냐, 왜 요청하지도 않은 짓을 해서 불편하게 하느냐’는 것이다.
이와 관련 해당 공유기 업체 관계자는 “근래 보안성이 취약한 공유기 때문에 악성코드 및 파밍 등으로 공격당해 공유기가 파손되거나 제 기능을 발휘하지 못하는 사례가 발생되고 있다. 당사 제품에서도 올해 파밍 공격으로 인한 문제를 일으킨 건들이 몇 차례 있었다”며 펌웨어 업그레이드 이유를 밝혔다.
또한, 그는 “보안패치 등의 반영은 KISA 정책이기도 하지만 새로 추가된 보안설정 페이지는 공유기를 최초 설치 시 사용자가 직접 보안 설정을 한번에 할 수 있도록 별도 구성된 것이며, 이점은 KISA의 정책과는 무관하다. 실제로 타사 공유기의 경우 출시때 관리자 보안키, 무선 보안키가 세팅되어 나오거나 별도 설정페이지가 리다이렉션되는 방식으로 제공되고 있다”며 사용자들의 양해를 구했다.
이러한 사례는 공유기 보안위협의 심각성에 대한 사용자들의 인식이 높지 않다는 점을 상징적으로 대변하고 있다. 모든 공유기 사용자가 이러한 입장은 아니겠지만 ‘내 공유기가 해킹당하든 말든 상관없다’는 식의 태도는 문제가 있다는 얘기다.
공유기 해킹은 무선 네트워크에 연결된 모든 네트워크 기기가 감염될 수 있고, 감염된 공유기가 파밍용 악성코드 유포지로 전락할 수 있다. 공유기 감염을 더 이상 개인만의 문제로 생각할 수 없는 이유다. 또한, 공유기가 감염되면 사용자의 금융정보 등 유출된 민감 개인정보가 2차 범죄에 악용될 수 있고, 인터넷 속도가 느려지거나 접속이 끊기는 등 부차적인 문제도 발생할 수 있다.
실제로 지난 2014년 11월에는 SK브로드밴드와 LG유플러스가 디도스 공격으로 인해 약 1시간 가량 인터넷 접속이 마비된 적이 있었다. 악성코드에 감염돼 디도스 공격에 이용된 1500여 대의 사설 공유기들은 원격 네트워크 접속 포트가 열려 있고, 관리자 아이디와 비밀번호를 공장 출하상태 그대로 사용했던 것으로 알려졌다.
사물인터넷(IoT) 시대가 다가오면서 무선 네트워크 보안이 더욱 중요해지고 있다. 이 가운데서도 핵심 기기인 공유기를 대상으로 국가 차원에서도 보안취약점을 최소화하기 위한 다양한 대책을 내놓고 있지만, 이보다 더 중요한 건 사용자들의 보안인식 개선이라는 지적이 피부에 더욱 와닿는 이유다.
[민세아 기자(boan5@boannews.com)]
[보안뉴스 민세아] 공유기 보안 강화를 위한 정부와 공유기 제조사들의 노력이 계속되고 있는 가운데 공유기 보안 강화 대책에 대한 일부 사용자들의 불만이 속출하면서 보안의식 개선에 있어 아직 갈 길이 멀다는 것을 보여주고 있다.
지난해 미래창조과학부(이하 미래부)는 통신사, 공유기 제조업체, 한국인터넷진흥원(이하 KISA)과 함께 공유기 보안 강화대책을 마련해 추진했다. 공유기를 대상으로 한 디도스(DDoS) 공격이나 개인정보 유출 등의 보안사고를 막기 위해 ‘공유기 취약점 신고 포상제(이하 신고 포상제)’를 국내 공유기 제조사 및 유통사 대상으로 운영하는 등 보안이슈 해결에 적극 나선 것.
해당 신고 포상제에서 접수된 공유기 취약점들은 KISA에서 확인해 해당 공유기 제조사에 보완 조치를 요청하고, 이행 여부를 지속적으로 점검해 왔다.
한 공유기 제조사는 KISA의 권고사항을 받아들여 관리자 아이디, 비밀번호 설정과 와이파이 비밀번호에 특수문자를 포함해 8자리 이상으로 설정을 강제하는 내용으로 펌웨어를 업그레이드했다. 이 과정에서 문제가 불거졌다. 이렇게 보안 설정을 강화한 제조사에 일부 사용자들이 불만을 토로했다.
해당 업체의 공유기를 판매하는 한 쇼핑몰 웹사이트에는 해당 공유기 펌웨어 업그레이드를 비난하는 글이 연이어 올라왔다. “공유기 관리자 계정에 암호를 강제하는 것도 불편한데, 와이파이에 암호를 강제하는 것은 너무 불편하다. 왜 해달라고 하지도 않은 짓을 하느냐”는 것이다.
해당 공유기를 사용하기가 불편해 앞으로 해당 제조사의 공유기를 사용하지 않겠다는 이용자들도 다수 있었다. 또 다른 이용자는 “누가 내 공유기에 접속해서 내 데이터를 쓰든 말든 상관없다. 나는 내 공유기에 비밀번호를 걸고 싶지 않고, 무선보안도 거부한다. 펌웨어를 다운그레이드 하는 방법이나 알려달라”고 댓글을 달았다.
이러한 사용자들의 입장은 ‘내가 구입한 공유기는 내 것인데, 국가가 왜 개인의 공유기 보안까지 통제하려 하느냐, 고작 가정집 공유기를 누가 해킹하겠느냐, 왜 요청하지도 않은 짓을 해서 불편하게 하느냐’는 것이다.
이와 관련 해당 공유기 업체 관계자는 “근래 보안성이 취약한 공유기 때문에 악성코드 및 파밍 등으로 공격당해 공유기가 파손되거나 제 기능을 발휘하지 못하는 사례가 발생되고 있다. 당사 제품에서도 올해 파밍 공격으로 인한 문제를 일으킨 건들이 몇 차례 있었다”며 펌웨어 업그레이드 이유를 밝혔다.
또한, 그는 “보안패치 등의 반영은 KISA 정책이기도 하지만 새로 추가된 보안설정 페이지는 공유기를 최초 설치 시 사용자가 직접 보안 설정을 한번에 할 수 있도록 별도 구성된 것이며, 이점은 KISA의 정책과는 무관하다. 실제로 타사 공유기의 경우 출시때 관리자 보안키, 무선 보안키가 세팅되어 나오거나 별도 설정페이지가 리다이렉션되는 방식으로 제공되고 있다”며 사용자들의 양해를 구했다.
이러한 사례는 공유기 보안위협의 심각성에 대한 사용자들의 인식이 높지 않다는 점을 상징적으로 대변하고 있다. 모든 공유기 사용자가 이러한 입장은 아니겠지만 ‘내 공유기가 해킹당하든 말든 상관없다’는 식의 태도는 문제가 있다는 얘기다.
공유기 해킹은 무선 네트워크에 연결된 모든 네트워크 기기가 감염될 수 있고, 감염된 공유기가 파밍용 악성코드 유포지로 전락할 수 있다. 공유기 감염을 더 이상 개인만의 문제로 생각할 수 없는 이유다. 또한, 공유기가 감염되면 사용자의 금융정보 등 유출된 민감 개인정보가 2차 범죄에 악용될 수 있고, 인터넷 속도가 느려지거나 접속이 끊기는 등 부차적인 문제도 발생할 수 있다.
실제로 지난 2014년 11월에는 SK브로드밴드와 LG유플러스가 디도스 공격으로 인해 약 1시간 가량 인터넷 접속이 마비된 적이 있었다. 악성코드에 감염돼 디도스 공격에 이용된 1500여 대의 사설 공유기들은 원격 네트워크 접속 포트가 열려 있고, 관리자 아이디와 비밀번호를 공장 출하상태 그대로 사용했던 것으로 알려졌다.
사물인터넷(IoT) 시대가 다가오면서 무선 네트워크 보안이 더욱 중요해지고 있다. 이 가운데서도 핵심 기기인 공유기를 대상으로 국가 차원에서도 보안취약점을 최소화하기 위한 다양한 대책을 내놓고 있지만, 이보다 더 중요한 건 사용자들의 보안인식 개선이라는 지적이 피부에 더욱 와닿는 이유다.
[민세아 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
