최근 조사 데이터에 따르면, 응답자의 86%가 라우터 관리자 비밀번호를 변경한 적이 없으며, 52%는 공장 설정을 변경한 적이 없다고 한다. 이는 공격자가 기업 네트워크를 손상시킬 수 있음을 뜻한다."admin"과 "password"를 자격 증명으로 사용하여 보안이 보장된 기기에 엑세스할 수 있는데, 피싱 이메일을 만들고 데이터를 훔치는 데 시간과 노력을 투자할 필요가 없기 때문이다.
https://www.broadband.co.uk/broadband/help/router-security-research
Router security survey 2025
Meet the author: Alex Tofts Alex came on board in October 2016 and in that time has risen to Broadband Genie’s resident broadband expert. For the last 7 years, he has appeared all over the UK press, giving expert advice about anything and everything rela
www.broadband.co.uk
이제 라우터의 현실을 확인해보자.
라우터 위험 증가
라우터는 여러 기기가 동일한 인터넷 연결을 사용할 수 있도록 한다. 라우터는 이를 트래픽을 지시하여 달성한다. 내부 기기는 외부 서비스로 가는 가장 효율적인 경로를 따라 전송되며, 들어오는 데이터는 적절한 기기로 전달된다.
공격자가 라우터를 손상시키는 데 성공하면 네트워크에서 나오고 들어오는 트래픽을 모두 제어할 수 있다. 이는 다음과 같은 위험을 초래한다.
- 사용자를 악성 웹 페이지로 Rediretction
- 데이터를 훔치기 위해 중간자 공격(MITM)
- DDoS 공격
- IoT 기기를 통한 사용자 행동 모니터링
라우터 공격의 특성상 탐지하기도 어렵다. 사이버 범죄자들이 라우터에 강제로 침입하거나 보안을 피하기 위해 우회 경로를 이용하지 않기 때문이다.
"admin"을 로그인으로 사용하고 비밀번호가 없는 라우터를 생각해보자. 공격자는 간단한 추측만으로 공격자는 보안 응답을 유발하지 않고 라우터 설정에 접근할 수 있을 것이다. 왜냐하면 네트워크 서비스나 애플리케이션을 침해한 것이 아니라, 직원이나 IT 팀처럼 라우터에 접근했기 때문이다.
방어적 격차
기업들은 사이버 보안의 필요성을 인식하고 있다. Gartner에 따르면, 정보 보안에 대한 지출은 2025년에 15% 증가하여 2,120억 달러에 이를 것으로 예상된다. 일반적인 투자 분야에는 엔드포인트 보호 플랫폼(EPP), 엔드포인트 탐지 및 대응(EDR), 그리고 생성형 AI(gen AI) 통합이 포함된다. 그러나 라우터는 종종 간과되고 있다.
예를 들어, 응답자의 89%는 라우터 펌웨어를 업데이트한 적이 없다고 답했고, 동일한 비율의 응답자는 기본 네트워크 이름을 변경한 적이 없으며, 72%는 Wi-Fi 비밀번호를 변경한 적이 없다고 밝혔다.
이와 같은 상황은 심각한 문제를 초래할 수 있다. 최근 보고서에 따르면, 인기 있는 OT/IoT 라우터 펌웨어 이미지들이 오래되어 취약한 N-day 취약점이 존재한다고 한다. 보고서에서는 평균적으로 오픈 소스 구성 요소들이 5년 이상 구식이며, 최신 릴리스보다 4년 뒤쳐져 있다고 언급하고 있다.
Popular OT/IoT Router Firmware Images Contain Outdated Software and Exploitable N-Day Vulnerabilities Affecting the Kernel
Forescout Technologies, Inc., a global cybersecurity leader, and Finite State, an industry leader in software supply chain security, announced today the rele...
www.businesswire.com
GovTech에 따르면 피츠버그 지역의 수도 관리 당국에 대한 공격은 해당 네트워크의 기본 비밀번호가 "1111"이었다는 사실 때문에 성공한 것으로 나타났다. "password"나 "123456"과 같은 기본 비밀번호도 흔히 사용되며, 일부 라우터는 아예 비밀번호가 설정되지 않은 경우도 있다. 공격자는 로그인 자격 증명(admin)만 있으면 라우터의 모든 기능에 접근할 수 있다.
더 놀라운 사실은 라우터 보안이 개선되지 않고 오히려 악화되고 있다는 점이다. 2022년에는 응답자의 48%가 라우터 설정을 변경한 적이 없다고 응답했으며, 16%는 관리자 비밀번호를 한 번도 변경하지 않았다고 밝혔다. 2024년에는 50% 이상의 라우터가 여전히 공장 초기 설정으로 운영되고 있었고, 비밀번호를 변경한 비율은 14%밖에 되지 않았다.
보안 도구에는 많은 비용을 투자하면서 기본 설정을 변경하거나 라우터 펌웨어를 업데이트하지 않는 기업들은 마치 문은 잠그고 창문은 활짝 열어놓은 것과 같다.
잘못된 설정 실수 최소화
그렇다면 기업들은 어떻게 잘못된 설정 실수로 인한 위험을 최소화할 수 있을까?
먼저 기본적인 사항부터 시작해야 한다. 비밀번호를 정기적으로 변경하고, 펌웨어를 업데이트하며, 라우터가 공장 초기 설정으로 방치되지 않도록 해야 한다. 간단한 일이지만, 설문 조사에 따르면 이렇게 간단한 일을 하지 않는다는 것을 알 수 있다.
라우터 보안 위험과 보안 현실 간의 격차는 사이버 공격의 압도적인 양에서 비롯된다. 예를 들어, 2023년에는 94%의 기업이 피싱 공격을 받았고, IBM의 2024년 데이터 유출 비용 보고서에 따르면 데이터 유출의 평균 비용은 이제 488만 달러로, 2023년보다 10% 증가했으며 역대 최고치를 기록했다. 이는 사이버 보안 팀을 방어적 자세로 만들고 피싱, 스미싱, 검토나 승인을 받지 않은 "Shadow IT" 애플리케이션과 같은 일반적인 공격 경로에 대해 높은 경계를 유지하게 만든다.
그 결과, 라우터는 관리에 소홀해질 수 있다. 이 문제를 해결하기 위해서는, 첫 번째, 정기적인 업데이트 일정을 만들어야 한다. 4~6개월마다 라우터 점검을 계획하고 이를 공유 캘린더에 넣어 보안 팀 모두가 이를 인지하도록 해야 한다. 지정된 날이 되면 가능한 한 펌웨어를 업데이트하고 로그인 및 비밀번호 세부 사항을 변경해야한다. 또한, 라우터 트래픽을 지속적으로 점검하여 이상한 행위이나 확인되지 않은 로그인 요청이 있는지 확인하는 일정도 설정하는 것이 좋다.
'study' 카테고리의 다른 글
| 정상처럼 보이는 악성 행위 탐지 : Living-off-the-Land(LOLbins) 기반 공격 분석과 탐지 포인트 (0) | 2025.12.22 |
|---|---|
| AI 시대의 보안 혁명: 데이터, 자동차, 국가 안보까지 (1) | 2025.11.18 |
| DDoS (분산 서비스 거부) 공격 (0) | 2025.11.18 |
| 국내 사이트 대상 DDoS 공격 (0) | 2025.11.18 |
| Evil Twin Attack (0) | 2025.11.18 |
