2015.12.04

스마트TV·휴대전화·라우터 수백 만 대 위험 '오래된 취약점 때문'

Jeremy Kirk | IDG News Service
스마트TV, 휴대전화, 라우터 제조사들이 패치 적용을 소홀히 한다는 지적이 나왔다. 


이미지 출처 : Trend Micro

수백 만 대의 스마트TV, 라우터, 휴대전화에서 쓰이고 있는 소프트웨어 컴포턴트에서 3년된 취약점이 아직도 패치되지 않은 채 남아 있는 것으로 조사됐다. 이를 조사한 트렌드마이크로는 스마트TV, 라우터, 휴대전화 제조사들에게 오래된 취약점 때문에 위험할 수 있다고 전했다.

트렌드마이크로는 2012년 12월에 패치가 나왔는데도 패치되지 않은 이전 버전을 사용하는 애플리케이션 547개를 발견했다고 모바일 위협 애널리스트인 베오 장은 밝혔다.

"이것들은 수백 만 명의 사용자들을 위험에 빠뜨리는 대중적인 애플리케이션이다. 모바일 기기 이외에 라우터, 스마트TV도 모두 위험해 진다"고 그는 전했다.

라우터와 스마트TV 등 기기 제조사들이 자사 제품에 나타나는 보안 취약점을 어떻게 다루는 지에 대한 우려가 높아지고 있다. 이들의 패치 계획은 주요 소프트웨어 업체들만큼 엄격하지 않기 때문에 소비자들이 오래된 제품을 사용할 때 공격의 대상이 될 수 있다.

일부 기업들이 이후 자사 소프트웨어를 업데이트했지만 610만 개의 기기들은 여전히 영향을 받을 수 있다고 장은 말했다. 

트렌드마이크로는 데이터 실행 방지와 주소 공간의 무작위 배치 등의 방어 기능을 가지고 있지 않은 기기들에 대한 공격을 목격했다고 그는 언급했다.

"이밖에 조사에서 기기들에 대한 공격은 충돌을 일으킬 뿐 아니라 영향을 받은 기기들에서 임의로 코드를 실행하는데도 쓰일 수 있다”고 그는 밝혔다. 이어서 장은 “임의의 코드를 실행하는 기능은 공격자가 PC처럼 기기를 장악하도록 해줄 것이다"고 덧붙였다. 

구체적으로 취약점은 UPnP 기기용 휴대용 SDK 내부에 ‘libupnp’라는 코드 라이브러리에 있다. 이는 미디어를 재생하는 데 사용되며, NAT(Network Address Translation)를 위한 것이다.

547개의 취약한 애플리케이션 중에서 326개는 구글의 플레이 앱 스토어에 있다. 대표적인 것 중 하나가 중국에서 100만 명의 사용자를 가지고 있는 텐센트에서 QQ뮤직(QQMusic)이다. 이 사실을 통보받은 후 텐센트는 11월 23일 안드로이드 앱 업데이트를 출시했다. ciokr@idg.co.kr



2015.12.04

스마트TV·휴대전화·라우터 수백 만 대 위험 '오래된 취약점 때문'

Jeremy Kirk | IDG News Service
스마트TV, 휴대전화, 라우터 제조사들이 패치 적용을 소홀히 한다는 지적이 나왔다. 


이미지 출처 : Trend Micro

수백 만 대의 스마트TV, 라우터, 휴대전화에서 쓰이고 있는 소프트웨어 컴포턴트에서 3년된 취약점이 아직도 패치되지 않은 채 남아 있는 것으로 조사됐다. 이를 조사한 트렌드마이크로는 스마트TV, 라우터, 휴대전화 제조사들에게 오래된 취약점 때문에 위험할 수 있다고 전했다.

트렌드마이크로는 2012년 12월에 패치가 나왔는데도 패치되지 않은 이전 버전을 사용하는 애플리케이션 547개를 발견했다고 모바일 위협 애널리스트인 베오 장은 밝혔다.

"이것들은 수백 만 명의 사용자들을 위험에 빠뜨리는 대중적인 애플리케이션이다. 모바일 기기 이외에 라우터, 스마트TV도 모두 위험해 진다"고 그는 전했다.

라우터와 스마트TV 등 기기 제조사들이 자사 제품에 나타나는 보안 취약점을 어떻게 다루는 지에 대한 우려가 높아지고 있다. 이들의 패치 계획은 주요 소프트웨어 업체들만큼 엄격하지 않기 때문에 소비자들이 오래된 제품을 사용할 때 공격의 대상이 될 수 있다.

일부 기업들이 이후 자사 소프트웨어를 업데이트했지만 610만 개의 기기들은 여전히 영향을 받을 수 있다고 장은 말했다. 

트렌드마이크로는 데이터 실행 방지와 주소 공간의 무작위 배치 등의 방어 기능을 가지고 있지 않은 기기들에 대한 공격을 목격했다고 그는 언급했다.

"이밖에 조사에서 기기들에 대한 공격은 충돌을 일으킬 뿐 아니라 영향을 받은 기기들에서 임의로 코드를 실행하는데도 쓰일 수 있다”고 그는 밝혔다. 이어서 장은 “임의의 코드를 실행하는 기능은 공격자가 PC처럼 기기를 장악하도록 해줄 것이다"고 덧붙였다. 

구체적으로 취약점은 UPnP 기기용 휴대용 SDK 내부에 ‘libupnp’라는 코드 라이브러리에 있다. 이는 미디어를 재생하는 데 사용되며, NAT(Network Address Translation)를 위한 것이다.

547개의 취약한 애플리케이션 중에서 326개는 구글의 플레이 앱 스토어에 있다. 대표적인 것 중 하나가 중국에서 100만 명의 사용자를 가지고 있는 텐센트에서 QQ뮤직(QQMusic)이다. 이 사실을 통보받은 후 텐센트는 11월 23일 안드로이드 앱 업데이트를 출시했다. ciokr@idg.co.kr

X