유무선공유기는 Arm 기반 CPU와 네트워크 전송층, 메모리를 조합하고 리눅스 운영체제로 작동하는 모니터 없는 작은 컴퓨터다. 내장된 SoC의 보안 결함, 리눅스 운영체제 커널이나 제조사 소프트웨어의 결함이 노출될 가능성은 항상 숨어 있다.
특히 출시 당시에는 문제가 없었지만 출시 이후 수 년이 지나 보안 취약점이 발견되는 경우도 늘어나고 있다. 판매 기간 뿐만 아니라 단종 이후에도 보안 업데이트를 제공해야 할 가능성이 커진 것이다.
디링크 "서비스 기간 지난 제품 보안 패치 불가"
대만에 본사를 둔 네트워크 업체 디링크(D-Link)는 2010년 초반에 처음 출시된 VPN(가상사설망) 기능 내장 유무선공유기 6종에서 보안 결함이 발견되자 "해당 제품은 이미 서비스 제공 기간이 끝나 더 이상 업데이트를 제공하지 않겠다"고 밝혔다.
이들 기기에서 발견된 보안 결함을 악용하면 외부에서 접속해 악성코드를 주입하거나 다른 컴퓨터를 공격할 수 있다. 문제가 된 제품 중 5개는 올해 5월 초 서비스 기간이 종료됐다.
PC매거진은 "문제가 발견된 제품 6개 중 일부는 여전히 시장에 판매되고 있다"고 지적했다. 그러나 디링크는 해당 소프트웨어 업데이트 대신 같은 기능을 지닌 신제품을 할인판매하는 링크를 제공하고 있다.
한 제조사 관계자는 "출시한 모든 제품의 보안 업데이트를 모두 챙기는 것은 체계적인 개발 체계를 갖췄다 해도 힘들며 하드웨어 제원이나 성능 제약 상 업데이트가 불가능한 경우도 있다. 제품 최초 출시 이후 5-6년 정도가 사실상 한계"라고 설명했다.
제조사 대부분, 단종 이후에도 보안 업데이트 공급
국내 시장에 제품을 공급하는 주요 유무선공유기 제조사에 각종 펌웨어와 보안 업데이트 정책을 물었다.
'아이피타임' 브랜드로 70% 이상의 점유율을 확보한 EFM네트웍스 관계자는 "펌웨어 등 개발 과정 효율화로 제품 단종 이후에도 10년 이상 업데이트를 제공하고 있다. 하드웨어 제약이 없는 한 지속적으로 업데이트를 제공중"이라고 밝혔다.
티피링크 관계자는 "제품 단종 이후에도 최대 5년간 보안 관련 업데이트를 제공한다. 시간이 지난 뒤에도 심각한 문제가 발견된다면 각종 업데이트를 제공하며 수동 업데이트가 가능하다"고 밝혔다.
넷기어는 제품 생산 종료 이후 3년에서 5년이 지나면 소프트웨어 업데이트를 중단하는 정책을 적용하고 있다. 넷기어 관계자는 "심각한 보안 위협이 있다고 판단되는 경우 추가 보안 업데이트를 제공중"이라고 설명했다.
싱가포르 등 IoT 기기 보안 등급 인증제도 도입
유무선공유기는 한 번 뚫리면 같은 네트워크 안에 있는 PC나 스마트폰의 공격 통로가 되거나 악성코드 감염, 다른 기기 공격 통로가 될 수 있는 기기다.
유무선공유기를 포함한 사물인터넷(IoT) 기기의 펌웨어 보안 강도나 업데이트 빈도 등을 국가 차원에서 검증하려는 국가도 늘어나고 있다.2020년부터 호주와 영국, 싱가포르를 시작으로 핀란드와 미국 등 여러 나라가 보안등급 인증제도를 진행중이다.
관련기사
- [인터뷰] "IoT와 생성 AI 융합 시작... 취약점 대비 시급"2024.11.10
- 에이수스코리아, 유무선공유기 보안등급 표시제 적용2024.11.25
- ST-퀄컴, '무선 IoT 솔루션' 전략적 협업2024.10.07
- 美서 '와이파이 재머' 악용한 절도 사건 기승...국내는?2024.07.22
싱가포르는 총리실 소속 사이버보안청이 제조사 자체 신고와 제3자 인증기관의 시험 결과를 토대로 지속적인 업데이트 등의 기본 보안 요구사항 충족 제품에 '1등급'을, 외부 사이버 공격 대응 통과시 '4등급'을 부여한다.
국내에서는 한국인터넷진흥원(KISA)이 네트워크에 연결되어 감지, 제어, 중계, 촬영, 관리, 운행을 수행하는 기기 대상으로 보안인증을 발급한다. 수준에 따라 라이트(Lite), 베이식(Basic), 스탠더드(Standard) 등 3단계지만 의무사항은 아니다.
