HP, 프린터 펌웨어를 대상으로 한 버그바운티 시작

입력 : 2018-08-01 16:39

버그크라우드 플랫폼과 합작...취약점 하나 당 최대 1만 달러
프린터는 사물인터넷 보안에 대한 관심 속에서도 외면 받는 장비

[보안뉴스 문가용 기자] HP가 버그바운티를 시작했다. HP에서 만든 프린터에서 취약점을 찾아내면 최대 1만 달러의 상금을 받을 수 있게 된다.


HP는 버그바운티 플랫폼인 버그크라우드(Bugcrowd)에서 ‘프린터 버그바운티’를 시작했는데, 이는 최근 프린터를 통한 공격 사례와 가능성들이 계속해서 발굴되기 때문인 것으로 보인다.

프린터는 보안을 위협할 수 있는 사물인터넷 장비이지만, 가장 간과되고 있는 요소다. 그런 가운데 다양한 고급 기능들이 프린터들에 첨부되고 있기 때문에 더없이 좋은 공격 표면이 되고 있다.

HP의 프린터 부문 최고 기술자인 시본 얼브라이트(Shivaun Albright)는 “PC처럼 프린터도 강력해지고 있다”고 설명한다. “스토리지와 프로세스 파워가 예전 기종들과 차원이 다릅니다. 그런데 ‘프린터 보안’이라는 개념은 아직 정착되지 않고 있습니다. PC 보안에 근접하지도 않아요. 네트워크에 연결된 다양한 장비들은 신경 쓰지만, 프린터는 아무도 관심을 갖지 않습니다.”

그러면서 얼브라이트는 “HP가 이번에 버그바운티를 통해 이루고자 하는 목표는 시장에 내놓는 프린터를 최대한 안전하고 탄탄하게 만들겠다는 것”이라고 강조했다.

HP는 이전에도 외부 전문가들과 협업을 한 경험이 있다. 외부 전문가들이 프린터에서 취약점을 찾아내면, 함께 취약점들을 보완해나가는 작업을 꾸준히 진행해온 것이다. 다만 버그크라우드와 같은 플랫폼을 중간에 거치지 않고 직접 전문가들과 관계를 맺어왔다고 한다. “HP는 취약점 제보에 대해서 항상 열려 있었습니다.”

이번에 HP가 공식적으로 시작한 버그바운티는 프린터의 펌웨어에 집중되어 있다. “펌웨어에서 오류를 찾아내시는 전문가들에게 적절한 보상을 할 계획입니다. CSRF 취약점이나 원격 코드 실행 취약점, XSS 취약점 등을 펌웨어에서 찾아내주시기 바랍니다.”

이번 버그바운티의 대상이 되는 모델은 HP LaserJet Enterprise 시리즈와 HP PageWide Enterprise 시리즈, MFP(A3와 A4 포맷) 시리즈다.

“사물인터넷 장비들의 보안 문제가 큰 관심거리로 떠올랐지만 프린터에 대한 이야기는 아직 별로 없습니다. 웹 카메라나 스마트 TV 등을 프린터가 화제성에서 이기지 못하는 겁니다. 그러나 프린터만큼 우리 가까이에 있는 사물인터넷 장비도 없습니다. 프린터도 안전하게 보호해야 한다는 인식이 좀 더 퍼질 필요가 있습니다.” 얼브라이트의 설명이다.

지난 2016년 발생한 미라이(Mirai) 봇넷의 공격으로 사물인터넷 장비의 위험성이 크게 부각된 바 있다. “당시로서는 사상 최대 규모의 공격이 발생한 것이었죠. 그것도 사물인터넷 장비만 사용한 봇넷으로 실시한 것이었으니 관심을 끌 수밖에 없었습니다. 웹 카메라와 DVR 장치들이 주로 보도됐는데, 당시 공격에 프린터들도 동원됐습니다. 그런데도 다들 카메라에만 관심을 갖더군요.”

기업 내에서도 보안을 이야기할 때 프린터는 잘 다뤄지지 않는다. “특히 결정권자들과 기술을 담당하는 사람들 사이에 커다란 간극이 존재합니다. 인쇄기 보안을 위해 뭔가를 해야 한다고 하면 잘 이해하지 못하죠. 그렇다고 평소 잘 관리하는 것도 아니고요. 중요한 포트를 온통 열어둔다거나, 비밀번호를 설정하지 않거나, 공장에서 설정한 초기 상태를 그대로 유지하기도 하죠. 공격자들에게는 너무나 쉬운 먹잇감일 수밖에 없습니다.”

HP는 관리된 프린트 서비스(MPS)를 사용할 것을 권장한다. 또한 무선으로 프린터를 이용할 경우 보안 조치가 취해지지 않은 와이파이 망을 통해서는 사용하지 않는 것이 좋다고 얼브라이트는 설명한다.

3줄 요약
1. HP, 버그크라우드와 버그바운티 시작. 상금은 취약점 하나에 최대 1만 달러.
2. HP LaserJet Enterprise 시리즈와 HP PageWide Enterprise 시리즈, MFP(A3와 A4 포맷) 시리즈의 펌웨어가 대상.
3. 프린터, 관심 못 받는 비운의 사물인터넷 장비.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...