지엔이 '2025년 상반기 가장 위험한 펌웨어 취약점 TOP 5'를 선정한 리포트를 발표했다. 이번 리포트는 광범위한 IoT 환경에서 발견된 고위험 취약점을 중심으로 공격 시나리오와 산업별 파급력을 분석했다.
지엔은 A사 공유기, B사 차량용 IVI 시스템, C사 IP 카메라, D사 로봇청소기, E사 EOL 기기에서 발생한 총 다섯 건의 주요 취약점을 선정했다. 이들 취약점은 모두 이미 공개된 CVE로 보안 패치는 완료된 상태지만, 여전히 패치가 적용되지 않은 기기들이 다수 사용 중이라는 점에서 경고가 필요하다고 설명했다.
가장 위협적인 사례로 지적된 A사 공유기 취약점은 단일 웹 요청으로 인증 없이 시스템 전체를 장악할 수 있는 원격 코드 실행 문제다. PPPoE 설정 기능의 필터링 부재로 인해 발생하며, 전형적인 스택 기반 버퍼 오버플로우를 통해 공격자가 공유기의 전체 제어권을 획득할 수 있다.
B사의 차량용 인포테인먼트 시스템은 파일 경로 검증을 생략한 채 외부 데이터를 저장하는 구조적 취약점이 확인됐다. 공격자는 이를 악용해 설정 파일을 조작하고 차량이 재시작될 때 악성코드를 자동 실행시킬 수 있다. 이는 차량 기능 마비, 사용자 혼란 등 안전 위협으로 이어질 수 있다.
C사 IP 카메라의 경우 인증 절차 없이 명령어 삽입이 가능한 구조로, 공격자가 손쉽게 시스템 제어권을 탈취할 수 있다. 실제로 해당 취약점은 봇넷 악성코드 Mirai에 의해 활용된 사례가 있으며 기업 내부망 확산이나 DDoS 공격의 경유지로 악용될 수 있다.
D사 로봇청소기는 클라우드 PIN 인증을 우회할 수 있는 취약점이 보고됐다. 사용자 인증 정보만 탈취하면 PIN을 몰라도 실내 스트리밍에 접근할 수 있어 사생활 침해 우려가 크다. 인증 구조 설계상 문제로, 클라이언트 앱에만 검증 로직이 존재한다는 점이 지적됐다.
E사 EOL 보안 카메라는 인증 없이 명령어 삽입이 가능한 심각한 취약점을 보유하고 있으며 실제 공격 도구로 악용되고 있다. 오래된 장비가 인터넷에 연결된 채 방치되며 봇넷 감염이나 랜섬웨어 유포 경유지로 사용될 수 있다는 점에서 심각성이 크다.
지엔 보안연구팀은 이번 리포트에서 “2025년 상반기 IoT 보안의 핵심 키워드는 ‘넓어진 공격 표면, 미흡한 기본 보안’”이라고 지적했다. 인증 우회, 입력값 검증 부재, 보안 지원이 중단된 EOL 기기의 방치가 핵심 위험 요소로 분석됐다.
조영민 지엔 대표는 “IoT 보안 위협은 더 이상 추상적인 개념이 아니라, 현실적인 피해로 이어지는 직접적 위협”이라며 “이번 리포트가 기업과 소비자 모두에게 보안의 중요성을 다시금 환기하는 계기가 되기를 바란다”고 전했다.
헬로티 구서경 기자 |
