“화웨이 라우터를 해킹하는 건 너무 쉬운 일이다. 백도어를 설치할 필요도 없다.”
한 보안전문가가 화웨이 라우터 장비의 보안취약점에 대해 한 발언이다. 펠릭스 린드너란 보안컨설턴트는 ‘해크인더박스’란 보안컨퍼런스에 참석해 이같이 말했다.
11일(현지시간) 외신에 따르면, 펠릭스 린드너는 컨퍼런스 현장에서 통신장비업체 화웨이 라우터와 통신사 장비에 접속권한을 획득하는 것이 얼마나 쉬운지, 백도어 프로그램이 필요없는 이유가 무엇인지 설명했다.
그는 “(화웨이 라우터에)백도어가 있는지 모르지만, 이미 너무 많은 취약점이 있기 때문에 쓸 필요가 없다”라고 말했다. 백도어는 보안 기능을 우회해 일반적인 인증을 거쳐 원격 접속해 접근권한을 취득하는 행동을 들키지 않고 행하는 것이다.
린드너는 백도어를 사용할 필요도 없다는 발언의 근거로 '라우터 운영 코드'를 들었다. 그는 현재 전세계에서 널리 사용되고 있는 화웨이 라우터가 구식의 코드를 그대로 사용하고 있으며 대부분 공개돼 있다고 밝혔다.
그는 “오래된 운영 코드는 보안 구멍이 가득하다”라며 “새로운 취약점을 찾으려 하진 않았는데 특별한 기능들을 찾아냈다”라고 말했다.
여기서 특별한 기능엔 화웨이 라우터는 부트로더 보호란 기능도 포함된다. 화웨이의 부트로더 보호기능은 고정적인 패스워드를 사용하기 때문에 암호를 풀 것도 없다는 얘기다. 그는 행사장에서 현재 화웨이 라우터에서 사용중인 암호들의 예를 내보였다.
린드너는 지난 7월 데프콘에서도 화웨이 라우터의 보암 취약점에 대해 공개해 주목받았다. 그는 당시 외부 공격자가 화웨이 장비에 접속해 설정을 재구성하고, 정보를 가로채거나 모니터하면서 모든 트래픽을 변경하는 것이 진부한 일이라 밝혔다.
최근 급성장한 화웨이는 세계 2위 통신장비제조회사다. 화웨이는 이동통신장비 시장뿐 아니라, 점차 데이터센터용 네트워크 장비 시장까지 넘보고 있다.
화웨이는 현재 미국, 캐나다, 유럽 등에서 국가 기밀을 빼내는 장비란 비난에 시달리고 있다. 미국 의회는 화웨이가 중국정부의 지시로 미국 내 기밀을 빼내고 있다며, 화웨이 장비를 구매하지 말라는 내용의 보고서를 발표했다. 캐나다 정부는 무역협정에 명시된 국가 안보를 위한 예외 조치를 발동해 새 정부 통신망 구축 사업에 화웨이를 배제할 수 있도록 했다.
관련기사
- 무서운 中화웨이 브랜드 인지도...이 정도?2012.10.12
- 美의회 "화웨이·ZTE 장비 쓰지마"…파문 확산2012.10.12
- 칼 빼든 EU…화웨이, ZTE 등 덤핑 조사2012.10.12
- 시스코, 화웨이에 독설 "모조품"2012.10.12
미국 하원의 보고서에 대해 화웨이는 승복할 수 없다면서 미중 통상관계에 악영향을 끼칠 수 있다고 밝혔다. 중국 상무부는 ‘근거없는 비난’이라며 무역보복 가능성까지 시사했다.
린드너는 “화웨이 장비의 취약점들이 무언가 하려는 의도로 있다고 생각하지 않는다”라고 선을 그었다. 그는 “고정적인 패스워드가 소비자 서비스를 단순화하고 대규모 서포트 콜에 더 쉽게 대응하게 한다고 믿는다”라며 “하지만 화웨이는 부트로더를 업데이트해야 한다”고 강조했다.