에이수스가 자사의 공유기에 심각한 보안 결함이 있는 것을 인지하고도 빠른 조치를 취하지 않은 것에 대한 조치로 2년 마다 독립 감사 기관에게 20년 동안 보안 정책 감사를 받기로 합의했다고 미국 연방거래위원회가 23일(현지시각) 발표했습니다.
연방거래위원회는 에이수스가 자사의 공유기의 보안 기능을 강조하면서 “승인되지 않은 접근, 해킹, 바이러스 공격에게서 보호해준다”라고 광고를 했지만, 보안 정책을 제대로 관리하지 않았다고 지적했습니다.
해커들은 공유기 다양한 보안 결함을 이용해 웹 기반의 관리자 패널을 쉽게 접근해 사용자 몰래 공유기의 설정을 바꿀 수 있었다고 합니다. 심지어 2015년 4월에는 이러한 취약점을 이용해 사용자의 웹 트래픽을 완전히 접수하는 것도 가능했다고 합니다. 여기에 더해 제품마다 복잡한 암호를 제공하는 타사 라우터와 달리, 초기 계정과 패스워드를 모두 ‘admin’으로 설정한 채로 출하해 상황을 악화시켰다고 연방거래위원회는 밝혔습니다.
공유기에 연결한 외장 하드를 클라우드 서버로 만들어주는 ‘에이클라우드(AiCloud)’와 ‘에이디스크(AiDisk)’ 서비스에도 심각한 보안 결함이 있었습니다. 로그인을 건너뛰고 사용자의 파일을 모두 볼 수 있고, 파일 전송 간에 암호화도 전혀 되지 않은 데다가, 기본 프라이버시 설정도 공개로 설정되어 인터넷만 연결돼 있다면 모두가 접근할 수 있도록 되어 있었다고 합니다. 실제로 2014년 2월에는 해커가 12,900명의 공유기에 연결된 저장장치들을 접근해 파일을 빼내가기도 했습니다.
벌금은 $16,000(약 1,971만원)이라는 적은 액수가 부과됐는데요. 징벌적 손해 배상이 가능한 미국에서 자칫 엄청난 벌금을 받을 수 있기 때문에 20년 동안 감사를 받는 대신 벌금을 낮추는 협상을 했다는 분석입니다. 이와 함께 고객에게 취약점을 해결한 최신 업데이트와 고객의 데이터를 보호하는 방법에 대한 가이드를 배포하기로 했습니다.
혹시 에이수스의 공유기를 쓰고 있다면 네트워크 암호와 웹 관리자 도구의 암호를 확인해 보시길 권합니다.
-
http://thegear.co.kr/11065