오늘은 간단하게 프린터 해킹 예방 방법에 대해 알아보겠습니다. 우리가 생활하면서 친근한 장치 중 하나가 바로 프린터가 아닐까 생각이 됩니다. 프린터를 통해서 스마트폰으로 촬영한 사진을 출력하거나 문서를 출력하거나 이력서를 출력하거나 로고 등을 만들 때 사용을 하는 것이 프린터일 것입니다.
영화 Who Am I No System Is Safe(후 엠 아이, 2014)이라는 독일 영화를 보면 벤자민이 자신의 해킹 실력을 과시하기 위해서 BND를 해킹을 하려고 BND에서 나오는 쓰레기를 뒤져서 해당 BND의 조직망을 확보하고 차근차근 최고 권한에 접근해서 건드리지 말라는 내부 서버망을 건드리고 다음날 BND에서는 프린터가 해킹되어서 프린트에서 자꾸 인쇄가 되는 것을 볼 수가 있습니다.
이렇게 되면 해당 프린터를 관리하는 업체나 프린터를 관리하는 입장에서는 정말 짜증이 날것이며 프린터 잉크, 프린트 용지 등의 전산용품 소모로 이어져서 사람들에게 피해를 가져가 올 수가 있습니다. 그리고 아마도 보고되고 있는 프린터 해킹 중 하나가 아마도 다음과 같을 것입니다.
메세지 내용은 다음과 같습니다.
stackoverflowin has returned to his glory,
your printer is part of a flaming botnet,
the hacker god has returned form the dead.
—> YOUR PRINTER HAS BEEN OWNED <—
ASCII ART (로봇 그림)
((struct Elf32_Ehdr*) ((0xFF & memes)base)->e_machine)
——-
Email: stackoverflowing@tuta.io
Twitter: https://twitter.com/lmaostack
——-
GREETINGS FROM BREAKTHEINTERNET (BTI) WITH LOVE
이라는 메시지를 볼 수가 있습니다. 즉 간단하게 번역을 해보자고 하며 프린터가 봇넷에 감염되었다는 내용으로 해석을 줄일 수가 있을 것입니다. 해당 부분은 Stackoverflowin이라는 그레이 해커에 의해서 인터넷에 연결된 15만 대 이상의 프린터를 해킹을 통해서 경고문 이가 포함된 인쇄물을 출력하는 공격을 했다고 합니다.해당 공격은 자동화된 스크립트를 이용했고 외부 인터넷에 연결된 프린터가 공격이 대상이 되었으며 IPP(Internet Printing Protocol) 포트,LPD(Line Printer Daemon)포트, 9100포트를 통해서 공격했다고 합니다. 그리고 취약점은 RCE(command execution)취약점을 이용을 했습니다.
해당 취약점을 이용해서 공격에 성공했으면 HP, Epson, Canon, 삼성 등의 프린터가 대상이 되면 오피스용 프린터, 가정용 프린터, 점포용 영수증 인쇄기(POS)등에 피해가 발생을 할 수가 있습니다.
한국에서는 아직은 그렇게 알려지지 않았지만, POS 단말기로 해킹된 사실들을 쉽게 확인할 수가 있을 것입니다. 그리고 자동으로 출력되는 ASCII ART(로봇 그림)과 그리고 해당 해커의 이메일 주소, 해킹에 사용된 포트를 닫으라는 경고 메시지와 함께 출력이 됩니다. 이를 예방하는 방법은 생각보다 간단합니다.
해당 공격은 기본적으로 방화벽이라는 보안 개념이 있습니다. 기본적으로 인터넷의 트래픽들은 해당 방화벽이라는 것을 통해서 제어됩니다. 물론 포트를 게임, 원격작업 및 인쇄를 하려면 해당 포트를 열어야 하는 일도 있습니다. 즉 액세스 권한이 있으며 비밀번호가 없어도 인쇄할 수 있다는 것으로 다른 사람이 원격에서 인쇄할 수가 있다는 것입니다.
그러며 예방하는 방법에 대해 알아보겠습니다. 먼저 공유기 관리자 화면으로 이동합니다. 대부분이 기본적으로 192.168.0.1로 접속을 하면 쉽게 접속을 할 수가 있습니다. 물론 보안을 생각한다고 하면 해당 기본적인 주소를 변경을 사용하고 있을 것입니다. 일단 공유기 관리자 화면으로 이동해서 NAT/라우터 관리 항목으로 이동합니다. 그리고 나서 포트 포워드 설정에서 프린터를 지정하는 주소를 삭제 또는 비활성화합니다.
그리고 DMZ 영역에서 프린터 부분을 비활성화합니다. 포트 9100번이 인터넷 연결이 되지 않게 설정을 해주어야 합니다. 해당 포트는 프린터에 대한 PJL연결에 사용이 됩니다. 악의적인 목적이 있는 사람이 프린터에 원격에서 코드를 실행할 수가 있으므로 최악에는 기밀문서 또는 전체 네트워크에 액세스에 접근을 할 수가 있습니다.
그리고 515포트가 차단이 돼 있는지 확인을 합니다. 해당 부분은 LPD에서 이 포트를 사용해서 컴퓨터에서 프린터로 문서를 보낼 수가 있습니다. 즉 자신을 포함한 모든 사람이 같은 방식으로 프린터를 사용할 수가 있으므로 해당 부분을 차단합니다. 그리고 프린터도 최신 펌웨어를 유지해줍니다.
스마트폰이든 공유기이든 항상 최신 펌웨어를 이용한 것이 안전합니다. 이런 최신 펌웨어들은 취약점들을 수정 보안을 하고 있습니다.
더 자세한 내용
펌웨어는 프린터 제조 업체에서 제공을 하고 있습니다.
프린터 암호 변경 아마도 대부분이 조금 귀찮다는 이유로 프린터 암호를 설정을 안 하고 있습니다. 일단 프린터를 원격에서 구성하거나 내장 웹 서버(EWS)에서 프린터설정을 볼 수가 없도록 암호 설정을 할 수가 있습니다. 해당 부분은 제작사 홈피에 가서 자신의 모델을 검색하고 나서 설명서에 보면 잘 나타나 있을 것입니다. 그리고 자신이 사용하는 공유기가 펌웨어가 오랫동안 나오지 않는다면 작동이 되더라도 두눈 한번 감고 좋은 공유기를 새로 구매하는것이 좋습니다.
공유기 펌웨어 관련 부분은 일반 컴퓨터 또는 스마트폰을 통해서 인터넷을 사용할 때 적용이 되는 보안 부분이기 때문입니다. 그리고 9100, 361, 515, 8080, 80,443포트는 닫아주면 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
파이어폭스 52.0(Firefox 52.0) 취약점 보안 업데이트 및 NPAPI 플러그인 중단 (0) | 2017.03.08 |
---|---|
Mac에서도 이용가능한 Windows 10 개발자들을 위한 평가용 가상 머신 공개 (0) | 2017.03.08 |
WebRTC 설정으로 인한 IP주소 노출 차단 방법 (4) | 2017.03.07 |
Dharma Ransomware(Dharma 랜섬웨어)파일 암호화 복구툴 공개-Kaspersky RakhniDecryptor (2) | 2017.03.04 |
CryptoMix 랜섬웨어 증상과 암호화 파일 복구 방법 (2) | 2017.02.28 |
트럼프 대통령이 등장하는 랜섬웨어-TrumpLocker (0) | 2017.02.26 |
노턴 인터넷 시큐리티 22.9.0.71 제품 업데이트 (0) | 2017.02.24 |
Windows 10 Version 1607 Adobe Flash Player 보안 업데이트(KB4010250)긴급 보안 업데이트 (0) | 2017.02.23 |