유명 무선공유기 제조사, 치명적 취약점 알고도 8개월간 패치 없었다

기사승인 2019.09.11  13:35:24

공유

- IP주소만으로 개인정보 탈취 가능, 펌웨어는 9월 6일 공개

[CCTV뉴스=최형주 기자] 국내에서도 대중화된 ‘D-Link' 와이파이 라우터 일부 모델의 크리덴셜(암호화 개인정보) 보관 방식에서 취약점이 발견돼 관련 기기 이용자들의 주의가 필요하다.

Trustwave SpiderLabs 연구원들이 발견한 취약점은 인기 와이파이 라우터 제조사인 D-Link의 일부 모델이다.

먼저 듀얼 밴드 D-Link DSL-2875AL 무선 라우터에서 발견된 취약점을 이용하면 누구든 https : // [라우터 IP 주소] /romfile.cfg 에 접속해 텍스트파일을 열고 장치의 로그인 암호에 접근할 수 있어 간단히 개인정보가 유출될 수 있다.

D-Link의 DSL-2875AL 라우터 모델.(사진: D-Link 홈페이지)

또 다른 취약점은 DSL-2875AL과 DSL-2877AL 모델의 ISP (Internet Service Provider) 인증 과정에서 발견됐다. 두 모델은 ISP 인증 시 라우터 로그인 페이지의 소스코드 상에 사용자 이름과 비밀번호를 유출한다. 이 경우 해커가 ISP 자격 증명을 얻어 악용할 우려가 있다.

한편 연구원들은 "올해 1월에 해당 취약점에 대해 통보했지만 D-Link가 해당 취약점 패치를 공개한 날짜는 해당 취약점의 완전 공개를 단 3일 남긴 9월 6일이었다"고 밝혔다.

최형주 기자 hjchoi@cctvnews.co.kr

<저작권자 © CCTV뉴스 무단전재 및 재배포금지>
default_news_ad4

인기기사

오피니언

1 2 3
item35

섹션별 인기기사 및 최근기사

조이뉴스 인기기사

item42
#top
default_bottom_notch