Home > 전체기사

웨스턴 디지털 NAS 장비에서 또 제로데이 취약점 발견돼

  |  입력 : 2021-07-07 14:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
웨스턴 디지털 사의 NAS 장비에서 다시 한 번 제로데이 취약점이 발견됐다. 제로데이만 수주 만에 2번째다. 그럼에도 웨스턴 디지털 사는 패치 의사가 없으니 새 OS로 업그레이드 해야 한다고 밝혔다. 고객들에겐 새 장비 구매 정도만이 답인 상황이다.

[보안뉴스 문가용 기자] 웨스턴 디지털(Western Digital) 사용자들에게 삼재가 터졌다. 이미 지난 달 마이클라우드(MyCloud)라는 NAS 장비에 저장해 둔 데이터가 모두 사라지는 일을 겪은 것에 더해 또 다른 제로데이 취약점이 같은 장비들에서 발견된 것이다. 게다가 웨스턴 디지털 측에서 패치할 의지가 전혀 없어 보이니, 새로운 장비를 사는 것밖에 답이 없는 상황이다.

[이미지 = utoimage]


이 제로데이는 해커들이 아무런 인증 과정을 거치지 않고 루트에서 코드를 실행하고 영구히 남는 백도어를 장비에 심을 수 있게 해 준다. 웨스턴 디지털 장비에서 만든 NAS 장비 중 마이클라우드 3 OS가 탑재된 모든 장비들이 이 취약점에 노출되어 있다. 웨스턴 디지털 측은 마이클라우드 OS 5에는 아무런 문제가 없다고 주장하고 있으나, 웨스턴 디지털 NAS 사용자들은 OS 5가 기능적인 측면에서 OS 3보다 못하다는 평이다. 따라서 업그레이드가 쉬운 선택지가 아니라는 뜻이 된다.

이미 지난 달 마이클라우드 NAS 장비인 마이북 라이브(MyBook Live)와 마이북 라이브 듀오(MyBook Live Duo)에서 심상치 않은 사고가 발생했었다. 고객들이 지난 수년 간 모아오고 이 두 장비에 저장했던 데이터가 하루아침에 사라진 것이다. 이 때 공격자들이 이용했던 취약점은 2018년에 발견된 원격 코드 실행 취약점과, 공장 초기화를 하게 해 주는 제로데이 취약점이었다. 이번에 발견된 제로데이까지 총 세 번의 취약점이 연달아 웨스턴 디지털 NAS에서 발견된 것이다.

이렇게 취약점이 연달아 발견된다는 건 웨스턴 디지털 고객들에게는 대단히 안 좋은 소식이다. 웨스턴 디지털이 취약점 해결에 적극적인 모습을 보인 사례가 드물기 때문이다. 지난 해 11월 보안 업체 콤패리테크(Comparitech)는 웨스턴 디지털 사 장비들에서 5개의 원격 코드 실행 취약점을 발견해서 제보했었다. 하지만 웨스턴 디지털 측은 OS 3는 지원 기간이 종료됐고, 따라서 OS 5로 업그레이드 해야 한다고 답했다. OS 3에서 발견된 5가지 취약점이 전부 해결되었는지는 구체적으로 밝히지 않았었다.

2021년 3월 12일 웨스턴 디지털은 한 번 공식 발표를 통해 OS 3를 지원하지 않는다고 강조했다. 마이클라우드 OS 3 펌웨어에 대한 어떠한 보안 업데이트도 이뤄지지 않을 것이니 마이클라우드 OS 5로 업그레이드 하라는 권고였다. 그러면서 OS 5를 지원하는 장비의 목록을 함께 제공했다. 하지만 몇몇 보안 전문가들이 OS 3의 취약점들이 OS 5를 통해 해결되었는지 구체적으로 알려달라고 했을 때 아무런 답을 하지 않았다.

이러한 불만의 목소리가 보안 커뮤니티 사이에서 점점 커지자 웨스턴 디지털은 “의사소통 오류”라며 “아무런 질문을 공식 채널을 통해 받지 못했고, 따라서 답하지 않은 것”이라고 해명했다. 그러면서 “보안 업계와의 소통을 보다 원활히 하기 위한 장치들을 마련하고 있다”고 밝혔다. “보안 전문가들이 제보하는 취약점 보고서를 가볍게 생각하지 않고 있으며, 제보가 들어오는 즉시 조사를 시작합니다.”

3줄 요약
1. 웨스턴 디지털 사의 NAS 장비에서 연달아 취약점이 발견되는 중.
2. 가장 최근에만 제로데이 취약점이 2개 연속해서 발견됨.
3. 웨스턴 디지털 사의 대응이 허술해 보안 업계는 비판하는 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화