디링크 제품에서 발견된 취약점 3개, 긴급 패치 목록에 올라
- 2020~2022년에 패치된 취약점인데 다시 문제돼
- 레거시 제품에서 문제 나올 경우, 새 제품 구입이 해결책
- 펌웨어 업데이트 하는 방법, 익혀두면 좋아
미국의 사이버 보안 전담 기관인 CISA가 디링크(D-Link) 제품군에서 발견된 취약점 3개를 KEV 목록에 새로 포함시켰다. 실제 익스플로잇 공격이 활발히 진행되고 있기 때문이라고 CISA는 설명했다. 이 취약점들은 이번에 새로 발견된 게 아니고, 2020년과 2022년 사이에 이미 패치가 완료된 것들이다.
취약점들은 다음과 같다.
1) CVE-2020-25078 : CVSS 7.5점짜리의 고위험군 취약점. 디링크 DCS-2530L과 DCS-2670L 장비들에서 발견됐으며, 원격 관리자용 비밀번호를 노출시킨다.
2) CVE-2020-25079 : CVSS 8.8점짜리의 초고위험군 명령 주입 취약점으로, DCS-2530L과 DCS-2670L에서 발견됐다.
3) CVE-2020-40799 : CVSS 8.8점짜리 초고위험군 취약점으로 다운로드 된 코드를 제대로 확인하지 않아 발생한다. 공격자들은 임의 명령을 실행할 수 있게 된다. DNR-322L에서 발견됐다.
아직까지 CISA는 이 오래된 취약점들이 어떤 방식으로 익스플로잇 되고 있는지 구체적으로 공개하지는 않고 있다. 다만 지난 12월 미국 FBI는 CVE-2020-25078이 하이아투스랫(HiatusRAT) 확산 캠페인에 악용되고 있다고 밝힌 적이 있다. 또 하나 참고해야 할 것은 CVE-2020-40799이다. 이 취약점이 발견된 DNR-322L이 이미 취약점 발견 당시에도 단종된 상태였기 때문에 디링크 측에서 패치를 내놓지 않고 있기 때문이다.
레거시 제품들이 가진 문제
디링크는 대만의 네트워크 장비 제조사로, 1986년 창립해 지금까지 IT 업계 중견 기업으로 남아 있다. 오랜 시간 장비를 세계 여러 시장에 보급해 왔는데, 이 때문에 보안 문제들이 적잖게 나오는 편이다. 문제의 중심에는 단종된 장비들, 즉 회사의 지원이 끝난 제품들이 있다. 이런 오래된 제품들에서 나오는 취약점들은 회사 정책상 패치되지 않는 게 대부분이기 때문이다. 더군다나 네트워크 장비들(특히 라우터)의 경우 소비자들은 꽤나 긴 시간 신제품으로 바꾸지 않으려는 경향을 보이기 때문에 문제가 악화되기도 한다. 공격자들도 이런 사실을 잘 알고 있고, 그래서 오래된 제품들에 대한 취약점 분석을 이어간다.
레거시 제품의 침해 방법을 연구한다는 것에는 장단점이 있다. 단점이라면 사용자가 얼마 남아있지 않을 수 있다는 것이지만, 패치가 나오지 않을 확률이 높다는 압도적인 장점이 있어 공격자들이 손을 놓지 않는다. 현재로서는 소비자들이 알아서 단종된 제품을 버리고 새 제품을 구입하는 것만이 해결책이다. 장비를 스스로 고치고 패치할 수 있는 기술이 있다면 그렇게 해도 되지만, 극소수에게만 해당되는 일이다. 그런 기술력을 가지고 있다손 치더라도 ‘자가 수리권’이 전 세계적으로 받아들여지지 않고 있어 지역에 따라 법적인 리스크를 짊어질 수도 있다.
오래된 제품만 문제일까
단순히 단종된 제품에서만 취약점이 나온다면 디링크로서는 다소 억울할 수 있다. 하지만 비교적 최근 제품들에서도 취약점이 나오고 있는 게 현실이다. 최신 펌웨어에 숨겨져 있던 백도어 계정이 발견된 적도 있었고, 펌웨어 서명 키가 유출된 사례도 있다. 웹 인터페이스 문제 때문에 DNS 하이재킹 사건이 벌어진 적도 있었다.
그래도 다행인 건 디링크가 지원 기간 내에 있는 제품과 서비스에 한해서는 패치를 빠르게 배포하는 편이라는 것이다. 지원 기간이 끝나지 않은 소비자라면 디링크 제품 관련 소식을 접할 때 펌웨어 패치를 다운로드 받아 적용하는 것으로 안전하게 제품을 사용할 수 있다. 안전을 위해 소비자들이 할 수 있는 최소한의 일 두 가지가 바로 장비 디폴트 비밀번호 바꾸기와 펌웨어 업데이트 하기다.
펌웨어 업데이트, 어떻게 하나
펌웨어 업데이트는 다음과 같은 방법으로 진행한다(제품에 따라 달라질 수 있다).
1) 내가 가진 장비가 무엇인지 파악한다(제조사, 모델명, 일련번호 등). 주로 장비 뒤에 스티커 형태로 붙어 있다. 글씨가 깨알 같을 수 있다.
2) 장비를 네트워크에 연결한다. 이더넷을 통해서 혹은 와이파이를 통해서 실시한다.
3) 브라우저를 열고 장비의 IP 주소를 입력한다. 주로 192.168.0.1 혹은 192.168.1.1인데, 윈도에서는 ipconfig로, 맥이나 리눅스에서는 ifconfig로 정확한 확인이 가능하다.
4) 웹 인터페이스가 열리면 로그인을 한다. 보통 제조사에서 admin / admin 정도로 설정해두는 편이다. 이게 아니라면 별도의 매뉴얼을 통해 확인한 후 로그인을 완료한다. 그리고 이 디폴트 비밀번호를 바꿔둔다.
5) 장비의 고객 지원 사이트에 접속한다. 검색엔진에 제조사 이름과 고객 지원을 같이 입력하면 대부분 쉽게 찾을 수 있다.
6) 최신 펌웨어 버전을 찾아 다운로드 받는다. .bin이나 .img 파일인 경우가 많다. 이 때 비공식 사이트에서 비슷한 파일을 받으면 위험하다.
7) 다운로드 후 다시 4)번의 엡 인터페이스로 돌아간다. 거기서 펌웨어 관련 메뉴를 찾는다. 이는 제조사마다, 장비마다 조금씩 다르다.
8) 6)번에서 다운로드 받은 펌웨어를 지정하는 옵션이 있다면, 그걸 활용해 .bin 혹은 .img 파일을 지정한다.
9) 업그레이드가 진행되는 동안 장비를 끄지 않는다.
10) 장비를 재부팅한다. 그런 후 다시 사용자 인터페이스로 들어가 펌웨어 버전이 올라갔는지 확인한다.
11) 자동 펌웨어 업데이트 기능이 있다면 활성화 시켜 둔다.
다음 유튜브 영상(https://youtu.be/s7d1wbhgHNc?feature=shared)을 추천한다. 한국인터넷진흥원(KISA) 역시 홈 네트워크 보안 가이드를 PDF로 형태로 배포하고 있기도 하다. 이 문건은 여기(https://www.kisa.or.kr/401/form?postSeq=3298#fndoDocumentPreview)서 다운로드가 가능하다.
Related Materials
- CISA Alerts on Ongoing Exploits Targeting D-Link Device Vulnerabilities (DCS-2530L, DCS-2670L, DNR-322L 주요 이슈) - GBHackers, 2025년
- CISA Issues Alert on Active Exploitation of D-Link Path Traversal Flaw (CVE-2024-0769, DIR-859 EOL 취약점) - GBHackers, 2025년
- CISA Warns of Actively Exploited D-Link Router Vulnerabilities (CSRF·정보유출 다수 취약점 현황) - The Hacker News, 2024년
- Organizations Warned of Exploited SAP, Gpac and D-Link Vulnerabilities (CVE-2023-25280 등 고위험 취약점 대응 권고) - SecurityWeek, 2024년
JustAnotherEditor
JustAnotherEditor
Senior Editor
