네버 패치드 랜드에 오신 것을 환영합니다.
NetRise가 (PDF) 자료를 통해, 여러 제조업체의 무선 장치들이 2014년에 공개된 Pixie Dust 취약점에도 여전히 취약한 상태이며, 기업들이 이 잘 알려진 보안 결함을 방어할 수 있는 시간이 10년 이상 지났음에도 불구하고 그렇다고 밝혀냈습니다.
NetRise는 "총 6개 벤더에서 라우터, 범위 확장기, 액세스 포인트, 하이브리드 Wi-Fi/전력선 제품을 포함한 24개 장치를 발견했으며, 이들 장치는 Pixie Dust 취약점을 안고 펌웨어로 출시되었다"고 밝혔습니다. 이어 "조사된 장치 중 가장 오래된 취약한 펌웨어는 2017년 9월짜로, 이는 Pixie Dust 취약점이 공개된 지 거의 3년이 지난 시점입니다. 전반적으로 취약한 버전의 배포 시점은 해당 취약점이 최초 공개된 지 평균 7.7년 만이었습니다"라고 덧붙였습니다.
SecurityWeek에 따르면, Pixie Dust는 "라우터의 [Wi-Fi Protected Setup] PIN을 획득하고 비밀번호가 필요 없이 대상 무선 네트워크에 연결하는 데 악용될 수 있습니다." 이 취약점을 이용하기 위해 필요한 과정은 접근하려는 네트워크 범위 내에 있는지 확인하고, 네트워크와 클라이언트 장치 간의 초기 WPS(Wi-Fi Protected Setup) 핸드셰이크를 캡처한 다음, 오프라인 환경에서 PIN을 크랙하는 것뿐입니다.
연구원들이 여러 액세스 포인트를 위협하는 대규모 Wi-Fi 취약점을 발견하다
Pixie Dust는 그 정도로 널리 알려져 있어, 수많은 자료에서 초보자를 위한 무선 네트워크 해킹 기술 시연에 사용되고 있습니다. 또한 연구원들은 Pixie Dust를 악용하는 여러 오픈 소스 도구를 개발했으며, 이 중 하나는 보안 중심의 Kali Linux 배포판을 통해 강조되고 있습니다. 이는 제조업체들이 취약한 장치가 얼마나 쉽게 해킹될 수 있는지에 대해 결코 모른 척할 수 없게 만듭니다.
이렇게 오래된 취약점이 여전히 구형 하드웨어에서 작동하는 것이 반드시 놀라운 일은 아닙니다. 대부분의 기업은 매년 충분한 제품을 출시하기 때문에, 모든 제품을 영구적으로 완벽하게 지원할 것이라고 기대하는 것은 비현실적일 수 있습니다. (비록 사용자들이 새 장치로 교체하기를 원하지 않더라도 말입니다.) 그러나 NetRise가 이번 보고서에서 조사한 장치들은 그 일반적인 상황과는 거리가 멀어 보입니다.
NetRise는 "24개 장치 중 실제로 패치된 것은 단 네 개에 불과했으며, 이 패치들 역시 늦게 도착했습니다"라고 지적했습니다. "현재 시점까지도 13개의 장치는 활발히 지원됨에도 패치되지 않은 채 방치되어 있습니다. 또 다른 7개 장치는 수정 없이 수명이 다했습니다. 일부 사례에서는 벤더들이 변경 로그에 '일부 보안 취약점 수정'과 같이 모호하게 수정 내용을 기재했을 뿐, Pixie Dust에 대한 언급은 전혀 없었습니다."
이는 6개 제조업체가 알려진 취약점을 가진 제품을 출시했으며, 많은 경우 고객들에게 제품이 여전히 지원되고 있다고 안심시킨 상황에서도 관련 펌웨어 업데이트를 게을리했음을 보여줍니다.
피해 사례의 특징은, 시스템 관리자들에게 알려진 취약점임에도 불구하고 사용자들이 이를 인지하지 못하고 있다는 점입니다.
이러한 지연된 대응 속에서, 취약점이 발견된 시점부터 실제로 수정된 코드가 배포되기까지의 시간이 길어지면서 사용자들이 위험에 노출될 위험이 높아지고 있습니다.
이처럼 알려진 보안 취약점에 대한 대응 지연은 단순히 기술적인 문제를 넘어, 기업의 신뢰성이나 법적 문제와도 직결되는 문제입니다.
[마무리 문단 - 자연스러운 흐름 유도]
따라서, 기술적 취약점의 발견 및 수정 과정 전반에 걸쳐 기업들이 어떻게 투명하게 정보를 공개하고, 이해관계자들에게 선제적으로 위험을 고지하는지에 대한 체계적인 가이드라인과 책임 소재에 대한 논의가 반드시 필요해 보입니다.