용산공원갤러리 통신장비 관리자 계정 암호 '출고 시 기본값'
시설 관리자 "미군부지 안에 있어 관리 어려워" 엉뚱한 변명
시설 관리자 "미군부지 안에 있어 관리 어려워" 엉뚱한 변명
서울시가 통신 장비 관리자 설정 등 기초적인 보안 설정조차 하지 않았던 사실이 밝혀졌다. 해커가 이를 악용할 경우 개인정보 유출 등 심각한 피해가 일어날 수 있다고 전문가들은 지적한다.
서울 용산구 미군부지 내에서 지난해 개관한 '용산공원갤러리'에서는 와이파이를 통해 인터넷 연결이 가능하다. 방문객은 별도의 설정 없이도 서울시가 제공하는 와이파이를 연결해 인터넷을 이용할 수 있다.
문제는 와이파이 AP 등 설치된 네트워크 장비의 보안 설정이 전혀 이뤄지지 않았다는데 있다. 현재 갤러리는 DELL사의 TZ400 제품 등을 이용하고 있는데 출고 시의 기본 관리자 계정과 비밀번호를 입력하는 것만으로 로그인이 가능한 상태다.
이는 장비를 설치하는 경우 관리자 계정을 변경해 해킹 위험을 막는 절차가 생략됐기 때문에 벌어진 일이다. TZ400 관리자 화면에서도 비밀번호가 변경되지 않았다는 경고 메세지가 출력된다. 보안 설정에 있어 가장 기초적인 부분이 생략된 것이다.
보안 전문가들은 이런 상황에서 해커가 장비의 관리자 권한을 획득한 이후에는 네트워크 설정 조작이나 장비를 통한 사용자 통신 패킷 감청 등이 가능하다고 지적한다.
갤러리 관계자는 미군부지 내에서 장비를 운용하다보니 설정 변경 등에 어려움을 겪는다고 해명하고 있지만, 기초적인 보안 업무마저 처리하지 않은 점에서 비판을 피하기는 어려울 것으로 보인다.
저작권자 © 정보통신신문 무단전재 및 재배포 금지