Home > 전체기사
화웨이 제품 500개 넘게 조사했더니 취약점이 한 가득
  |  입력 : 2019-06-27 11:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
IoT 보안 전문 업체, 화웨이 제품 조사했더니 치명적인 취약점이 우수수
“다른 경쟁사들에 비해 보안 수준 현저히 떨어져”...“개인이 쓰기에도 위험”


[보안뉴스 문가용 기자] 화웨이 제품에서 더 많은 문제들이 발견됐다. IoT 전문 업체인 파이나이트 스테이트(Finite State)는 최근 화웨이에서 나온 558개 제품에 설치된 1만여 개 펌웨어 이미지들 내에 임베드 된 파일 150만 개를 조사해 여러 가지 취약점들을 찾아냈다고 발표했다. 제로데이 취약점들도 있었다.

[이미지 = iclickart]


“이번 연구 결과는 화웨이의 제품들이 객관적으로 봤을 때도 매우 위험하고 취약하다는 걸 알려줍니다. 국가적인 차원에서만이 아니라 그냥 일반 개인이 가정용으로 사용하기에도 위험합니다. 저희가 연구한 거의 모든 항목에서 화웨이 장비들은 다른 회사의 제품들에 비해 더 취약한 것으로 나타났습니다.” 파이나이트 스테이트의 설명이다.

먼저 파이나이트 스테이트는 “제품들 중 55%가 최소 한 개의 백도어를 포함하고 있었다”고 밝혔다. “백도어가 하드코드, 디폴트 사용자 계정 등의 형태로 숨겨져 있었습니다. 또한 평균 102개의 알려진 취약점들을 펌웨어에서 발견할 수도 있었습니다. 대다수가 ‘치명적 위험군’ 혹은 ‘고위험군’에 속하는 것들이었고, 제로데이로 분류될만한 것들도 있었습니다.”

이렇게 많은 취약점들이 제품 내에 포함되는 건 왜일까? 파이나이트 스테이트는 “한 가지 이유는 화웨이의 공정 그 자체”라고 꼽는다. “저희가 연구한 바에 따르면 화웨이의 엔지니어들은 안전한 개발 공정 기법을 사용하지 않습니다. 20년이 넘은 소프트웨어 라이브러리를 사용하기도 하죠. 보다 안전한 최신 버전이 있는데도 말이죠.”

화웨이는 자사 제품과 서비스의 보안성에 대한 의혹이 불거져 나올 때마다 ‘보안을 최우선시 하고 있다’고 일관되게 반박한다. “하지만 그 말이 얼마나 거짓인지는, 그들이 만든 제품들이 드러내고 있습니다. 산업을 선도해야 할 덩치를 가진 대기업이지만, 보안 수준은 낙후되어 있고, 구시대적입니다. 이번 연구 결과 화웨이의 보안 인식은 전혀 향상되지 않았음을 알 수 있었습니다. 심지어 오히려 퇴보하고 있다는 걸 보여주는 부분도 있었습니다.”

파이나이트 스테이트가 찾아낸 취약점들을 정리하면 다음과 같다.
1) 실험한 모든 화웨이 장비들의 29%에서 디폴트 사용자 이름과 비밀번호가 펌웨어에 저장되어 있음을 발견할 수 있었다.
2) 펌웨어들 중 76개 인스턴스들에서 잘못된 설정 내용을 발견할 수 있었다. 하드코딩 된 비밀번호를 보유한 루트 사용자가 SSH 프로토콜을 통해 로그인할 수 있도록 되어 있었던 것이다. 이는 ‘디폴트 백도어’가 있는 것이나 다름이 없다.
3) 펌웨어 이미지 중 8개 종류에서 미리 탑재된 authorized_keys가 하드코딩 된 채 저장되어 있는 것이 발견됐다.
4) 424개의 펌웨어 이미지들에서 비밀 SSH키가 하드코딩 된 채 저장되어 있었다.

파이나이트 스테이트의 최종 결론은, 보안 때문에 타격을 받아오고 있는 화웨이가 가장 싫어할 만한 쓴 소리였다. “비슷한 종류의 제품들을 출시하는 다른 경쟁사들의 제품들과 비교했을 때, 화웨이의 보안 수준이 크게 떨어진다는 것을 정량적으로 증명할 수 있었습니다.”

한편 최근 화웨이는 미국 회사로부터 ‘따돌림’을 받게 되는 등 사업적인 난관을 계속해서 돌파해야만 하는 상황에 놓이게 됐다. 그러나 뉴욕타임즈는 미국의 칩셋 생산자인 인텔과 마이크론이, 트럼프 행정부의 판매 금지령에서 허점을 발견해, 지속적으로 화웨이에 부품을 판매할 수 있으며, 실제 그렇게 해오고 있다는 기사를 내보내기도 했다. 제조사가 미국 회사라고 하더라도, 미국 영토가 아니라 해외에 있는 공장에서 만든 제품이나 부품들이라면, 화웨이로의 판매가 가능하다는 내용이었다.

3줄 요약
1. IoT 보안 전문 회사, 화웨이 제품 558개 꼼꼼히 조사했더니, 취약점 다량 나옴.
2. 고위험군, 치명적 위험군 등에 속한 취약점이 대다수. 심지어 제로데이도 일부 포함됨.
3. 가장 큰 문제는 화웨이의 구시대적인 공정. 20년 넘은 소프트웨어가 아직 사용되기도 할 정도.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제