By LILY HAY NEWMAN, WIRED US
사용하던 스마트폰이나 노트북을 판매하거나 타인에게 주기 전 데이터를 삭제해야 한다는 사실을 알 것이다. 어찌 되었든 그동안 사용한 기기에는 사용자가 직접 관리해야 하는 귀중한 개인 정보가 많다. 기업과 기관도 마찬가지로 PC, 서버, 네트워크 장비 등을 사용하다가 처분하기 전 정보를 삭제해 문제가 될 만한 용도로 악용될 일이 발생하지 않도록 해야 한다. 하지만 샌프란시스코에서 개최된 RSA 보안 컨퍼런스(RSA security conference)에서 보안 기업 이셋(ESET) 연구팀이 테스트 목적으로 구매한 중고 기업용 라우터 절반 이상이 기존 사용자의 정보를 그대로 손상되지 않은 상태에서 사용할 수 있는 것으로 확인했다. 중고 라우터에는 이전 소유 기업의 네트워크 정보와 민감 정보, 기밀 데이터 등이 가득 보관되었다.
연구팀은 주요 공급사인 시스코(Cisco), 포티넷(Fortinet), 주니퍼 네트웍스(Juniper Networks)의 다른 중고 라우터 모델 18개를 구매했다. 그중 9개는 기존 소유 기업이 데이터를 그대로 남겨 두었으며, 데이터 모두 접근할 수 있었다. 반대로 데이터가 제대로 삭제된 기기는 단 5대이다. 2대는 민감 데이터를 암호화했으며, 1대는 정보에 접근할 수 없었다. 나머지 1대는 다른 기기를 복제했다.
데이터가 보호되지 않은 기기 9대 모두 기업 VPN이나 다른 보안 네트워크 통신 서비스의 민감 정보, 해시된 루트 관리자 패스워드를 포함한 채로 데이터를 보관한 것으로 확인됐다. 또한, 이전 소유 기업이나 라우터의 운영자 정보를 충분히 파악할 수 있는 식별 데이터를 포함했다.
데이터가 보호되지 않은 장비 9대 중 8대는 라우터 간 인증 키와 라우터의 기존 소유 기관이 사용한 특정 애플리케이션 연결 방식을 담은 정보를 포함했다. 4대는 신뢰할 수 있는 협력사나 지원 기관, 기타 제3의 기관 등 다른 기관의 네트워크와의 연결을 위한 민감 정보를 노출했다. 3대는 기관이 외부 기관으로서 기존 소유주의 네트워크에 연결할 방법을 다룬 정보를 담았다. 두 대는 고객 데이터를 라우터에 직접 포함하였다.
이번 연구를 이끈 이셋 보안 연구원 카메론 캠프(Cameron Camp)는 “핵심 라우터는 기관의 모든 요소를 다룬다. 따라서 연구 당시 구매한 중고 라우터를 이용해 기존 소유 기관의 애플리케이션과 특성을 모두 알 수 있다. 기존 라우터 소유 기관을 얼마든지 사칭하기 쉽다”라며, “연구 도중 살펴본 중고 라우터 중 하나는 대규모 회계 기업의 권한 정보를 보유해, 해당 기업과의 협력 관계인 기업에 직접 연결할 수 있는 기기도 발견됐다. 연구 도중 매우 우려스러웠던 부분이다. 다수 기관의 보안 관리에 도움을 줄 연구 목적으로 중고 라우터의 데이터를 살펴보았으나 다른 곳에서 유통 중인 중고 라우터의 상황은 어떨까?”라고 말했다.
중고 라우터가 저장한 다량의 데이터는 사이버 범죄 조직과 심지어 국가 산하 해커 세력에도 매우 귀중한 데이터가 될 수 있다. 기업 데이터 로그인, 네트워크 신원 정보, 암호화 키 모두 다크웹 시장과 사이버 범죄 세력 포럼에서 거래 가치가 높다. 사이버 공격 세력은 신원 탈취와 기타 사기 범죄에 악용할 목적으로 중고 라우터에 남아있는 개인 정보도 판매할 수 있다.
랜섬웨어 공격을 개시할 의도로 정보 탈취 작전을 펼치든 감시 작전을 음모하든 기업 네트워크 운영 방식과 기관의 디지털 구조 모두 매우 귀중하다. 예를 들어, 라우터는 특정 기관의 구형 애플리케이션 버전이나 사이버 공격에 악용할 수 있는 취약점을 포함한 운영체제 운영 사실을 드러낸다. 결과적으로 해커가 개시할 수 있는 사이버 공격 전략 설계를 보여준다. 연구팀은 일부 라우터 장비에서 이전 소유주의 사무실 내 실제 건물 보안 관련 상세 정보도 발견했다.
중고 장비는 정가보다 저렴한 가격에 구매할 수 있으므로 사이버 범죄 세력이 중고 장비 구매 비용을 투자하여 접근할 만한 정보와 네트워크를 찾고는 직접 사이버 공격에 정보를 재사용하거나 판매할 수 있다. 이셋 연구팀은 연구 결과 공개 여부를 두고 논의했다고 밝혔다. 사이버 범죄 세력에게 새로운 공격 방식을 알리는 것을 원하지 않았기 때문이다. 그러나 중고 장비의 데이터 보관 문제 인식을 제기하는 것이 더 중요하다는 결론을 내렸다.
캠프 연구원은 “크게 우려한 사항 중 하나는 악의적인 세력이 중고 라우터를 사이버 공격에 이용하지 않더라도 대다수 해커의 불법 행위일 수도 있다는 점이다. 중고 라우터를 구매하여 기업 데이터를 손에 넣기 쉽고, 확실한 정보를 얻을 수 있기 때문이다”라고 설명했다.
연구팀이 조사한 라우터 18대는 실제 전 세계 중고 기기 시장에서 판매 중인 기업용 네트워크 장비 수백 대와 비교하면 매우 적은 수준이다. 하지만 다른 연구팀도 별도의 연구를 통해 이셋 연구팀과 같은 문제를 반복하여 확인했다.
사물인터넷(IoT) 보안 기업 레드 벌룬 시큐리티(Red Balloon Security) 엔지니어링 책임자 와이어트 포드(Wyatt Ford)는 “이베이와 여러 중고 매장에서 온라인으로 판매하는 모든 임베디드 기기를 구매한 뒤 디지털로 데이터를 삭제하지 않은 기기가 많다는 사실을 발견했다. 데이터를 삭제하지 않은 중고 기기는 공격자가 공격 대상을 지정하고, 공격을 개시할 때 악용할 수 있는 다량의 정보를 포함했다”라고 설명했다.
포드는 레드 벌룬 시큐리티 연구팀도 이셋 연구팀의 연구 결과와 같이 패스워드 및 각종 민감 정보, 개인 식별에 이용할 가능성이 있는 정보를 여럿 발견했다고 전했다. 사용자명과 구성 파일 등 일부 데이터는 암호화되지 않은 텍스트로 작성돼 손쉽게 접근할 수 있었다. 패스워드와 구성 파일은 종종 복잡한 암호화 해시로 저장하기 때문에 대부분 보호된 상태였다. 그러나 포드는 해시 데이터도 유출 위험성이 있다고 지적했다.
포드는 “기기에서 찾은 패스워드 해시를 얻고, 오프라인으로 해시 적용 상태를 해제했다. 패스워드 정보를 중고 기기에서 찾을 수 있다는 사실에 놀랄 것이다. 소스코드, 커밋 히스토리(commit history), 네트워크 구성, 라우팅 규정 등 피해가 발생할 일이 없을 것처럼 보이는 정보라도 기존 소유 기관 및 개인, 네트워크 구조를 추가로 파악하는 데 이용될 수 있다”라고 경고했다.
이셋 연구팀은 기관이 재판매용 엔터프라이스 기기 내 다량의 데이터 삭제가 가능하다고 주장하는 외부 기기 관리 기업, 전자 폐기물 처분 기업, 기기 데이터 삭제 전문 서비스 등에 연락해야 할 책임이 있다고 생각한다는 점을 지적했다. 하지만 실질적으로 외부 기업은 주장과 달리 중요한 데이터를 제대로 삭제하지 않는다. 캠프 연구원도 주목한 바와 같이 이미 주류 라우터 장비가 제공하는 암호화 및 보안 기능을 최대한 이용하여 데이터가 삭제되지 않은 기기 때문에 결과적으로 피해가 발생할 때, 그 여파를 완화할 수 있다고 전했다.
이셋 연구팀은 연구 목적으로 구매한 중고 라우터의 이전 소유 기관에 연락해, 처분한 기기에 기업의 중요한 데이터가 대거 보관된 사실을 경고했다. 일부 기업은 이셋 연구팀의 안내에 감사하다는 반응을 보였으나 연구팀의 경고를 무시하거나 연구팀이 발견한 보안 문제를 보고할 메커니즘을 제공하지 않는 기업도 있었다.
캠프 연구원은 “일부 기업에는 신뢰할 수 있는 채널을 사용하여 연락했다. 그러나 많은 기업에는 신뢰할 만한 채널로 연락하기 훨씬 어렵다는 사실을 알게 되었다. 매우 우려스러운 일이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
Used Routers Often Come Loaded With Corporate Secrets
사용하던 스마트폰이나 노트북을 판매하거나 타인에게 주기 전 데이터를 삭제해야 한다는 사실을 알 것이다. 어찌 되었든 그동안 사용한 기기에는 사용자가 직접 관리해야 하는 귀중한 개인 정보가 많다. 기업과 기관도 마찬가지로 PC, 서버, 네트워크 장비 등을 사용하다가 처분하기 전 정보를 삭제해 문제가 될 만한 용도로 악용될 일이 발생하지 않도록 해야 한다. 하지만 샌프란시스코에서 개최된 RSA 보안 컨퍼런스(RSA security conference)에서 보안 기업 이셋(ESET) 연구팀이 테스트 목적으로 구매한 중고 기업용 라우터 절반 이상이 기존 사용자의 정보를 그대로 손상되지 않은 상태에서 사용할 수 있는 것으로 확인했다. 중고 라우터에는 이전 소유 기업의 네트워크 정보와 민감 정보, 기밀 데이터 등이 가득 보관되었다.
연구팀은 주요 공급사인 시스코(Cisco), 포티넷(Fortinet), 주니퍼 네트웍스(Juniper Networks)의 다른 중고 라우터 모델 18개를 구매했다. 그중 9개는 기존 소유 기업이 데이터를 그대로 남겨 두었으며, 데이터 모두 접근할 수 있었다. 반대로 데이터가 제대로 삭제된 기기는 단 5대이다. 2대는 민감 데이터를 암호화했으며, 1대는 정보에 접근할 수 없었다. 나머지 1대는 다른 기기를 복제했다.
데이터가 보호되지 않은 기기 9대 모두 기업 VPN이나 다른 보안 네트워크 통신 서비스의 민감 정보, 해시된 루트 관리자 패스워드를 포함한 채로 데이터를 보관한 것으로 확인됐다. 또한, 이전 소유 기업이나 라우터의 운영자 정보를 충분히 파악할 수 있는 식별 데이터를 포함했다.
데이터가 보호되지 않은 장비 9대 중 8대는 라우터 간 인증 키와 라우터의 기존 소유 기관이 사용한 특정 애플리케이션 연결 방식을 담은 정보를 포함했다. 4대는 신뢰할 수 있는 협력사나 지원 기관, 기타 제3의 기관 등 다른 기관의 네트워크와의 연결을 위한 민감 정보를 노출했다. 3대는 기관이 외부 기관으로서 기존 소유주의 네트워크에 연결할 방법을 다룬 정보를 담았다. 두 대는 고객 데이터를 라우터에 직접 포함하였다.
이번 연구를 이끈 이셋 보안 연구원 카메론 캠프(Cameron Camp)는 “핵심 라우터는 기관의 모든 요소를 다룬다. 따라서 연구 당시 구매한 중고 라우터를 이용해 기존 소유 기관의 애플리케이션과 특성을 모두 알 수 있다. 기존 라우터 소유 기관을 얼마든지 사칭하기 쉽다”라며, “연구 도중 살펴본 중고 라우터 중 하나는 대규모 회계 기업의 권한 정보를 보유해, 해당 기업과의 협력 관계인 기업에 직접 연결할 수 있는 기기도 발견됐다. 연구 도중 매우 우려스러웠던 부분이다. 다수 기관의 보안 관리에 도움을 줄 연구 목적으로 중고 라우터의 데이터를 살펴보았으나 다른 곳에서 유통 중인 중고 라우터의 상황은 어떨까?”라고 말했다.
중고 라우터가 저장한 다량의 데이터는 사이버 범죄 조직과 심지어 국가 산하 해커 세력에도 매우 귀중한 데이터가 될 수 있다. 기업 데이터 로그인, 네트워크 신원 정보, 암호화 키 모두 다크웹 시장과 사이버 범죄 세력 포럼에서 거래 가치가 높다. 사이버 공격 세력은 신원 탈취와 기타 사기 범죄에 악용할 목적으로 중고 라우터에 남아있는 개인 정보도 판매할 수 있다.
랜섬웨어 공격을 개시할 의도로 정보 탈취 작전을 펼치든 감시 작전을 음모하든 기업 네트워크 운영 방식과 기관의 디지털 구조 모두 매우 귀중하다. 예를 들어, 라우터는 특정 기관의 구형 애플리케이션 버전이나 사이버 공격에 악용할 수 있는 취약점을 포함한 운영체제 운영 사실을 드러낸다. 결과적으로 해커가 개시할 수 있는 사이버 공격 전략 설계를 보여준다. 연구팀은 일부 라우터 장비에서 이전 소유주의 사무실 내 실제 건물 보안 관련 상세 정보도 발견했다.
중고 장비는 정가보다 저렴한 가격에 구매할 수 있으므로 사이버 범죄 세력이 중고 장비 구매 비용을 투자하여 접근할 만한 정보와 네트워크를 찾고는 직접 사이버 공격에 정보를 재사용하거나 판매할 수 있다. 이셋 연구팀은 연구 결과 공개 여부를 두고 논의했다고 밝혔다. 사이버 범죄 세력에게 새로운 공격 방식을 알리는 것을 원하지 않았기 때문이다. 그러나 중고 장비의 데이터 보관 문제 인식을 제기하는 것이 더 중요하다는 결론을 내렸다.
캠프 연구원은 “크게 우려한 사항 중 하나는 악의적인 세력이 중고 라우터를 사이버 공격에 이용하지 않더라도 대다수 해커의 불법 행위일 수도 있다는 점이다. 중고 라우터를 구매하여 기업 데이터를 손에 넣기 쉽고, 확실한 정보를 얻을 수 있기 때문이다”라고 설명했다.
연구팀이 조사한 라우터 18대는 실제 전 세계 중고 기기 시장에서 판매 중인 기업용 네트워크 장비 수백 대와 비교하면 매우 적은 수준이다. 하지만 다른 연구팀도 별도의 연구를 통해 이셋 연구팀과 같은 문제를 반복하여 확인했다.
사물인터넷(IoT) 보안 기업 레드 벌룬 시큐리티(Red Balloon Security) 엔지니어링 책임자 와이어트 포드(Wyatt Ford)는 “이베이와 여러 중고 매장에서 온라인으로 판매하는 모든 임베디드 기기를 구매한 뒤 디지털로 데이터를 삭제하지 않은 기기가 많다는 사실을 발견했다. 데이터를 삭제하지 않은 중고 기기는 공격자가 공격 대상을 지정하고, 공격을 개시할 때 악용할 수 있는 다량의 정보를 포함했다”라고 설명했다.
포드는 레드 벌룬 시큐리티 연구팀도 이셋 연구팀의 연구 결과와 같이 패스워드 및 각종 민감 정보, 개인 식별에 이용할 가능성이 있는 정보를 여럿 발견했다고 전했다. 사용자명과 구성 파일 등 일부 데이터는 암호화되지 않은 텍스트로 작성돼 손쉽게 접근할 수 있었다. 패스워드와 구성 파일은 종종 복잡한 암호화 해시로 저장하기 때문에 대부분 보호된 상태였다. 그러나 포드는 해시 데이터도 유출 위험성이 있다고 지적했다.
포드는 “기기에서 찾은 패스워드 해시를 얻고, 오프라인으로 해시 적용 상태를 해제했다. 패스워드 정보를 중고 기기에서 찾을 수 있다는 사실에 놀랄 것이다. 소스코드, 커밋 히스토리(commit history), 네트워크 구성, 라우팅 규정 등 피해가 발생할 일이 없을 것처럼 보이는 정보라도 기존 소유 기관 및 개인, 네트워크 구조를 추가로 파악하는 데 이용될 수 있다”라고 경고했다.
이셋 연구팀은 기관이 재판매용 엔터프라이스 기기 내 다량의 데이터 삭제가 가능하다고 주장하는 외부 기기 관리 기업, 전자 폐기물 처분 기업, 기기 데이터 삭제 전문 서비스 등에 연락해야 할 책임이 있다고 생각한다는 점을 지적했다. 하지만 실질적으로 외부 기업은 주장과 달리 중요한 데이터를 제대로 삭제하지 않는다. 캠프 연구원도 주목한 바와 같이 이미 주류 라우터 장비가 제공하는 암호화 및 보안 기능을 최대한 이용하여 데이터가 삭제되지 않은 기기 때문에 결과적으로 피해가 발생할 때, 그 여파를 완화할 수 있다고 전했다.
이셋 연구팀은 연구 목적으로 구매한 중고 라우터의 이전 소유 기관에 연락해, 처분한 기기에 기업의 중요한 데이터가 대거 보관된 사실을 경고했다. 일부 기업은 이셋 연구팀의 안내에 감사하다는 반응을 보였으나 연구팀의 경고를 무시하거나 연구팀이 발견한 보안 문제를 보고할 메커니즘을 제공하지 않는 기업도 있었다.
캠프 연구원은 “일부 기업에는 신뢰할 수 있는 채널을 사용하여 연락했다. 그러나 많은 기업에는 신뢰할 만한 채널로 연락하기 훨씬 어렵다는 사실을 알게 되었다. 매우 우려스러운 일이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
Used Routers Often Come Loaded With Corporate Secrets
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다