화웨이 제품 500개 넘게 조사했더니 취약점이 한 가득 - 최신정보

진행중 이벤트

최근글 최근댓글

Windows Forms Professional Utilities "Rufus"

OS Forms "OsBlood"

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

IT정보 화웨이 제품 500개 넘게 조사했더니 취약점이 한 가득

작성자: 친정간금자씨 조회 수: 17 PC모드

URL 링크 :	http://www.boannews.com/media/view.asp?idx=80916

IoT 보안 전문 업체, 화웨이 제품 조사했더니 치명적인 취약점이 우수수

“다른 경쟁사들에 비해 보안 수준 현저히 떨어져”...“개인이 쓰기에도 위험”

[보안뉴스 문가용 기자] 화웨이 제품에서 더 많은 문제들이 발견됐다. IoT 전문 업체인 파이나이트 스테이트(Finite State)는 최근 화웨이에서 나온 558개 제품에 설치된 1만여 개 펌웨어 이미지들 내에 임베드 된 파일 150만 개를 조사해 여러 가지 취약점들을 찾아냈다고 발표했다. 제로데이 취약점들도 있었다.

[이미지 = iclickart]

“이번 연구 결과는 화웨이의 제품들이 객관적으로 봤을 때도 매우 위험하고 취약하다는 걸 알려줍니다. 국가적인 차원에서만이 아니라 그냥 일반 개인이 가정용으로 사용하기에도 위험합니다. 저희가 연구한 거의 모든 항목에서 화웨이 장비들은 다른 회사의 제품들에 비해 더 취약한 것으로 나타났습니다.” 파이나이트 스테이트의 설명이다.

먼저 파이나이트 스테이트는 “제품들 중 55%가 최소 한 개의 백도어를 포함하고 있었다”고 밝혔다. “백도어가 하드코드, 디폴트 사용자 계정 등의 형태로 숨겨져 있었습니다. 또한 평균 102개의 알려진 취약점들을 펌웨어에서 발견할 수도 있었습니다. 대다수가 ‘치명적 위험군’ 혹은 ‘고위험군’에 속하는 것들이었고, 제로데이로 분류될만한 것들도 있었습니다.”

이렇게 많은 취약점들이 제품 내에 포함되는 건 왜일까? 파이나이트 스테이트는 “한 가지 이유는 화웨이의 공정 그 자체”라고 꼽는다. “저희가 연구한 바에 따르면 화웨이의 엔지니어들은 안전한 개발 공정 기법을 사용하지 않습니다. 20년이 넘은 소프트웨어 라이브러리를 사용하기도 하죠. 보다 안전한 최신 버전이 있는데도 말이죠.”

화웨이는 자사 제품과 서비스의 보안성에 대한 의혹이 불거져 나올 때마다 ‘보안을 최우선시 하고 있다’고 일관되게 반박한다. “하지만 그 말이 얼마나 거짓인지는, 그들이 만든 제품들이 드러내고 있습니다. 산업을 선도해야 할 덩치를 가진 대기업이지만, 보안 수준은 낙후되어 있고, 구시대적입니다. 이번 연구 결과 화웨이의 보안 인식은 전혀 향상되지 않았음을 알 수 있었습니다. 심지어 오히려 퇴보하고 있다는 걸 보여주는 부분도 있었습니다.”

파이나이트 스테이트가 찾아낸 취약점들을 정리하면 다음과 같다.
1) 실험한 모든 화웨이 장비들의 29%에서 디폴트 사용자 이름과 비밀번호가 펌웨어에 저장되어 있음을 발견할 수 있었다.
2) 펌웨어들 중 76개 인스턴스들에서 잘못된 설정 내용을 발견할 수 있었다. 하드코딩 된 비밀번호를 보유한 루트 사용자가 SSH 프로토콜을 통해 로그인할 수 있도록 되어 있었던 것이다. 이는 ‘디폴트 백도어’가 있는 것이나 다름이 없다.
3) 펌웨어 이미지 중 8개 종류에서 미리 탑재된 authorized_keys가 하드코딩 된 채 저장되어 있는 것이 발견됐다.
4) 424개의 펌웨어 이미지들에서 비밀 SSH키가 하드코딩 된 채 저장되어 있었다.

파이나이트 스테이트의 최종 결론은, 보안 때문에 타격을 받아오고 있는 화웨이가 가장 싫어할 만한 쓴 소리였다. “비슷한 종류의 제품들을 출시하는 다른 경쟁사들의 제품들과 비교했을 때, 화웨이의 보안 수준이 크게 떨어진다는 것을 정량적으로 증명할 수 있었습니다.”

한편 최근 화웨이는 미국 회사로부터 ‘따돌림’을 받게 되는 등 사업적인 난관을 계속해서 돌파해야만 하는 상황에 놓이게 됐다. 그러나 뉴욕타임즈는 미국의 칩셋 생산자인 인텔과 마이크론이, 트럼프 행정부의 판매 금지령에서 허점을 발견해, 지속적으로 화웨이에 부품을 판매할 수 있으며, 실제 그렇게 해오고 있다는 기사를 내보내기도 했다. 제조사가 미국 회사라고 하더라도, 미국 영토가 아니라 해외에 있는 공장에서 만든 제품이나 부품들이라면, 화웨이로의 판매가 가능하다는 내용이었다.

3줄 요약
1. IoT 보안 전문 회사, 화웨이 제품 558개 꼼꼼히 조사했더니, 취약점 다량 나옴.
2. 고위험군, 치명적 위험군 등에 속한 취약점이 대다수. 심지어 제로데이도 일부 포함됨.
3. 가장 큰 문제는 화웨이의 구시대적인 공정. 20년 넘은 소프트웨어가 아직 사용되기도 할 정도.

이 게시물을

test test test

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

엮인글 :

2019.07.19 17:43
가입일: 2018:02.25
총 게시물수: 50
총 댓글수: 307

좋은 정보 감사합니다

List of Articles

IT정보 스타트업에 오픈랩 개방…5G 생태계 발굴 나선 통신 3社 5G 서비스 콘텐츠 확보나서 연구 위해 기지국·단말기 제공 AR·게임·보안 등 여러 분야 개발 일회성 아닌 지속적 상생 협력[ 홍윤정 기자 ] 5세대(5G) 이동통신은... 작성자: 천미르 등록일: 2019-06-10	17 VIEWS 1 COMMENTED
일반정보 “현대·기아차 개인정보 불법 수집”…과징금·과태료 부과 운전자 개인정보를 불법으로 수집한 현대·기아차에 수천만 원의 과징금과 과태료가 부과됐습니다. 방송통신위원회는 오늘(12일) 제28차 회의를 열어 정보통신망... 작성자: 천미르 등록일: 2019-06-12	17 VIEWS 1 COMMENTED
No Image IT정보 스마트홈, 구글ㆍ아마존보다 통신사에 유리 글로벌 홈 사물인터넷(IoT), 스마트홈 시장 경쟁에서 구글, 아마존 등이 앞서가고 있지만, 장기적으로는 네트워크를 보유한 통신사업자들이 더 유리한 고지를 차... 작성자: 홍다니 등록일: 2019-06-17	17 VIEWS 1 COMMENTED
IT정보 화웨이 제품 500개 넘게 조사했더니 취약점이 한 가득 IoT 보안 전문 업체, 화웨이 제품 조사했더니 치명적인 취약점이 우수수 “다른 경쟁사들에 비해 보안 수준 현저히 떨어져”...“개인이 쓰기에도 위험”[보안뉴스 ... 작성자: 친정간금자씨 등록일: 2019-07-02	17 VIEWS 1 COMMENTED
IT정보 쿼드 카메라 장착 '레노버 Z6 프로' 렌더링 유출.. 4월 23일 공개 레노버의 차세대 플래그십 스마트폰 '레노버 Z6 프로' 후면 디자인을 확인할 수 있는 프레스 렌더링이 온라인에 유출됐다. 후면은 글래스 소재가 적용된 것으로 ... 작성자: 유미love9306 등록일: 2019-04-23	18 VIEWS
IT정보 삼성 '갤럭시S10 5G' 미국서 사전예약.. 다음달 16일 출시 삼성전자 5G 스마트폰 '갤럭시S10 5G'가 다음달 16일 미국서 출시된다. 25일(현지시간) 외신에 따르면 미국 최대 이동통신사 버라이즌은 공식 홈페이지를 통해 ... 작성자: 유미love9306 등록일: 2019-05-01	18 VIEWS
IT정보 한국 진격하던 화웨이폰 `올스톱` 위기 안드로이드 OS 못쓰게 될수도 이통·화웨이 "당장은 문제없다" 최악땐 국내 고객 이탈 가속화 구글-화웨이 결별 파장 화웨이와 구글 간 안드로이드 OS(운영체제) ... 작성자: 천미르 등록일: 2019-05-22	18 VIEWS
No Image IT정보 통합 클라우드 스택을 기반으로 '패스트 팔로워'에서 '퍼스트 무버'로 전환한다...티맥스 티맥스는 5월 23일 기자간담회를 통해 기존 인프라 중심의 클라우드를 넘어선 플랫폼과 서비스 중심의 통합 클라우드 스택을 발표하면서 22년간 쌓아온 플랫폼 기... 작성자: 천미르 등록일: 2019-05-24	18 VIEWS
IT정보 '척척박사' 인간의 뇌 닮은 '인공신경망' 구현…어디까지 왔나 독일 튀빙겐 대학, 지난 5월8일 '숫자 감각' AI 개발 보고 허사비스 연구진, 지난해 인간의 길 찾는 직관력 모사 AI 개발알파고. 2016.3.11/뉴스1 © News1 장수... 작성자: 천미르 등록일: 2019-06-01	18 VIEWS
IT정보 "V50 씽큐 북미 돌풍 믿는다"… 글로벌 5G 주도권 노리는 LG 美 스프린트 통해 판매 돌입 국내 넘어 해외시장 출격 가속 초기 5G시장 장악 기대감 확대 스마트폰 사업 부진 만회 주목 16분기 연속 적자의 늪에 빠져있는 LG전... 작성자: 나그네량 등록일: 2019-06-02	18 VIEWS
No Image IT정보 AMD. 월가 예상보다 높은 실적 발표 AMD는 데이터 센터와 컴퓨터에 사용되는 그래픽 프로세서를 더 많이 판매하면서 월가 전망치를 초과한 4 분기 실적과 매출을 발표했습니다. AMD는 서버 및 게임 ... 작성자: UzinSG 등록일: 2018-02-01	19 VIEWS
일반정보 인텔, 새 CEO 로버트 스완 선임 인텔은 지난 31일(미국 현지시간) 로버트 스완(Robert Swan)을 최고경영자(CEO)로 선임했다고 2일 밝혔다. 로버트 스완(58세) CEO는 지난 7개월간 인텔의 임시 C... 작성자: 와일드 등록일: 2019-02-03	19 VIEWS
IT정보 '갤럭시S10' 47일 만에 100만대 판매돌파…'전작보다 빨라' 삼성전자 최신 프리미엄 스마트폰 '갤럭시S10' 시리즈가 국내 판매량 100만대를 돌파했다. 출시 47일 만이다. 26일 삼성전자에 따르면 갤럭시S10 시리즈는 지난... 작성자: 유미love9306 등록일: 2019-05-01	19 VIEWS
No Image 유용정보 “어메이징 코리아” 시내버스 와이파이 서비스에 SNS 반응 폭발 1일부터 전국 4200대 시내버스에서 무료 와이파이 사용 가능 과학기술정보통신부는 5월부터 16개 지자체와 함께 전국 4,200대 시내버스에서 누구나 무료로 이용할... 작성자: 친정간금자씨 등록일: 2019-05-04	19 VIEWS
IT정보 유출된 '홍미 X' 포스터는 가짜? 홍미 책임자 공식 부인 ▲'홍미 X' 포스터는 가짜? 중국에서 유출된 '홍미 X' 포스터는 가짜일 가능성이 높아졌다. 외신에 따르면 홍미 총괄 책임자 Lu Weibing... 작성자: 유미love9306 등록일: 2019-05-12	19 VIEWS