웨스턴 디지털 NAS 장비에서 또 제로데이 취약점 발견돼

웨스턴 디지털 사의 NAS 장비에서 다시 한 번 제로데이 취약점이 발견됐다. 제로데이만 수주 만에 2번째다. 그럼에도 웨스턴 디지털 사는 패치 의사가 없으니 새 OS로 업그레이드 해야 한다고 밝혔다. 고객들에겐 새 장비 구매 정도만이 답인 상황이다.

[보안뉴스 문가용 기자] 웨스턴 디지털(Western Digital) 사용자들에게 삼재가 터졌다. 이미 지난 달 마이클라우드(MyCloud)라는 NAS 장비에 저장해 둔 데이터가 모두 사라지는 일을 겪은 것에 더해 또 다른 제로데이 취약점이 같은 장비들에서 발견된 것이다. 게다가 웨스턴 디지털 측에서 패치할 의지가 전혀 없어 보이니, 새로운 장비를 사는 것밖에 답이 없는 상황이다.

[이미지 = utoimage]

이 제로데이는 해커들이 아무런 인증 과정을 거치지 않고 루트에서 코드를 실행하고 영구히 남는 백도어를 장비에 심을 수 있게 해 준다. 웨스턴 디지털 장비에서 만든 NAS 장비 중 마이클라우드 3 OS가 탑재된 모든 장비들이 이 취약점에 노출되어 있다. 웨스턴 디지털 측은 마이클라우드 OS 5에는 아무런 문제가 없다고 주장하고 있으나, 웨스턴 디지털 NAS 사용자들은 OS 5가 기능적인 측면에서 OS 3보다 못하다는 평이다. 따라서 업그레이드가 쉬운 선택지가 아니라는 뜻이 된다.

이미 지난 달 마이클라우드 NAS 장비인 마이북 라이브(MyBook Live)와 마이북 라이브 듀오(MyBook Live Duo)에서 심상치 않은 사고가 발생했었다. 고객들이 지난 수년 간 모아오고 이 두 장비에 저장했던 데이터가 하루아침에 사라진 것이다. 이 때 공격자들이 이용했던 취약점은 2018년에 발견된 원격 코드 실행 취약점과, 공장 초기화를 하게 해 주는 제로데이 취약점이었다. 이번에 발견된 제로데이까지 총 세 번의 취약점이 연달아 웨스턴 디지털 NAS에서 발견된 것이다.

이렇게 취약점이 연달아 발견된다는 건 웨스턴 디지털 고객들에게는 대단히 안 좋은 소식이다. 웨스턴 디지털이 취약점 해결에 적극적인 모습을 보인 사례가 드물기 때문이다. 지난 해 11월 보안 업체 콤패리테크(Comparitech)는 웨스턴 디지털 사 장비들에서 5개의 원격 코드 실행 취약점을 발견해서 제보했었다. 하지만 웨스턴 디지털 측은 OS 3는 지원 기간이 종료됐고, 따라서 OS 5로 업그레이드 해야 한다고 답했다. OS 3에서 발견된 5가지 취약점이 전부 해결되었는지는 구체적으로 밝히지 않았었다.

2021년 3월 12일 웨스턴 디지털은 한 번 공식 발표를 통해 OS 3를 지원하지 않는다고 강조했다. 마이클라우드 OS 3 펌웨어에 대한 어떠한 보안 업데이트도 이뤄지지 않을 것이니 마이클라우드 OS 5로 업그레이드 하라는 권고였다. 그러면서 OS 5를 지원하는 장비의 목록을 함께 제공했다. 하지만 몇몇 보안 전문가들이 OS 3의 취약점들이 OS 5를 통해 해결되었는지 구체적으로 알려달라고 했을 때 아무런 답을 하지 않았다.

이러한 불만의 목소리가 보안 커뮤니티 사이에서 점점 커지자 웨스턴 디지털은 “의사소통 오류”라며 “아무런 질문을 공식 채널을 통해 받지 못했고, 따라서 답하지 않은 것”이라고 해명했다. 그러면서 “보안 업계와의 소통을 보다 원활히 하기 위한 장치들을 마련하고 있다”고 밝혔다. “보안 전문가들이 제보하는 취약점 보고서를 가볍게 생각하지 않고 있으며, 제보가 들어오는 즉시 조사를 시작합니다.”

3줄 요약
1. 웨스턴 디지털 사의 NAS 장비에서 연달아 취약점이 발견되는 중.
2. 가장 최근에만 제로데이 취약점이 2개 연속해서 발견됨.
3. 웨스턴 디지털 사의 대응이 허술해 보안 업계는 비판하는 중.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)