IP주소만으로 개인정보 탈취 가능, 펌웨어는 9월 6일 공개
[CCTV뉴스=최형주 기자] 국내에서도 대중화된 ‘D-Link' 와이파이 라우터 일부 모델의 크리덴셜(암호화 개인정보) 보관 방식에서 취약점이 발견돼 관련 기기 이용자들의 주의가 필요하다.
Trustwave SpiderLabs 연구원들이 발견한 취약점은 인기 와이파이 라우터 제조사인 D-Link의 일부 모델이다.
먼저 듀얼 밴드 D-Link DSL-2875AL 무선 라우터에서 발견된 취약점을 이용하면 누구든 https : // [라우터 IP 주소] /romfile.cfg 에 접속해 텍스트파일을 열고 장치의 로그인 암호에 접근할 수 있어 간단히 개인정보가 유출될 수 있다.
또 다른 취약점은 DSL-2875AL과 DSL-2877AL 모델의 ISP (Internet Service Provider) 인증 과정에서 발견됐다. 두 모델은 ISP 인증 시 라우터 로그인 페이지의 소스코드 상에 사용자 이름과 비밀번호를 유출한다. 이 경우 해커가 ISP 자격 증명을 얻어 악용할 우려가 있다.
한편 연구원들은 "올해 1월에 해당 취약점에 대해 통보했지만 D-Link가 해당 취약점 패치를 공개한 날짜는 해당 취약점의 완전 공개를 단 3일 남긴 9월 6일이었다"고 밝혔다.
저작권자 © CCTV뉴스 무단전재 및 재배포 금지