Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

URL 링크 : http://www.boannews.com/media/view.asp?idx=80916 

 IoT 보안 전문 업체, 화웨이 제품 조사했더니 치명적인 취약점이 우수수

“다른 경쟁사들에 비해 보안 수준 현저히 떨어져”...“개인이 쓰기에도 위험”

[보안뉴스 문가용 기자] 화웨이 제품에서 더 많은 문제들이 발견됐다. IoT 전문 업체인 파이나이트 스테이트(Finite State)는 최근 화웨이에서 나온 558개 제품에 설치된 1만여 개 펌웨어 이미지들 내에 임베드 된 파일 150만 개를 조사해 여러 가지 취약점들을 찾아냈다고 발표했다. 제로데이 취약점들도 있었다.

408797685_3276.jpg
[이미지 = iclickart]

“이번 연구 결과는 화웨이의 제품들이 객관적으로 봤을 때도 매우 위험하고 취약하다는 걸 알려줍니다. 국가적인 차원에서만이 아니라 그냥 일반 개인이 가정용으로 사용하기에도 위험합니다. 저희가 연구한 거의 모든 항목에서 화웨이 장비들은 다른 회사의 제품들에 비해 더 취약한 것으로 나타났습니다.” 파이나이트 스테이트의 설명이다.

먼저 파이나이트 스테이트는 “제품들 중 55%가 최소 한 개의 백도어를 포함하고 있었다”고 밝혔다. “백도어가 하드코드, 디폴트 사용자 계정 등의 형태로 숨겨져 있었습니다. 또한 평균 102개의 알려진 취약점들을 펌웨어에서 발견할 수도 있었습니다. 대다수가 ‘치명적 위험군’ 혹은 ‘고위험군’에 속하는 것들이었고, 제로데이로 분류될만한 것들도 있었습니다.”

이렇게 많은 취약점들이 제품 내에 포함되는 건 왜일까? 파이나이트 스테이트는 “한 가지 이유는 화웨이의 공정 그 자체”라고 꼽는다. “저희가 연구한 바에 따르면 화웨이의 엔지니어들은 안전한 개발 공정 기법을 사용하지 않습니다. 20년이 넘은 소프트웨어 라이브러리를 사용하기도 하죠. 보다 안전한 최신 버전이 있는데도 말이죠.”

화웨이는 자사 제품과 서비스의 보안성에 대한 의혹이 불거져 나올 때마다 ‘보안을 최우선시 하고 있다’고 일관되게 반박한다. “하지만 그 말이 얼마나 거짓인지는, 그들이 만든 제품들이 드러내고 있습니다. 산업을 선도해야 할 덩치를 가진 대기업이지만, 보안 수준은 낙후되어 있고, 구시대적입니다. 이번 연구 결과 화웨이의 보안 인식은 전혀 향상되지 않았음을 알 수 있었습니다. 심지어 오히려 퇴보하고 있다는 걸 보여주는 부분도 있었습니다.” 

파이나이트 스테이트가 찾아낸 취약점들을 정리하면 다음과 같다.
1) 실험한 모든 화웨이 장비들의 29%에서 디폴트 사용자 이름과 비밀번호가 펌웨어에 저장되어 있음을 발견할 수 있었다.
2) 펌웨어들 중 76개 인스턴스들에서 잘못된 설정 내용을 발견할 수 있었다. 하드코딩 된 비밀번호를 보유한 루트 사용자가 SSH 프로토콜을 통해 로그인할 수 있도록 되어 있었던 것이다. 이는 ‘디폴트 백도어’가 있는 것이나 다름이 없다.
3) 펌웨어 이미지 중 8개 종류에서 미리 탑재된 authorized_keys가 하드코딩 된 채 저장되어 있는 것이 발견됐다.
4) 424개의 펌웨어 이미지들에서 비밀 SSH키가 하드코딩 된 채 저장되어 있었다.

파이나이트 스테이트의 최종 결론은, 보안 때문에 타격을 받아오고 있는 화웨이가 가장 싫어할 만한 쓴 소리였다. “비슷한 종류의 제품들을 출시하는 다른 경쟁사들의 제품들과 비교했을 때, 화웨이의 보안 수준이 크게 떨어진다는 것을 정량적으로 증명할 수 있었습니다.”

한편 최근 화웨이는 미국 회사로부터 ‘따돌림’을 받게 되는 등 사업적인 난관을 계속해서 돌파해야만 하는 상황에 놓이게 됐다. 그러나 뉴욕타임즈는 미국의 칩셋 생산자인 인텔과 마이크론이, 트럼프 행정부의 판매 금지령에서 허점을 발견해, 지속적으로 화웨이에 부품을 판매할 수 있으며, 실제 그렇게 해오고 있다는 기사를 내보내기도 했다. 제조사가 미국 회사라고 하더라도, 미국 영토가 아니라 해외에 있는 공장에서 만든 제품이나 부품들이라면, 화웨이로의 판매가 가능하다는 내용이었다.

3줄 요약
1. IoT 보안 전문 회사, 화웨이 제품 558개 꼼꼼히 조사했더니, 취약점 다량 나옴.
2. 고위험군, 치명적 위험군 등에 속한 취약점이 대다수. 심지어 제로데이도 일부 포함됨.
3. 가장 큰 문제는 화웨이의 구시대적인 공정. 20년 넘은 소프트웨어가 아직 사용되기도 할 정도.

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

쾌걸맨

2019.07.19 17:43
가입일: 2018:02.25
총 게시물수: 50
총 댓글수: 307

좋은 정보 감사합니다

List of Articles

IT정보 ASMedia 기반의 AMD B550, A520 칩셋 마더 보드, 2020년 출시

최근 MSRP 가격 리스트 유출에 의하면 AMD X570 칩셋 기반의 마더보드는 평균 마더보드 가격에서 Intel의 프리미엄 Z390 Express 칩셋을 능가하는 상당한 비용이 ...

  • 등록일: 2019-06-15

79

VIEWS

2

COMMENTED

IT정보 2020 usb4 출시 ???!?!?!? file

USB 프로모터 그룹(USB Promoter Group)은 USB4 사양을 개발하기 위해 열심히 노력하고 있습니다. 올해 Computex에서 그들을 만났는데, 좋은 소식은 사양이 0.7...

  • 등록일: 2019-06-14

119

VIEWS

1

COMMENTED

IT정보 루머) 64코어 128 쓰레드 cpu !!!!??!!??!?!??

AMD의 Threadripper가 끝났다고 생각하셨습니까? 글쎄요, 그것이 당신이 생각한 것이라면, 좋은 소식이 있습니다. 저는 회사가 2019 년 1 분기에 출시 할 절대적...

  • 등록일: 2019-06-14

107

VIEWS

2

COMMENTED

IT정보 국민청원까지 등장한 https 차단 논란..방통위 "인터넷 규제체계 손본다"

방통위, '인터넷 규제개선 공론화 협의회' 발족 "규제체계 점검 및 적정 수준 논의..자율성 보장" 이효성 방송통신위원장 © News1 박세연 기자(서울=뉴스1) 강은...

  • 등록일: 2019-06-13

161

VIEWS

4

COMMENTED

IT정보 "저커버그, 페북 개인정보 유출 알고 있었다"

  마크 저커버그 페이스북 CEO. /사진=뉴스1   마크 저커버그 페이스북 최고경영자(CEO)가 7년 전부터 페이스북의 허술한 개인정보보호 시스템을 인지하고 있었다...

  • 등록일: 2019-06-13

52

VIEWS

3

COMMENTED

IT정보 네이버 노사, 단협 잠정합의…'공동협력의무'로 '협정근로' 대체

이해진 1일 입장 이후 급진전…사측 "교섭과 무관" 협정근로자 대신 '서비스 운영에 노조 협조'로 타협 '이해진vs노조' 토론 가능성 희박…노조 "요구 철회" 네이버...

  • 등록일: 2019-06-13

63

VIEWS

1

COMMENTED

IT정보 기프티콘에도 인지세 부과 …내년 1월 시행 '논란'

모바일 상품권(기프티콘)에 종이 상품권과 마찬가지로 내년 1월부터 인지세가 부과된다. 인지세란 각종 문서·증서에 인지를 붙여 납부하는 세금을 말한다. 시행이...

  • 등록일: 2019-06-13

62

VIEWS

5

COMMENTED

IT정보 "프로세서 없다"...화웨이 '사면초가' 위기 맞나

미국 트럼프 정부가 국가안보를 위협하는 중국 기업 화웨이에 대해 통신장비 판매와 사용을 금지하는 행정명령을 발동한지 곧 한달을 맞는다. 미국 내 수 많은 IT...

  • 등록일: 2019-06-13

77

VIEWS

1

COMMENTED

IT정보 화웨이, 버라이즌에 1조원 특허권 사용료 요구

화웨이가 미국 통신사 버라이즌에 230개 이상의 특허권 사용료로 10억달러(약 1조1800억원)를 지불하라고 요구했다. 12일(현지시간) 로이터통신 등에 따르면 화웨...

  • 등록일: 2019-06-13

52

VIEWS

3

COMMENTED

IT정보 일본서 쓰는 국내 IT기업 페이 3파전…승자는?

가맹점 확보·UI 사용경험 등으로 겨룰 전망 (지디넷코리아=김민선 기자)네이버, 카카오, NHN 등 국내 IT기업들이 각각의 간편결제 서비스를 해외에서도 사용할 수...

  • 등록일: 2019-06-13

33

VIEWS

1

COMMENTED

IT정보 백도어 검출 사실상 불가능 … "5G망, 軍 `통신보안` 위협 상존"

국가통신망 합법적 잠입 가능성 가상화 공격으로 데이터 유출도 전문가들 "보안대책 강구" 주문 13일 군사안보지원사령부에서 주최한 국방보안컨퍼런스에서 이용...

  • 등록일: 2019-06-13

46

VIEWS

2

COMMENTED

IT정보 삼성전자, 둘둘 마는 스마트폰 화면 특허 출원 file

삼성전자, 둘둘 마는 스마트폰 화면 특허 출원   삼성전자는 확장 가능한 디스플레이 영역을 갖춘 플렉서블 디스플레이를 포함한 전자 장치'에 대한 특허를 제출...

  • 등록일: 2019-06-13

58

VIEWS

1

COMMENTED

IT정보 인텔은 2021년까지 데스크탑용 CPU 제조에 14nm 공정 사용.

https://www.techspot.com/news/80253-intel-announces-10nm-ice-lake-cpus.html   얼마 전에 모바일용 10nm 아이스레이크 소식이 출시소식이 있었는데요.   10nm...

  • 등록일: 2019-06-12

132

VIEWS

5

COMMENTED

IT정보 "우리 앱스토어로 오라" 화웨이의 '고육지책'..개발자 유인

화웨이 앱갤러리(화웨이 홈페이지 갈무리) © 뉴스1(서울=뉴스1) 김정현 기자 = 구글의 안드로이드 지원이 끊길 위기에 놓인 화웨이가 개발자들에게 자체 앱스토...

  • 등록일: 2019-06-12

102

VIEWS

4

COMMENTED

IT정보 구글, '2019 유튜브 웍스 어워드' 국내서 첫 개최

구글은 혁신적이고 효율적인 유튜브 광고 캠페인 및 콘텐츠를 선정해 시상하는 '2019 유튜브 웍스 어워드'를 올해 국내에서 처음 개최한다고 12일 밝혔다. 유튜브...

  • 등록일: 2019-06-12

51

VIEWS

1

COMMENTED

IT정보 실명 추적 논란 '콜앱', 방통위 제재

이동전화 및 문자 발신자의 실명 추적이 가능한 모바일 앱(애플리케이션) '콜앱'을 서비스해 온 이스라엘 스타트업이 우리 정부의 시정조치를 받았다. 방송통신위...

  • 등록일: 2019-06-12

50

VIEWS

1

COMMENTED

IT정보 게임산업 지형도 바꾸는 '스트리밍'..IT공룡들의 새 격전지 부상

구글 스타디아 콘트롤러. (구글 제공) © 뉴스1(서울=뉴스1) 남도영 기자 = 올 가을 펼쳐질 '스트리밍 게임' 대전을 앞두고 게임계가 들썩이고 있다. 플랫폼 선점...

  • 등록일: 2019-06-12

38

VIEWS

2

COMMENTED

IT정보 "원천기술 없어도 IoT 잘쓰면 기술기업"

CES 아시아 총괄 CTA '카렌 춥카' 부사장 인터뷰 (지디넷코리아=손예술 기자)[상하이(중국)=손예술 기자] "5G·인공지능(AI) 등 새로운 기술을 원천적으로 보유하...

  • 등록일: 2019-06-12

34

VIEWS

1

COMMENTED

IT정보 삼성, 8년 연속 ‘아시아 최고 브랜드’..애플·소니·구글 제쳐

삼성전자 서초 사옥 (사진=이데일리DB) [이데일리 김종호 기자] 삼성전자(005930)가 아시아 최고 브랜드 선두 자리를 8년 연속 지킨 것으로 나타났다. 12일 글로...

  • 등록일: 2019-06-12

30

VIEWS

1

COMMENTED

IT정보 현대차 올라 탄 티맥스 '티베로', 국산 DBMS 시장확대 핸들 잡아

티맥스데이터가 현대·기아자동차 메인 데이터베이스관리시스템(DBMS)에 들어간다. 오라클 중심 구조를 깨뜨리고 윈백(경쟁사 시스템을 자사 제품으로 교체)했다. ...

  • 등록일: 2019-06-12

65

VIEWS

3

COMMENTED