오늘 아침, 지인이 공유기를 알아봐 달라고 해서 ipTIME 제품을 보기 위해 ipTime 홈페이지에 접속해보니 보안취약점을 개선한 새로운 펌웨어 버전으로 업그레이드하라는 공지사항이 떠있어서 습관적으로 곧바로 펌웨어 업그레이드를 했습니다.

그런데 미래부에서 "미래부, 공유기 보안 강화 나선다…’실시간 모니터링 시스템’ 6월중 구축" 이런 발표를 한 마당에 갑자기 국내 주요 공유기 제조사라고 할 수 있는 ipTIME에서 덜컥 "업그레이드 안하면 기능 지원 끊깁니다" 이런 식의 공지를 띄우니 뭔가 수상썩은 점이 없지 않아 있었습니다. 보안 업데이트는 꼬박꼬박 설치해주는지라 별다른 의심없이 설치해놓긴 했는데, 설치하고 곰곰히 생각해보니 뭔가 찜찜한 느낌이 사라지지 않더라고요.


찾아보니 이미 이런 공지까지 올라올 정도니 그저 그런 보안업데이트겠거니 하면서도, 요즘들어 카카오톡 감청 등등 이쪽에서 계속 정부가 못미더웠기에 "말만 저렇게 하는거 아닌가"라는 생각도 들었습니다.

그래서 궁금한 김에 한번 뜯어보자...! 는 생각으로 삽을 들었습니다.

먼저 펌웨어 unpack에는 firmware-mod-kit (https://code.google.com/p/firmware-mod-kit/) 을 사용했습니다. 옛날에는 복잡했는데, 많이 개선됬더군요. 별다른 설정 없이도 잘 풀리네요.

제가 현재 사용중인 N6004R 모델의 9.52 펌웨어의 루트 파일시스템입니다. 주요 시스템 경로에서 딱히 수상한 파일은 없었습니다.

수상한 파일은 보이지 않았지만, 혹시 모르기에 "미래부, 공유기 보안 강화 나선다…’실시간 모니터링 시스템’ 6월중 구축" ← 이 발표 전인 2월 25일의 펌웨어인 9.44 펌웨어를 비교를 위해 unpack 했습니다. 

파일 비교 결과입니다. 생각보다 바뀐 부분이 적네요. 새로 추가되거나 삭제된 파일은 아예 없었고 (!) 그나마 있는 주요 변경사항이라면 /bin/busybox와 같은 중요 바이너리가 바뀐것 정도인데, 디컴파일 결과 의미있는 변화는 없었습니다 (약간의 수정사항 정도이고, '모니터링 코드' 같은 건 없었습니다)

다행히도 (?) 아직은 제 공유기에 정부의 모니터링 같은 건 없나보군요. 업데이트된 파일들을 보았을때, 정말 DDNS 취약점 패치 업그레이드가 맞긴 한가 봅니다. 이번의 DDNS 취약점이 사용자의 동의 없이 DDNS 서비스를 신청/적용해 추후에 공유기 원격 접속 등으로 악용될 수도 있고, 이 경우 ipTIME DDNS 서버에 걸리는 과부하도 무시 못할 수준이기때문에, 어찌본다면 해당 문제가 패치되기 이전의 펌웨어에서의 DDNS 지원 중지는 정말 당연한 조치일 수도 있습니다.

사실 조금 현실적으로 생각해보면 ipTIME이 정부의 백도어를 공유기에 심는다는 것은 별로 신빙성이 없는 소리라는 걸 알 수 있습니다. 공유기에 대한 하드웨어적인 접근 권한이 사용자에게 있는한 패킷 캡쳐나 펌웨어 분석 정도로도 수상한 모니터링 흔적정도는 쉽게 알아낼 수 있는데 잘못하면 전국민에게 사생활침해로 고소를 당할수도 있는 상황을 ipTIME정도 되는 회사가 생각도 없이 만들지는 않겠죠. 하지만 시기가 시기이고 여론이 여론인 만큼, 오해를 살 소지는 충분히 있지 않았나 생각해봅니다. 

아무튼, 적어도 제가 보았을때는 이번 업데이트는 그냥 DDNS 취약점 업데이트였습니다. 정부의 모니터링 코드같은건 들어있지 않았고요. 혹시라도 DDNS 서비스를 사용하고 계셨던 분들 중에 이런 이슈들때문에 업데이트를 망설이고 계셨던 분들이 있다면 큰 문제없이 업그레이드 하셔도 될 것 같습니다. 물론 DDNS 서비스를 이용하지 않는다면 업그레이드는 선택이겠지만, 이 경우는 주기적으로 공유기 설정 페이지 등을 통해 공유기 보안을 수시로 점검해주시는게 좋겠죠 ^^




저작자 표시 비영리 변경 금지
신고

'Linux > Embedded' 카테고리의 다른 글

[임베디드 리눅스] ipTIME 9.52 펌웨어 분석기  (8) 2015.03.30
 




진민규 2015.03.30 20:35 신고 URL EDIT REPLY
잘 봤습니다.
그러면 6월 중으로 업데이트되는 펌웨어를 의심해야 할까나요?
크럭스 RUX | 2015.03.30 22:55 신고 URL EDIT
기사에 따르면 핵심적인 내용은 통신사와 연계해서 이상 트래픽 발생시 해당 공유기의 인터넷 연결을 차단한다... 뭐 이런 내용인거 같습니다. 공유기 얘기가 나온건 공유기 취약점들을 이용해 DDOS 공격에 사용하는 일들이 있었던거 같고, 그래서 공유기 펌웨어 업그레이드가 기사중 언급된거 같고요. 아마 우려하는 최악의 사태 (공유기에 모니터링 백도어가 내장되는) 은 일어나지 않을 것 같은데.... 6월쯤 되보면 알겠죠.
한명훈 2015.04.09 18:28 신고 URL EDIT REPLY
iptime을 쓰지 않지만 뭔가 안심이 되는군요 ^^
유져 2015.04.09 19:01 신고 URL EDIT REPLY
일단 분석한걸 보아 일부안심 하였습니다. 현제 펌웨어 기준이고
추후 정부가 어떠한 압력을 가해 정부생각대로 이행하려하면 노답이라 저는 타사공유기 갈아탈 자금준비하고 있습니다.
블로거님도 매번 역분석해주시기도 힘들테고 노고에 감사드립니다.
chakata 2015.04.17 20:26 신고 URL EDIT REPLY
혹시 커널 버전도 알 수 있나요?
궁금해지네요
Channel 2015.07.07 13:51 신고 URL EDIT REPLY
이 기사를 공유기 내 백도어를 설치한다고 해석하는게 놀랍네요.

기사 내 삽입된 순서도만 봐도 아니라는 것을 알 수 있을텐데요.

중국은 공유기에 백도어 심어서 감시하나요? ISP 단에서 감시가 가능합니다.
zlatan 2015.09.02 16:46 신고 URL EDIT REPLY
diffmerge아래에 바이너리 헥스값으로 diff한 툴이름이 뭔가요?
1466103915 2016.06.17 04:05 신고 URL EDIT REPLY
알찬 정보 좋네요~
Name
Password
Homepage
Secret
굵게 밑줄 기울임 취소선   취소선 취소선 취소선 취소선   왼쪽 정렬 가운데 정렬 오른쪽 정렬   코드박스 인용구 이미지   이미지 업로드