원격 통제 및 관리자 권하나 취득 등 치명적인 취약점
작년에 패치 완료되었으나 교육 목적으로 동영상까지 제작


[보안뉴스 문가용] LG의 오래된 NAS 제품에서 치명적인 보안 구멍이 여럿 발견되었다. 헝가리의 보안 전문업체인 서치랩(SEARCH-LAB)의 게르겔리 에베르하트(Gergely Eberhardt) 분석가는 LG의 N1A1 NAS 제품을 분석해 원격의 공격자들이 관리자 권한을 얻어낼 수 있게 해주는 취약점들을 발견했다고 밝혔다.

해당 제품은 공식 단종된 것으로 LG에서 더 이상 제조하지 않는 것으로 알려져 있다. 하지만 게르겔리 에베르하트에 의하면 아직 사용자가 한국과 미국, 독일과 네덜란드에 적지 않게 남아있다고 한다.

이번에 발견된 취약점들은 사용자들끼리 쉽게 영상과 음악, 사진을 공유할 수 있도록 해주는 패밀리캐스트(FamilyCast)라는 기능과 관련이 있다. 에베르하트는 “PHP 스크립트들 중 세션 확인을 하는 스크립트가 없었다”며 “이 때문에 원격에서 인증 없이 패밀리캐스트를 통해 파일을 공유하는 것이 가능해진다”고 설명했다.

또한 패밀리캐스트에는 SQL 인젝션 취약점도 있어 공격자가 사용자 이름과 암호 해시를 탈취할 수 있게 된다고도 짚어냈다. “그 외에도 숨겨진 업로더가 있어 시스템 파일들도 업로드와 다운로드가 가능합니다.” 게다가 암호 해시와 같이 민감한 정보들도 로그 파일에 저장되는 결함도 발견됐다.

서치랩은 이런 다양한 취약점들에 대한 동영상을 제작해 공개했고, 더불어 이미 지난 3월에 발견한 사실이라고 밝혔다. LG가 패치를 배포하고 사용자들이 패치를 적용할 때까지 기다린 것. “꽤 지난 일이지만 동영상으로까지 해서 공개하는 건 NAS 사용자들과 제조사들이 보안을 위해 지켜야 할 일들이 있어 보였기 때문입니다”라고 에베르하트는 설명했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)