무선 인터넷 공유기 보안의 딜레마

간편한 펌웨어 업데이트 방법 찾기가 문제

일반입력 :2015/03/19 10:24    수정: 2015/03/25 15:50

손경호 기자

무선 인터넷 공유기에 대한 보안대책이 딜레마에 빠졌다.

공유기 제조사들이 보안문제를 해결하는 펌웨어업데이트(보안업데이트)를 내놓는다고 해도 사용자들이 일일이 해당 제조사 홈페이지를 방문해 실행파일을 다운로드 받아 설치해야하고 설정을 바꿔줘야 한다는 불편함이 있기 때문이다.

관건은 공유기 사용자들이 얼마나 적극적으로 업데이트를 적용할 수 있도록 방안을 마련할 수 있는지다. 그러나 현실은 만만치 않다. 적극적인 업데이트를 유도하려면 원가가 상승할 수 있는 것은 물론 다른 사용자들 불편으로도 이어질 수 있다.

공유기는 기업, 기관은 물론 공공장소와 가정에 이르기까지 일상의 거의 모든 영역에서 찾아볼 수 있는 인터넷 연결창구가 됐지만 그동안 보안성에 대한 검토는 제대로 이뤄지지 않았었다. 이런 상황에서 공유기 해킹 문제는 더 심각해지는 상황이다.

지난해 11월 SK브로드밴드 망에서 발생한 72분 간 인터넷망 장애는 그동안 보안성을 크게 고려하지 않고 사용해 온 공유기가 심각한 위협을 초래할 수도 있다는 점을 보여준 상징적인 사례로 꼽힌다. 지난해 4월에는 공유기 설정을 변경해 사용자들을 가짜 네이버와 같은 파밍사이트로 접속을 유도해 개인정보를 유출시키는 사례도 등장했다. 공유기 취약점에 대한 보완책이 필요하다는 목소리는 보안전문가들을 통해 이미 수년 전부터 제기된 바 있다.

지금 시점에서 중요한 대책은 정부, 제조사 등이 어떻게 하면 사용자들의 불편함을 최대한 줄이면서 공유기에 대한 펌웨어업데이트를 실행할 수 있게 하는가이다.

제조사측 입장에서는 매번 따로 설치할 필요가 없이 마치 백신처럼 문제가 발견될 때마다 자동으로 보안업데이트가 이뤄지는 방법을 구현할 수 없는 것은 아니라고 말한다. 다만 이렇게 할 경우 제조원가가 높아지고, 자동업데이트 중 인터넷망을 사용하지 못하는 상황이 발생할 수 있다는 점을 우려하고 있다.

국내 사설공유기 제조사인 디지털존 이영우 부장은 듀얼 이미지를 사용해 기존 펌웨어를 그대로 사용하면서 다른 저장공간에서 펌웨어를 최신 버전으로 업데이트해 적용할 수 있도록 설정을 할 수 있다고 설명했다.

방법은 단순하다. 공유기에 탑재된 플래시메모리 용량을 2배로 늘리면 된다. 실제로 이동통신사에서 제공하고 있는 공유기들은 자사 망을 통해 이런 식으로 펌웨어업데이트를 관리하고 있다.

그러나 이 부장은 이미 경쟁이 치열한 사설공유기 시장에서는 이러한 방식이 원가상승 부담으로 작용한다고 말한다. 업데이트 뒤에는 반드시 공유기 재부팅이 필요한데 이 과정에서 사용자가 인터넷망을 통해 중요한 증권거래를 하다가 적절한 매도, 매수시기를 놓쳐버리는 일이 발생할 수 있다는 현실적인 어려움도 따른다는 설명이다.

국내에서 사설공유기 시장점유율 60%~65%를 차지하고 있는 것으로 파악되는 IPTIME의 경우 자사 제품에 대한 최신 펌웨어 9.50버전을 공개하고, 사용자들에게 설치를 유도하고 있다. 이 중 옵션으로 펌웨어 자동업그레이드 기능을 제공하고 있지만 업그레이드 중 인터넷 연결이 잠시 끊어진다는 점을 명시하고 있다.

현재로서는 사용자가 의식적으로 제조사 홈페이지에 방문해 펌웨어업데이트 내역을 확인한 뒤 수동으로 설치하는 방법 외에는 대안을 찾기 어려운 상황이다.

한국인터넷진흥원(KISA) 취약점 점검팀 박정환 팀장은 펌웨어업데이트를 개발하는 것 자체를 어려워하는 제조사는 없었다며 사용자에게 해당 내용을 안내하기 위해서는 홈페이지 회원가입자들을 대상으로 업데이트 안내를 발송하라고 제조사들에게 요청해 놓은 상태라고 말했다.

이러한 문제 때문에 아직 정부에서도 사설공유기에 대한 펌웨어업데이트를 어떤 식으로 하라는 구체적인 가이드라인은 내놓지 않고 있다.

최근 미래창조과학부가 발표한 '공유기 보안 강화대책'에 따르면 오는 7월까지 공유기 신규 취약점을 파악해 해결하고, 통신망을 통한 사설공유기 보안업데이트 체계를 구축, 운영하겠다고 밝혔다.

관련기사

그러나 미래창조과학부 사이버침해대응과 고창휴 사무관에 따르면 사설공유기의 맥주소 중 일부를 이통사와 공유해 사고 발생시 어떤 종류의 사설공유기가 쓰였는지를 파악할 수 있게 했지만 문제를 해결하기 위한 상세한 펌웨어업데이트 방법 등에 대해서는 명쾌한 지침이 나온 것은 아니다.

물론 공유기 해킹의 경우 사용자 입장에서 아무런 책임이 없는 것은 아니다. 공유기를 구매한 뒤 기본설정(default)된 비밀번호를 그대로 사용하거나 아예 비밀번호 없이도 외부접속을 허용하고 있는 등 기본적인 보안조치를 취하도록 인식을 제고할 필요성도 제기된다.