내 이력서 파일 주민등록등본 또는 신분증 사본, 성적표 등이 인터넷에 돌아다닌다면 어떤 기분일까?
복합기(MFP, Multi-Function Printers)로 각종 중요한 개인정보를 스캔해 관공서 등에 제출하는 것은 기업과 개인 누구에게나 발생하는 일상적인 일이다. 이 같은 중요한 개인정보 파일의 스캔된 파일을 온라인으로 전달할 때에는 ZIP 압축파일에 비밀번호를 설정하거나 이메일 또는 원드라이브, 드롭박스 등의 파일 다운로드 링크에 다운로드 기간 제한을 설정해 보내는 등, 여러 정보보안 정책에 따라 보안에 유념하며 파일을 전달하곤 한다.
하지만 정작 복합기(MFP) 자체의 보안 취약점을 신경 쓰지 않는 경우가 많다. 모든 복합기에는 아래와 같은 관리자 페이지가 있고 이 관리자 페이지에는 누가 어떤 파일을 스캔했는지 파일 정보가 남아있는 경우가 있다. SMB 프로토콜을 이용해 스캔된 파일을 공유 폴더로 복사하는 기능을 사용한 후 남겨 두는 경우가 있고, 또는 이메일로 파일을 전송한 후 남아 있는 경우 역시 존재한다.
더 큰 문제는 개인 또는 기관의 복합기(MFP)에 로그인 인증 없이도 스캔 폴더에 접근 가능한 사례가 많다는 사실이다. 이로 인해 누구나 스캔 파일 뿐 아니라 팩스 수신리스트에 남아있는 수신자 이메일 정보 등의 중요한 개인정보에 접근할 수 있다. 이처럼 보안의 사각지대가 된 MFS 어드민 페이지는 개인정보유출을 노린 사이버 공격의 중요한 타켓이 되고 있다.
복합기(MFP)의 관리자 페이지 화면
복합기(MFP) 관리자화면에서 제공하는 수신자 정보 페이지
인터넷에 노출되어 있는 복합기 취약점
이 같은 복합기 취약점 이슈는 기업 내 오피스망 문제로 지목되고 있지만, 더욱 심각한 것은 이 복합기들이 내부망이 아닌 인터넷 외부에도 연결되어 있다는 점이다. 다음 스크린샷은 Criminal IP 의 Asset Search 기능에서 port:631 필터를 이용해 인터넷에 노출되어 있는 복합기(MFP)의 IPP(Internet Printer Protocol) TCP/631번 포트만 한정해서 검색해본 결과다. country: KR 필터를 이용하여 대한민국으로만 범위를 좁혔음에도 87,254 대의 검색 결과가 나오고 있다. 여기에 80번 443번 http/https 포트로 가동되는 복합기(MFP) 관리자 페이지를 포함하면 훨씬 많은 결과가 나올 것이다.
[Criminal IP Youtube- 노출된 복합기 프린터 어드민페이지를 찾는 방법]
Criminal IP의 port:631 country:KR 쿼리로 노출된 복합기를 검색한 결과
TCP/631 포트를 쓰는 노출된 IPP 프로토콜 외에, 이번에는 웹으로 접근 가능한 복합기(MFP)의 관리자 페이지를 찾아보았다. Criminal IP Asset Search의 HTML Title 필터(title)에서 Internet Services 라는 Title명으로 검색하면 약 1,079 대의 검색결과가 나오는데 이는 후지 제록스 복합기로 추정이 된다.
Criminal IP로 HTML Title 필터(title)를 사용해 Internet Services 라는 Title명으로 검색한 결과
그 외에도 ApeosPort 키워드나 HP Color LaserJet MFP 키워드로 검색하면 또 다른 IP 주소의 복합기(MFP) 관리자 페이지 결과가 나온다는 것을 알 수 있다.
Criminal IP에서 country: KR port: 80 필터를 사용해 “ApeosPort” 키워드로 검색한 결과
HP Color LaserJet MFP country: KR
Criminal IP에서 country: KR 필터를 사용해 “HP Color LaserJet MFP” 키워드로 검색한 결과
참고로 “ApeoPost” 와 “DocuCentre” 키워드 검색결과를 보면 이 두 가지 모델명의 후지 제록스 복합기는 이름만 다를 뿐 사실상 같은 제품이라는 것을 알 수 있다. 특히 ApeosPort 제품은 스마트폰, 테블릿 PC 등 다양한 장치에서 별도의 프로그램 설치 없이 WiFi 연결로 바로 프린트가 가능한 제품으로 알려져 있다.
검색된 실제 IP주소로 접속을 해 보면 몇몇 ApeosPort 복합기에는 인증 없이 접근이 가능하며, 심지어 복사, 팩스, 프린터 등 작업 이력과 주소록 목록도 엿볼 수 있다. 단지 몇 가지 키워드를 이용해 특정 제품만 검색한 것인데도 불구하고, 보안 문제를 가진 채 인터넷 공격 표면에 노출된 복합기를 이렇게 많이 찾아볼 수 있다.
HP Color LaserJet MFP 관리자 페이지의 팩스 작업 로그 화면
후지 제록스 복합기(MFP) 관리자 화면의 스캔 메일 박스 리스트
관리자페이지의 스캔 문서 리스트를 보면 교원업적평가서, INVOICE, 입금거래 내역 등과 같이 매우 민감한 정보가 보안통제 없이 노출되어 있어, 비인가 외부자에게 유출될 수 있다.
공격표면에 노출된 MFP 관리자 페이지의 중요 문서
노출된 MFP 관리자 페이지 중요 문서
노출된 MFP 관리자 페이지의 중요 문서
이미 해킹된 복합기 취약점
이와 같이 인터넷 상에 연결되어 공격표면에 노출된 장비들은 해커가 언제든지 마음만 먹으면 장비의 권한을 탈취해 갈 수 있다. 실제로 이렇게 노출된 복합기 중에서 이미 많은 서버가 해킹되어 있다. Criminal IP 에 ‘Hacked’ 라는 문자열과 port 번호 631(IPP)을 결합해 검색하면 해킹된 HP 프린터들을 확인해 볼 수 있다. 검색된 프린터에 접속해 보면 좌측 상단에 ‘Hacked by XXXX’ 로 문자열이 변조된 것을 알 수 있다. 참고로 유명한 프린터기 해킹 공격 도구로는 2020년 HP 프린터기 해킹으로 유명해진 PRET(Printer Exploitation Toolkit)가 있다.
Criminal IP의 해킹된(Hacked) 복합기(MFP) 검색결과 화면
해킹된 복합기(MFP) 관리자 페이지 화면
복합기 취약점 해킹 공격 툴 PRET(Printer Exploitation Toolkit)의 실행 화면
결론
부지런한 보안 엔지니어가 있는 몇몇 기업의 경우, 정보보안 담당자가 복합기에 대한 보안점검과 스캐너에 보관된 파일을 정기적으로 지우는 작업을 진행한다. 또한 보안교육 등을 통하여 임직원 대상으로 복합기 사용에 대한 보안의식 캠페인도 함께 진행하며 보안 사고를 예방하려 노력하고 있지만, 근원적으로 같은 보안 문제가 반복되는 경우가 많다. 필자가 경험한 바로는 복합기 사용 후 파일을 지우도록 임직원 교육을 해도 해결되지 않아 보안 담당자가 직접 복합기의 파일을 매월 50개 이상 지우는 경우가 있었다.
그리고 지금까지 발견된 복합기 운영 주체를 분석해 보면 대부분 대학교 Lab실이나 학과 사무실, 또는 영세 중소기업들이 대부분인 것으로 파악이 되고 있다. 큰 기업에서도 이런 문제를 소홀히 하는 것은 물론이고, 작은 기업이나 기관 그리고 학교와 같은 교육 기관은 이런 문제가 더욱 심각할 것으로 예상된다 (심지어 가정집 IP주소로 예상되는 개인들에게도 이런 문제가 발견되고 있다)
온라인 시대가 되면서 암호화된 이메일이나 일회용 구글 드라이브 링크 등 개인정보를 전달하는 방법이나 개인정보처리시스템 등 보관 시스템에 대해 다양한 정보보안 정책이 존재한다. 하지만 개인정보가 잠시 스쳐 지나가는 장치인 복합기는 상대적으로 정보보안 정책이 미흡한 감이 있다.
따라서 복합기 취약점에 대해서도 보안점검을 필수로 시행해야 하며, 특히 계정 없이 모든 기능에 접근 가능한 문제는 반드시 수정되어야 한다. (Criminal IP로 발견한 복합기 중, 등록 정보 메뉴 열람은 로그인 인증이 필요한 경우가 있었는데 그나마 최소한의 인증 장치라도 해두었으니 그나마 다행이라고 볼 수 있다.)
또한 대부분의 복합기가 ACL(액세스 제어 목록) 없이 외부에 노출된 점을 고려해 기업이나 기관에서는 외부에 노출되는 공격표면관리를 반드시 정기적으로 수행해야 한다.
데이터 출처 : Criminal IP
댓글 남기기