일반적으로 공유기는 홈 네트워크에 들어오고 나가는 데이터의 흐름을 관리하는 가정 내 전자 기기를 의미한다. 이 기기는 인터넷이 들어오는 메인 광대역 소켓에 연결되어 와이파이(WiFi) 키가 달려 있으며, 인터넷 연결이 다운되면 재부팅을 시도하기도 한다.
공유기는 안전한 내부 네트워크와 규제가 없고 잠재적으로 위험한 인터넷 영역을 분리하는 보호 장치 역할을 한다. 그러나 안타깝게도 이러한 중요성은 종종 간과되어 적절한 보안 조치 없이 취약한 상태로 방치되는 경우가 많다.
저렴한 가정용 공유기
안타깝게도 인터넷 서비스 제공업체(ISP)에서 계약의 일부로 제공하는 공유기는 효율성이나 보안보다는 비용에 우선순위를 두는 경우가 대부분이다. 제대로 작동하는 공유기도 안전하지 않은 기본 구성이나 백도어 및 결함이 있는 펌웨어를 서비스할 가능성이 높다.
방화벽은 최신 공유기에 대부분 포함되어 있는 표준 기능이지만, 액세스 용이성 및 설정 수정 가능 여부는 제조업체에 따라 다를 수 있다. 어떤 경우에는 방화벽이 획일적인 방식으로 사전 구성되어 있기 때문에 사용자가 방화벽 설정을 보거나 수정할 수 없는 경우가 많다.
사용자에게 방화벽 구성을 조정할 수 있는 옵션이 제공되더라도 이 사실을 알려주는 경우는 거의 없다. 그 결과 대부분의 사용자들은 이 기능을 활용하지 않아 네트워크가 취약한 상태로 방치된다.
규제되지 않은 인터넷을 서부 개척시대에 비유한다면 방화벽은 보안관 역할을 한다고 볼 수 있다. 하지만 방화벽이 네트워크를 효과적으로 보호하려면 적절한 장비와 권한이 부여되어야 한다. 그렇지 않으면 고용주를 포함한 모든 사람이 아무런 방해 없이 네트워크에 쉽게 침입할 수 있기 때문이다.
약관 확인하기
많은 기업들은 고용 계약서, 사용 제한 정책 또는 IT 보안 정책에 회사 네트워크에 연결된 기기를 스캔할 수 있는 권리를 명시하는 조항을 포함하고 있다. 직원들이 모두 사용하는 네트워크이기 때문에 보안을 유지하는 것은 중요하고, 충분히 합리적이라고 생각할 수 있다. 따라서 네트워크에 연결된 디바이스를 검사하는 것도 당연하다.
하지만 코로나19 팬데믹으로 인해 재택근무가 보편화되면서 직원들이 홈 네트워크를 통해 회사 네트워크에 연결하는 경우가 점점 더 늘어나고 있는 실정이다. 기업은 포트 스캔 및 침투 테스트 소프트웨어를 사용하여 네트워크를 조사하고 위협 행위자가 하는 것과 마찬가지로 홈 네트워크의 취약점을 찾아낸다.
물론 이러한 검사를 수행하는 기업이 홈 네트워크의 취약점을 발견하더라도 랜섬웨어로 디바이스를 감염시키는 것과 같은 악의적인 행동을 하지는 않는다. 하지만 누군가 내 문을 덜컹거리고, 창문을 열어보고, 매트 아래에서 열쇠를 찾는 것과 같은 방식으로 네트워크 방어를 테스트하고 있다는 사실을 알게 되면 사용자들은 불안감과 분노를 느낄 수밖에 없다.
이 글을 읽는 순간 가장 먼저 드는 의문은 이런 행위가 허용되는지 여부일 것이다. 당신이 적용받는 정책이나 계약서에 이러한 내용이 명시되어 있고, 입사 시기나 계약이 개정될 때마다 그 내용을 설명받았다면 충분히 가능하다. 그러나 만약 이러한 내용이 명시되지 않은 경우, 좋은 의도로 행하는 일이더라도 사전 동의 없이 다른 사람의 네트워크에서 포트 스캔 및 침투 테스트를 수행하는 것은 엄연히 불법이다.
그렇기 때문에 계약서의 작은 글씨를 꼼꼼히 확인하는 것이 중요하다. 네트워크 스캔에 관한 문장은 정책 문서에 숨어 있을 수 있다. 물론 기업에서 이러한 스캔을 수행할 권한이 있더라도 미리 알려주는 것이 배려이자 존중이다.
회사 네트워크에 연결하기 전 보안을 위해 홈 네트워크에 대한 원격 스캔이 수행될 것이라는 간단한 설명은 어렵지 않게 제공할 수 있으며, 이는 사기에도 큰 영향을 미칠 수 있다. 그러나 안타깝게도 이러한 안내문은 간과되거나 생략되는 경우가 많다.
공유기의 보안을 강화하는 방법
누가 네트워크를 침입하려고 시도하든, 방어를 강화하고 공유기의 보안 수준을 높이기 위해 취할 수 있는 조치는 무엇일까? 공유기 제조업체와 모델에 따라 다르지만, 다음 목록은 다양한 시나리오에 맞는 옵션을 제공한다.
공유기 브랜드와 모델에 따라 관리 인터페이스, 메뉴 및 설정이 다르기 때문에 단계별 가이드를 제공하기는 어렵다. 그러나 필요한 액세스 권한만 있다면 목록에 언급된 항목에 대해 공유기에서 관련 설정을 찾는 것은 크게 어렵지 않다. 인터넷 서비스 제공업체(ISP)가 중요한 설정에 대한 액세스를 제한하여 변경할 수 없는 경우, 항목 1을 참조하여 추가 안내를 받을 수 있다.
1. 인터넷 서비스 제공업체 사용하지 않기
일반적으로 인터넷 서비스 제공업체에서 제공하는 공유기는 동일한 제조업체에서 소비자에게 직접 판매하는 공유기에 비해 보안이 취약하다. 하드코딩된 백도어가 있는 모델을 사용하는 것이 일반적이며, 보안 패치 및 펌웨어 업데이트가 소비자들에게 판매되는 모델에 비해 지연되는 경우가 많다. 보통은 제공되는 공유기의 펌웨어가 인터넷 서비스 업체별 요구 사항에 맞게 지원되어야 하기 때문에, 맞춤형 패치가 업데이트되기 까지는 시간이 조금 더 소요된다.
업체에서 제공받은 공유기는 문제가 발생할 경우를 대비하여 백업용으로 보관하고 대신 직접 공유기를 구입하여 사용할 수 있다. 예를 들어 광대역에 문제가 발생한 경우, 공유기에 문제가 있는지 외부 광대역 인프라에 문제가 있는지 확인을 위해 일시적으로 제공받은 공유기에 연결하여 문제가 지속되는지 확인할 수 있다. ISP 공유기에서 문제가 해결되면 장치에 문제가 있는 것이고, 문제가 지속되면 외부 문제가 있는 것이다.
2. 기본 관리자 비밀번호 변경하기
대부분의 공유기에는 기본 관리자 비밀번호가 제공되는데, 이는 잠재적인 위협 공격자에게는 열린 문과도 같은 역할을 한다. 이러한 공격자는 스캐닝 소프트웨어를 사용하여 공유기 응답에 있는 메타데이터를 분석하고 제조업체와 모델을 식별, 특정 공유기와 연결된 기본 관리자 자격 증명을 쉽게 찾을 수 있다.
공유기의 보안을 강화하려면 처음 공유기에 연결하고 설치할 때 기본 관리자 비밀번호를 강력하고 복잡한 비밀번호로 변경하는 것이 중요하다. 또는 특수문자로 연결된 세 단어와 같은 비밀번호를 사용하면 보안을 더욱 강화할 수 있다. 추가로, 인터넷에서 관리자 웹 인터페이스에 액세스할 수 없도록 하는 것이 중요하다. 공유기의 원격 관리는 일반적으로 필요하지 않으므로 다른 사람이 원격으로 액세스할 수 있는 기회를 주지 않는 것이 가장 좋다.
3. VPN을 지원하는 공유기 사용하기
공유기에 대한 원격 액세스가 꼭 필요한 경우 VPN(가상 사설망) 연결이 기본으로 지원되는 공유기를 선택해야 한다. VPN이 지원되는 공유기를 사용하면 승인된 IP 주소 목록 또는 특정 범위의 IP 주소로 VPN 연결을 제한하여 보안을 강화할 수 있다. 예를 들어, 사무실에서 공유기로 VPN을 사용해야 하는 경우 허용된 연결 목록에 사무실을 추가할 수 있다.
4. 집에서도 시크릿 모드 사용하기
네트워크 내에서 공유기에 액세스할 때에도 브라우저에서 사용할 수 있는 익명 브라우징, 시크릿 모드 또는 이와 유사한 기능을 사용하는 것이 좋다. 이렇게 하면 다른 사람이 내 공유기에 무단으로 침입하여 브라우저가 자동으로 저장한 로그인 자격 증명이나 IP 주소를 훔치고 악용하는 일을 방지할 수 있다.
브라우저가 공유기의 인증 정보를 기억하지 않도록 하는 것이 중요하다. 대신 공유기 인터페이스에 액세스할 때마다 로그인 정보를 기억하고 수동으로 입력하는 것은 사용자의 책임이다. 또는 비밀번호로 보호되는 비밀번호 관리자를 사용하여 공유기 인증 정보를 안전하게 저장하고 관리할 수 있다.
5. 특정 IP 주소의 연결만 허용하기
특정 공유기에서는 특정 로컬 IP 주소의 관리자 연결만 허용하고 다른 출처의 연결은 거부하도록 구성할 수 있다. 이러한 제한을 구현하는 경우 DHCP(동적 호스트 구성 프로토콜) 풀에 포함되지 않은 IP 주소를 선택하는 것이 중요하다. 이렇게 하면 컴퓨터가 IP 주소를 잃고 새 IP 주소를 할당받더라도 공유기의 관리 인터페이스에 계속 액세스할 수 있다.
6. 강력한 와이파이 비밀번호 사용하기
강력하고 안전한 와이파이 비밀번호를 선택하고 기기가 가장 강력한 암호화 설정으로 구성되어 있는지 확인해야 한다. 최신 공유기는 WPA3(Wi-Fi Protected Access 3)를 지원하지만, 대부분은 WPA2(Wi-Fi Protected Access 2)로 제한될 가능성이 높다는 점에 유의해야 한다.
7. WPS 끄기
공유기의 WPS(Wi-Fi 보호 설정) 기능은 비활성화하는 것이 좋다. 원래 기술에 익숙하지 않은 사용자를 위해 와이파이 설정을 간소화하도록 설계된 WPS는 위협 행위자가 와이파이 네트워크를 손상시키는 데 악용할 수 있는 취약점이 있는 것으로 밝혀졌다.
이 취약점을 해결하기 위한 패치와 수정 사항이 발표되었지만 모든 공유기 모델에 업데이트가 적용된 것은 아니며, 일부 제조업체는 이 문제에 적절히 대응하지 않고 있다. 따라서 가장 안전한 방법은 공유기를 구성할 때 WPS를 완전히 비활성화하고 유선 연결을 선택하는 것이다.
8. 사용하지 않는 서비스 끄기
공유기는 다양한 프로토콜과 연결 유형을 지원하는 경우가 많은데, 이 중 상당수는 일반 사용자에게는 불필요하다. 건물에 문과 창문이 적을수록 도둑이 침입하기는 더 어려워진다. 공유기도 마찬가지이다. 잠재적인 취약성을 최소화하려면 사용하지 않는 프로토콜과 연결을 비활성화하는 것이 좋다. 공유기가 허용하는 연결 유형을 제한할수록 보안은 더 강화된다.
필요하지 않은 경우 Ping, 텔넷, UPnP(범용 플러그 앤 플레이), SSH(보안 셸), HNAP(홈 네트워크 관리 프로토콜)와 같은 서비스를 해제하는 것도 네트워크를 보호하는 데 도움이 된다.
9. 클라우드 기반 공유기 관리 사용하지 않기
공유기가 이 기능을 지원하는 경우 공유기가 제조업체의 클라우드와 통신할 수 있도록 허용하는 모든 기능을 비활성화하는 것이 좋다. 이 기능은 사용자와 공유기 사이에 추가 계층을 추가하므로 제조업체의 클라우드 인프라를 신뢰해야 한다. 공유기를 로컬에서 관리하려는 경우 이 기능은 해제하는 것이 좋다.
10. 정기적으로 패치 및 업데이트하기
컴퓨터 및 스마트폰과 마찬가지로 공유기도 취약점을 해결하고 성능을 개선하기 위해서는 업데이트를 받아야 한다. 대부분의 공유기 업데이트는 수동으로 이루어지지만, 일부 모델은 주기적으로 업데이트를 확인하도록 자동 설정할 수 있다.
공유기를 수동으로 업데이트하려면 해당 공유기 제조업체의 지원 웹페이지를 확인하면 된다. 일반적으로 한 달에 한 번이면 펌웨어 패치나 수정 사항을 파악하기 충분하다.
11. Wi-Fi 액세스 제어하기
대부분의 공유기에서는 MAC(미디어 액세스 제어) 주소로 알려진 장치 ID 목록을 구성할 수 있다. 이 주소는 네트워크에 연결된 각 장치마다 고유하므로 와이파이 네트워크에 연결 가능한 장치를 제어할 수 있다. 이 기능을 사용하면 미리 인증된 장치만 와이파이에 연결되므로 보안 강화에 도움이 된다.
또한 공유기가 지원하는 경우 방문자를 위한 게스트 와이파이 네트워크를 설정하는 것도 고려할 수 있다. 이 별도의 네트워크를 사용하면 방문자가 네트워크의 다른 장치를 공개하거나 노출하지 않고도 인터넷에 액세스할 수 있다.
12. 네트워크 세분화하기
일부 소비자용 공유기는 네트워크 인프라 내에서 가상 로컬 영역 네트워크(VLAN)를 구성할 수 있는 기능을 제공한다. 이 기능을 사용하면 사물 인터넷(IoT) 디바이스를 네트워크의 나머지 부분과 분리할 수 있다.
IoT 장치는 내재된 보안 취약점으로 잘 알려져 있다. 이러한 장치 중 상당수는 보호되지 않은 프로토콜과 변경할 수 없는 관리자 비밀번호로 인터넷에 노출되는 등 가장 기본적인 보안 조치를 위반하는 경우가 많다. 이러한 디바이스를 자체 VLAN으로 분리하면 잠재적인 보안 위험을 효과적으로 억제할 수 있다.
13. DNS 설정 변경하기
인터넷 서비스 제공업체에서 제공하는 기본값을 사용하지 않도록 도메인 네임 시스템(DNS) 설정을 변경하는 것이 좋다.
다음과 같은 공신력 있는 DNS 서비스를 선택할 수 있다:
- OpenDNS: 208.67.220.220 또는 208.67.222.222
- Google DNS: 8.8.8.8 또는 8.8.4.4
- Cloudflare: 1.1.1.1 또는 1.0.0.1
14. 공유기용 커스텀 펌웨어 고려하기
고급 사용자의 경우, 제조업체의 펌웨어를 완전히 삭제하고 무료 오픈 소스 대안으로 교체하는 것을 고려할 수 있다. 이러한 펌웨어는 일반적으로 리눅스 또는 버클리 소프트웨어 배포(BSD) 배포판을 기반으로 한다. 이렇게 하면 제조업체에서 제공하는 기본 펌웨어에 비해 보안 강화, 다양한 기능 및 광범위한 구성의 이점을 누릴 수 있다. 오픈 소스 펌웨어 옵션은 종종 VPN 프로토콜을 기본적으로 지원하는 경우가 많다.
가장 잘 알려진 두 가지 제품으로는 OpenWRT와 DD-WRT가 있지만, 커뮤니티에서 지원하는 다른 프로젝트도 많이 있다. 이러한 커뮤니티 지원 프로젝트는 적시에 패치와 수정 사항을 발표하는 데 있어 제조업체보다 우수한 경우가 많다.
명확히 할 부분은, 펌웨어 ‘플래시’를 올바르게 실행하려면 기술적 전문 지식이 필요하다는 점이다. 지원 주기 내에 있는 공유기에서 펌웨어 플래시를 수행하면 보증이 무효화될 수 있다. 그리고 최악의 경우 기기가 완전히 작동하지 않는 ’벽돌 현상‘이 발생하기도 한다. 따라서 펌웨어 교체 작업을 진행하기 전 프로세스를 충분히 이해하거나 기술 지원을 요청하는 것이 좋다.
결론
공유기는 홈 네트워크와 외부 세계 사이의 중앙 연결 역할을 하므로, 온라인 안전을 위해 이 영역에서 보안을 우선시하는 것이 중요하다.
네트워크 요구 사항, 사용 중인 공유기 유형, 사용자 지정 가능한 방화벽 설정, 기술적 편의성 수준 등을 고려하고 이러한 조치를 최대한 많이 실행하면 사이버 위협 및 고용주의 잠재적 감시로부터 홈 네트워크를 보호할 수 있다.