UPDATED. 2022-12-06 19:03 (화)
방화벽 설치 이후 인증서 관리·정책 업데이트 방치
방화벽 설치 이후 인증서 관리·정책 업데이트 방치
  • 박광하 기자
  • 승인 2022.09.25 16:17
  • 댓글 0
이 기사를 공유합니다

[기획연재] 경기도 공동주택 홈네트워크 설비 연구보고서·표준매뉴얼 분석 ④

망내 장비 정보 간단히 노출
네트워크 접근 차단조치 필요

홈게이트웨이 주요기능 빠져
상호연동 미구현 문제 발견
월패드 일체형 홈게이트웨이. [사진=경기도]
월패드 일체형 홈게이트웨이. [사진=경기도]

[정보통신신문=박광하기자]

경기도가 표본주택을 대상으로 홈네트워크 보안관리에 대한 점검을 실시한 결과, 모든 표본단지에서 방화벽 장비를 설치한 이후 별도의 정책(룰셋) 업데이트를 하지 않고 있었던 것으로 드러났다. 서버들이 모두 단일망에 연결된 까닭에 해킹 피해가 빠르게 확산될 수 있는 구조적 문제도 발견됐다. 홈게이트웨이는 NAT(Network Address Translation) 기능이 작동하지 않아 세대 내부의 장비 정보가 손쉽게 검출됐다.

 

■옛날 수배전단 그대로, 새 범인 놓쳐

연구진은 홈네트워크 관련 법규에서 방화벽 설치 및 관리 기준이 미비하다고 짚었다.

현행 '지능형 홈네트워크 설치 및 기술기준'에서는 방화벽을 "세대 내 홈게이트웨이와 단지 서버간의 통신 및 보안을 수행하는 장비"인 '단지 네트워크 장비'에 포함해 분류하고 있으나, 방화벽의 설치 및 관리에 관한 별도의 절차와 기준을 정하고 있지 않다는 것이다.

방화벽의 인증서 관리도 허술하다고 지적했다.

방화벽 설치 후 제품의 인증서를 받아 관리해야 하고, 유효기간 만료 시 재인증을 요구하고 기 설치된 제품은 재인증을 받은 프로그램으로 업그레이드를 실시해야 한다. 하지만, 대부분의 표본단지에서는 업그레이드 실시 없이 설치 당시 상태를 그대로 유지하고 있어 방화벽의 효용성에 문제가 있었다.

방화벽 룰셋 업데이트도 부실했다. 모든 표본단지에서는 방화벽 룰셋 업데이트가 이뤄지지 않고 있었다. 이는 수배전단이 갱신되지 않아, 최근 범죄를 일으킨 수배범을 적발하지 못하는 것과도 비슷하다.

 

■공유·전유부분 장비 정보 모조리 노출

연구진은 표본조사 대상 아파트에서 홈네트워크 서버가 설치된 방재실의 서버팜, 단지 공용망 구간의 동TPS실, 세대단자함 등에서 네트워크 스캐닝 프로그램을 이용해 주변 네트워크 정보 검출 여부를 확인했다.

그 결과, 아파트 준공 연도에 관계 없이 모든 표본단지에서 홈네트워크 내 단지서버, 로비폰 등 공용장비, 세대 내 월패드 등의 네트워크 구성 정보가 쉽게 검출됐다.

특히, 홈네트워크에 접속된 월패드의 경우 모든 세대의 제품이 하나의 공용망에 연결돼 있음을 확인할 수 있었다. 이는 홈네트워크에 연결된 어느 한 장비에서 다른 모든 월패드로 접근할 수 있다는 의미다. 이 경우 손쉬운 해킹 표적이 될 수 있다.

홈네트워크에는 단지서버 이 외에도 CCTV 서버, 원격검침 서버, 차량 출입통제 서버 등 홈네트워크 서비스를 위한 각종 서버들이 방재실의 서버팜에 구성돼 있으나 이들 서버들이 모두 단일망에 수용돼 있어서 네트워크에 연결된 장비(노트북 등)로부터 접근 가능하므로 해킹에 노출될 위험이 있다.

연구진은 방재실 백본 스위치 및 L2 스위치에서 월패드의 IP 주소가 검색되지 않도록 네트워크 접근 차단 조치가 필요하다고 짚었다. 홈네트워크에 연결된 월패드에 대해 허용되지 않은 장비가 접근할 수 없도록 해야 한다는 이야기다. 또한, 홈네트워크 내 각종 장비에 대해 네트워크 구성정보의 검출 여부를 확인하기 위해 주기적인 점검을 실시해야 한다고 제시했다.

 

■제 구실 못하는 '홈게이트웨이'

표본조사 과정에서 일체형 홈게이트웨이의 시험성적서를 입수해 검토했으나 모든 제품이 표준에서 요구하는 홈게이트웨이 기능을 충족하고 있지 않았다. 물리적 인터페이스 기능 일부를 구현해 원격기기와의 연결성은 제공하고 있으나 상호연동 기능 및 망간 게이트웨이 기능(NAT, DHCP 등)이 구현돼 있지 않은 것이다.

즉, 일체형 홈게이트웨이는 KS X 4504에서 요구하는 표준의 홈게이트웨이 기능을 제공하고 있다고 할 수는 없다는 게 연구진의 판단이다.

연구진은 "현재 시중에는 KS 표준을 충족하는 홈게이트웨이를 찾을 수 없었다"며 "일부 월패드 제조사에서 일체형이라고 하는 제품들은 KS 표준이 요구하는 망간 연동 및 상호 연동 기능을 제공하지 않는다"고 지적했다.

또한 "홈게이트웨이 부재로 인해 월패드의 네트워크 구성정보가 노출되는데, 이는 해킹에 매우 취약한 네트워크 구조"라고 짚었다.

연구진은 해킹 등 사이버공격으로부터 각 세대를 보호하기 위해 세대간 망분리를 대안으로 제시했다.

단지서버와 월패드 전단까지의 네트워크를 세대별로 분리 구성함으로써 단지망 내 다른 세대나 공용구간으로부터 세대 내 월패드의 접근 정보 취득을 차단해 보안 취약점을 해소시킬 수 있다는 설명이다.

물론, 연구진은 세대간 망분리 조치를 하더라도 홈게이트웨이 없이는 홈네트워크 망간 연동 및 이기종 간의 상호연동의 문제는 여전히 해결할 수 없다는 점을 지적했다. 또한, KS 표준을 준수하는 홈게이트웨이가 없다면 표준 제정의 이유인 사용자의 선택권이 확보될 수 없다는 점도 분명히 했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 문창수
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-12-06
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트