웨스턴디지털 개인용 클라우드 스토리지, 원격 접근 취약점 공개...펌웨어 업데이트 필요

글자 작게 글자 크게 인쇄하기

웨스턴디지털(WD) 개인용 '네트워크 결합 스토리지(NAS)'에서 원격으로 관리자 권한에 접근하는 취약점이 공개됐다. 관련 기기 사용자는 최신 펌웨어 업데이트가 필요하다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

8일 외신과 업계에 따르면, 중동 산업자동화 회사 걸프테크(GulfTech) 연구개발(R&D)팀은 웨스턴디지털이 개발한 개인용 클라우드 솔루션 '마이클라우드' 관리자(root) 권한 접근 취약점을 최근 공개했다.

마이클라우드 기기는 변경할 수 없는 개발자 아이디·패스워드를 내장했다. 관리자 아이디 'mydlinkBRionyg', 비밀번호 'abc12345cba'를 사용한다. 취약점을 활용하면 기기에서 관리자 권한을 얻어 명령을 내리거나 파일을 업로드·다운로드 하는 것이 가능하다. 서비스거부(DoS) 공격에도 활용될 수 있다.

최상명 하우리 CERT 실장은 “개발자가 기기를 만들 때 테스트하려고 넣어놓은 관리자 아이디·패스워드가 노출된 것”이라며 “(개발자 외에는) 아무도 몰라야 하는 아이디·패스워드가 공개된 것으로 제조사 펌웨어 업데이트를 시행해야 한다”고 설명했다.

웨스턴디지털 마이클라우드는 개인용 클라우드 스토리지 솔루션으로 국내에도 출시됐다. 취약점에 영향을 받는 기기는 마이클라우드 Gen2, EX2, EX2 Ultra, PR2100, PR4100, EX4, EX2100, EX4100, DL2100, DL4100이다. 보안업계에서는 장비 업데이트는 운용체계(OS)에 비해 상대적으로 늦을 수 있어 빠른 펌웨어 업데이트가 필요하다고 권고한다.

웨스턴디지털은 지난해 해당 취약점을 펌웨어 버전 2.30.172에서 수정했다고 밝혔다. 이전 버전 펌웨어 사용자는 업데이트를 시행해야 한다.

변상근기자 sgbyun@etnews.com