네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 -
1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고 있다. 하지만, 유닉스 서버, 윈도 우즈 시스템 등 정보시스템의 패스워드 관리는 전반적으로 잘 이루어지고 있는 반면 네트워크 장 비에 대한 패스워드 관리는 보안의 사각지대에 놓여 있는 경우가 많다. 많은 기업들이 L2/L3 스위치, 라우터, 무선 장비 등 각종 네트워크 장비의 디폴트 로그인 패스 워드를 변경하지 않고 그대로 사용하고 있다. 디폴트 로그인 패스워드는 장비 제조업체에서 출고 시 설정되어 나오는 기본 로그인 아이디와 패스워드를 말한다. 각 제조사의 장비별 디폴트 로그인 패 스워드 리스트는 인터넷 등을 통해 쉽게 구할 수 있어, 악의적인 사용자가 이러한 디폴트 로그인 패스워드를 이용하여 불법적으로 네트워크 장비에 접근할 수 있다. 네트워크 장비에 대한 불법 접근은 일반 정보시스템 침해사고 보다 훨씬 심각한 피해를 초래할 수 있다. 네트워크 장비에 대한 불법 접근이 가능할 경우 라우팅 정보 등 설정값을 임의로 변경하 여 기업 전체의 네트워크를 마비시킬 수 있으며, 네트워크 장비를 통해 전송되는 주요 정보를 유 출할 수도 있다. 또한 내부 네트워크 장비 또는 시스템으로의 침입경로를 제공해 줄 수도 있다. 또한 네트워크 장비는 대부분 방화벽 등 보안장비로부터 보호받고 있지 않아 디폴트 로그인 패스 워드를 사용할 경우 쉽게 공격을 받을 수 있어 침해 위험성은 더 크다고 할 수 있다. 이처럼 네트워크 장비에 대한 침해 가능성이 높고 침해시 피해가 심각할 수 있지만 많은 기업 에서 네트워크 장비에 대한 기본적인 보안 관리가 이루어지고 있지 않다. 이는 최근 민간기업들을 대상으로 시스템/네트워크 보안 취약점을 점검한 결과 확인할 수 있었으며, 특히 네트워크 장비의 디폴트 로그인 패스워드 사용이 심각한 수준이었다. 본 문서에서는 네트워크 장비의 디폴트 로그인 패스워드 사용에 따른 취약점 사례 및 이에 대한 보안대책을 살펴보도록 하겠다. 2. 취약점 사례 스위치 장비의 디폴트 로그인 패스워드 사용 인터넷 사용 및 내부 네트워크 환경 구축을 위해 설치되는 라우터와 스위치 장비들은 관리상의 편 의를 위해 telnet 등 원격 접속 서비스를 사용하는 경우가 많다. 하지만 이러한 원격 접속 서비스의 경우, 대부분 출고 시 기본적으로 설정되는 디폴트 로그인 패스워드가 있어, 만일 이 패스워드를 변 경하지 않고 장비를 운용한다면 보안 상 큰 문제를 야기 시킬 수 있다. - 2 -
다음은 인터넷을 통해 공인 IP가 설정된 내부 스위치 장비에 디폴트 로그인 패스워드 취약점을 이 용해 로그인한 화면이다. (그림 1) 스위치의 디폴트 패스워드를 이용해 로그인한 화면 해당 장비는 원격에서 telent 접속시 장비명 및 장비의 소프트웨어 버전을 제공해 주고 있어 공격 자는 해당 장비에 대한 디폴트 로그인 패스워드를 찾아 쉽게 불법적인 로그인이 가능한 상태였다. (그림 1)은 해당 장비의 디폴트 로그인 패스워드를 입력함으로써 쉽게 접속에 성공한 것을 볼 수 있 으며, 이러한 취약점을 이용해 악의적인 사용자는 해당 스위치에 접속 후 설정변경을 통해 네트워크 장애를 일으킬 수도 있게 된다. 또한, 아래 그림은 외부 스위치를 통해 재차 내부 네트워크의 다른 스위치에 접속한 화면이며, 스 위치 장비의 설정을 변경할 수 있는 privileged 모드로 접속한 것을 볼 수 있다. 내부 스위치 역시 디 폴트 로그인 패스워드를 사용하고 있었다. (그림 2) 내부 스위치의 접속화면 - 3 -
이처럼 라우터와 스위치 등 네트워크 장비를 기업 외부에서 원격 관리하기 위해 누구나 telnet 서 비스에 접속할 수 있도록 허용하는 경우가 많은데, 이 경우 본 사례에서와 같이 내부 네트워크까지 침해를 당할 가능성이 존재한다. 따라서, 원격에서의 telnet 접속이 반드시 필요한 경우라고 하더라도 가능하면 특정 IP에서만 접속할 수 있도록 설정하는 것이 안전하다. 무선 AP의 디폴트 로그인 패스워드 사용 다음은 무선 AP(Access Point) 장비의 디폴트 로그인 패스워드 취약점을 가진 B 社 의 사례를 살펴 보도록 한다. 해당 업체에서는 인터넷 공유기와 스위치를 이용해 내부 네트워크를 구성하였고, 추가 적으로 스위치에 무선 AP를 연결하여 무선랜을 구성하였다. 하지만 이와 같은 구성에서는 무선랜을 통해 내부 사내 망으로의 접속이 가능하게 되며, 무선 AP 또한 별도의 인증 절차 없이 접속 가능한 상태로 설정되어 있어 실질적으로 무선랜을 통해 내부 사 내 망의 PC로 바로 접속이 가능한 상태였다. (그림 3) B 社 네트워크 구성도 B 社 에서 운영하고 있는 무선랜 AP의 경우 SSID(Service Set Identifier)도 변경하지 않고 출고시 기 본적으로 설정되는 제품명을 SSID로 사용하고 있었다. 제조사에서 출고한 기본 SSID 조차 변경하지 않는 기업의 경우 AP 관리자 설정도 변경하지 않고 그대로 사용하는 경우가 많다. 대부분의 AP 제 품들은 관리자 설정에 보안기능이 존재하지만 출고시에 기본적으로 이러한 기능이 disable되어 있어 공격자는 단순히 무선랜을 임의로 사용하는 것 뿐만 아니라 AP 자체를 해킹할 수 있다. 공격자는 무선랜 카드가 장착된 노트북이나 PDA 등을 이용하여 주변의 SSID를 검색하고 출고시 기본 설정된 SSID를 그대로 사용하는 AP를 공격 대상으로 선택하여 쉽게 해킹할 수 있다. - 4 -
B 社 의 경우도 제품 출고시 설정된 SSID를 변경없이 사용하고 있었으며, 역시 해당 AP에 아무런 보안 설정이 되어 있지 않은 상태로 AP 자체에 대한 해킹이 가능한 상태였다. 무선랜 AP 관리자 페 이지 접속 패스워드를 장비 제조사에서 기본적으로 설정한 디폴트 패스워드로 사용하고 있어 쉽게 AP의 관리자 페이지로 접근할 수 있었다. (그림 4) 무선 AP 관리자 페이지 접속화면 또한, 사내망을 위한 스위치도 역시 디폴트 로그인 패스워드를 사용하고 있어 스위치에 대한 불법 적인 접근도 가능한 상태였다. (그림 5) 디폴트 로그인 패스워드를 이용한 스위치 접속 결국 외부 사용자가 아무런 인증과정 없이 무선랜을 통해 내부 네트워크에 접근 가능했으며, 내부 네 트워크에 있는 무선 AP 및 스위치의 디폴트 로그인 패스워드 취약점을 이용하여 해당 기업 전체의 네트워크를 제어할 수 있는 상태였다. - 5 -
3. 보안대책 네트워크 장비의 디폴트 로그인 패스워드 취약점에 대한 가장 기본적인 대책은 출고 시 설정된 로그인 패스워드를 변경하는 것이다. 또한, 네트워크 장비에 대해 원격지로부터의 telnet 서비스 접근을 차단하거나 특정 관리자 IP에서만 접속할 수 있도록 허용하여야 한다. 디폴트 로그인 패스워드에 대한 설정이나 IP별 접근통제 방법은 네트워크 장비에 따라 서로 다르 므로 보유하고 있는 네트워크 장비의 매뉴얼을 참고하여 설정하기 바란다. 본 문서에서는 편의상 CISCO 제품에서의 설정을 예를 들어 설명하도록 한다. 불필요한 원격접속 서비스 제거 먼저, 자신이 관리하고 있는 네트워크 장비들에 원격지에서 telnet 등 원격접속 서비스가 제공되 고 있는지 점검한다. 이는 nmap, superscan 등 공개용 포트 스캐너를 이용하면 쉽게 확인할 수 있다. telnet 뿐만 아니라 전체 서비스 포트에 대해 점검을 하고 불필요한 서비스가 제공되고 있을 경우 이를 제거할 필요가 있다. telnet 서비스도 원격지에서 접속할 필요가 없을 경우 서비스를 disable 시키는 것이 안전하다. 배너 정보 숨기기 원격에서 telnet 접속시 네트워크 장비의 배너에는 장비명과 소프트웨어 버전 등 장비에 대한 상세한 정보가 제공되는 경우가 있다. 이러한 배너 정보는 공격자에게는 공격을 위한 아주 유용한 정보가 될 수 있고, 이 정보를 이용하여 해당 장비의 디폴트 로그인 패스워드로 공격을 시도할 수 있다. 따라서, 네트워크 장비에서 기능이 제공될 경우 해당 장비의 배너 정보를 숨기는 것이 바람 직하다. 디폴트 로그인 패스워드 변경 CISCO 라우터에 사용되는 모든 패스워드는 초기 setup모드에서 설정할 수 있으며, config 모드 에서도 간단한 명령어를 사용하여 설정 가능하다. CISCO 라우터에서 virtual terminal 패스워드는 원격에서 telnet 접속을 가능하게 하는 패스워드로, virtual terminal 패스워드가 정의되지 않으면 telnet을 사용할 수 없다. CISCO 라우터에서는 원격 telnet 접속시 다음과 같이 패스워드를 설정할 수 있다. o 라우터의 Virtual Terminal Password 설정 line vty 0 4 명령어는 버츄얼 라인 0번에서 4번까지 총 5개의 텔넷이 동시에 가능함을 의미한다. - 6 -
Router(config)# line vty 0 4 Router(config-line)# password xxxxx 또한, enable secret 패스워드는 관리자 모드로 접근하기 위한 암호화된 패스워드로써 라우터에 서는 반드시 설정되어 있어야 한다. enable password 명령을 사용하여 관리자 모드 패스워드를 설정할 수도 있지만 이는 암호화되지 않은 채 저장되어 보안에 취약하다. o 라우터의 Enable Secret Password 설정 Router(config)# enable secret xxxxx 원격지에서 telnet 접속을 하지 않고, 콘솔을 통해 접속하기 위해서는 다음과 같이 패스워드를 설정할 수 있다. o 라우터의 콘솔 패스워드 설정 Router(config)# line console 0 Router(config-line)# passowrd xxxxx 소스 IP별 접근통제 디폴트 로그인 패스워드를 변경하였다고 하더라도 공격자에 의한 Brute Force 공격 등에 의해서 패스워드가 공격받을 위험성이 도사리고 있다. 네트워크 장비에 대한 telnet 접근은 일반인들에게 불필요한 서비스이므로 가능한 관리자 시스템에서만 접근할 수 있도록 소스 IP별 접근통제를 할 필요가 있다. 네트워크 장비 앞에 방화벽 등 보안장비가 존재할 경우 보안장비에서 이러한 소스 IP별 접근통 제를 실시할 수도 있지만 보안장비로부터 보호받고 있지 않는 경우에는 네트워크 장비에서 제공 하는 접근통제 기능을 이용해 IP 또는 서비스별로 접근통제를 해야 한다. CISCO 라우터의 경우 다음과 같이 telnet 서비스에 대한 접근통제를 실시할 수 있다. 특정 관리자 PC의 IP(222.222.222.222)에서만 라우터(111.111.111.1)로 telnet 접속을 허용하도록 설정한 예이다. Router(config)#access-list 101 permit tcp any any established Router(config)#access-list 101 permit tcp host 222.222.222.222 host 111.111.111.1 eq telnet Router(config)#access-list 101 permit tcp any host 111.111.111.2 eq smtp Router(config)#access-list 101 permit tcp any host 111.111.111.3 eq www... Router(config)#access-list 101 deny ip any any Router(config)# interface serial 0 Router(config-if)# ip access-group 101 in - 7 -
4. 결론 패스워드 취약점은 상당히 고전적인 보안 이슈이지만, 패스워드는 사람에 의해 지속적으로 관리가 필요하여 패스워드 취약점을 이용한 공격은 여전히 성행하고 있다. 최근 리눅스 서버 공격에 가장 많 이 이용되고 있는 방법 중의 하나인 SSH Brute Force 공격도 유추가능한 패스워드에 대한 공격이다. 지금까지 본 문서에서 다루었던 네트워크 장비의 디폴트 로그인 패스워드 취약점도 상당히 오 래된 보안이슈일 수 있지만 여전히 많은 기관에서 이러한 취약점을 방치하고 있는 실정이다. 최근 민간업체들을 대상으로 보안 취약점 점검을 실시하였는데, 이 중 상당수의 업체들이 네트워크 장 비의 디폴트 로그인 패스워드를 그대로 방치하고 있었다. 특히, 시스템/네트워크 관리 인력이 부 족한 중소기업체의 경우 네트워크 장비 설치 업체에서 설치해 준 상태 그대로 운영하는 경우가 많다. 현재 인터넷상에서 쉽게 여러 장비들의 디폴트 패스워드가 정리된 리스트를 구할 수 있어 이를 활용한 공격은 언제든지 발생할 수 있는 상황이다. 네트워크 장비는 통신업체나 네트워크 장비 판매/임대업체에서 설치해 주는 경우가 많은데 이 들 업체들은 고객 기업의 네트워킹 서비스가 주된 관심사이고, 네트워크 장비에 대한 보안은 신경 을 쓰지 못하는 경우가 많다. 따라서, 이들 통신업체나 네트워크 장비 판매/임대업체에 대한 보안 의식 제고 및 기본적인 보안교육도 필요하리라 생각된다. 또한, 기업 시스템/네트워크 관리자도 네트워크 장비 설치시 해당 장비의 디폴트 로그인 패스워 드 변경 등 기본적인 보안은 반드시 지키도록 노력할 필요가 있다. 실제 많은 기업에서는 네트워크 초기 구축 이후에는 별도의 관리가 이루어지지 않아 네트워크 장비 현황이나 해당 네트워크 장비에 어떤 서비스가 구동되고 있는지 조차 파악하고 있지 못하는 경우가 많다. 따라서, 네트워크 장비 뿐만 아니라 전체 기업의 보안관리를 위해서도 먼저 시스템 및 네트워크 장비에 대한 현황 파악이 우선되어야 할 것이다. 담당자의 변경이나 장비 추가로 인한 구성 변경 시에도 파악이 용이하도록 시스템 및 네트워크 구성도, IP 목록, 서비스 목록 등을 작성하여 관리 하여야 한다. 이러한 현황파악은 보안사고 발생시 신속한 대응을 위해서도 반드시 필요하다. - 8 -