세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
HP, 프린터 펌웨어를 대상으로 한 버그바운티 시작
  |  입력 : 2018-08-01 16:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
버그크라우드 플랫폼과 합작...취약점 하나 당 최대 1만 달러
프린터는 사물인터넷 보안에 대한 관심 속에서도 외면 받는 장비


[보안뉴스 문가용 기자] HP가 버그바운티를 시작했다. HP에서 만든 프린터에서 취약점을 찾아내면 최대 1만 달러의 상금을 받을 수 있게 된다.

[이미지 = iclickart]


HP는 버그바운티 플랫폼인 버그크라우드(Bugcrowd)에서 ‘프린터 버그바운티’를 시작했는데, 이는 최근 프린터를 통한 공격 사례와 가능성들이 계속해서 발굴되기 때문인 것으로 보인다.

프린터는 보안을 위협할 수 있는 사물인터넷 장비이지만, 가장 간과되고 있는 요소다. 그런 가운데 다양한 고급 기능들이 프린터들에 첨부되고 있기 때문에 더없이 좋은 공격 표면이 되고 있다.

HP의 프린터 부문 최고 기술자인 시본 얼브라이트(Shivaun Albright)는 “PC처럼 프린터도 강력해지고 있다”고 설명한다. “스토리지와 프로세스 파워가 예전 기종들과 차원이 다릅니다. 그런데 ‘프린터 보안’이라는 개념은 아직 정착되지 않고 있습니다. PC 보안에 근접하지도 않아요. 네트워크에 연결된 다양한 장비들은 신경 쓰지만, 프린터는 아무도 관심을 갖지 않습니다.”

그러면서 얼브라이트는 “HP가 이번에 버그바운티를 통해 이루고자 하는 목표는 시장에 내놓는 프린터를 최대한 안전하고 탄탄하게 만들겠다는 것”이라고 강조했다.

HP는 이전에도 외부 전문가들과 협업을 한 경험이 있다. 외부 전문가들이 프린터에서 취약점을 찾아내면, 함께 취약점들을 보완해나가는 작업을 꾸준히 진행해온 것이다. 다만 버그크라우드와 같은 플랫폼을 중간에 거치지 않고 직접 전문가들과 관계를 맺어왔다고 한다. “HP는 취약점 제보에 대해서 항상 열려 있었습니다.”

이번에 HP가 공식적으로 시작한 버그바운티는 프린터의 펌웨어에 집중되어 있다. “펌웨어에서 오류를 찾아내시는 전문가들에게 적절한 보상을 할 계획입니다. CSRF 취약점이나 원격 코드 실행 취약점, XSS 취약점 등을 펌웨어에서 찾아내주시기 바랍니다.”

이번 버그바운티의 대상이 되는 모델은 HP LaserJet Enterprise 시리즈와 HP PageWide Enterprise 시리즈, MFP(A3와 A4 포맷) 시리즈다.

“사물인터넷 장비들의 보안 문제가 큰 관심거리로 떠올랐지만 프린터에 대한 이야기는 아직 별로 없습니다. 웹 카메라나 스마트 TV 등을 프린터가 화제성에서 이기지 못하는 겁니다. 그러나 프린터만큼 우리 가까이에 있는 사물인터넷 장비도 없습니다. 프린터도 안전하게 보호해야 한다는 인식이 좀 더 퍼질 필요가 있습니다.” 얼브라이트의 설명이다.

지난 2016년 발생한 미라이(Mirai) 봇넷의 공격으로 사물인터넷 장비의 위험성이 크게 부각된 바 있다. “당시로서는 사상 최대 규모의 공격이 발생한 것이었죠. 그것도 사물인터넷 장비만 사용한 봇넷으로 실시한 것이었으니 관심을 끌 수밖에 없었습니다. 웹 카메라와 DVR 장치들이 주로 보도됐는데, 당시 공격에 프린터들도 동원됐습니다. 그런데도 다들 카메라에만 관심을 갖더군요.”

기업 내에서도 보안을 이야기할 때 프린터는 잘 다뤄지지 않는다. “특히 결정권자들과 기술을 담당하는 사람들 사이에 커다란 간극이 존재합니다. 인쇄기 보안을 위해 뭔가를 해야 한다고 하면 잘 이해하지 못하죠. 그렇다고 평소 잘 관리하는 것도 아니고요. 중요한 포트를 온통 열어둔다거나, 비밀번호를 설정하지 않거나, 공장에서 설정한 초기 상태를 그대로 유지하기도 하죠. 공격자들에게는 너무나 쉬운 먹잇감일 수밖에 없습니다.”

HP는 관리된 프린트 서비스(MPS)를 사용할 것을 권장한다. 또한 무선으로 프린터를 이용할 경우 보안 조치가 취해지지 않은 와이파이 망을 통해서는 사용하지 않는 것이 좋다고 얼브라이트는 설명한다.

3줄 요약
1. HP, 버그크라우드와 버그바운티 시작. 상금은 취약점 하나에 최대 1만 달러.
2. HP LaserJet Enterprise 시리즈와 HP PageWide Enterprise 시리즈, MFP(A3와 A4 포맷) 시리즈의 펌웨어가 대상.
3. 프린터, 관심 못 받는 비운의 사물인터넷 장비.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)