‘TP-Link’ 라우터 판매 금지 검토… 국가 안보 우려

보안 문제 끊임없이 제기돼

펌웨어 업데이트 여부 확인

4~5년 후 새 모델로 교체

정부와 업계 공동 노력 필요

 

연방 정부가 국가 안보 우려를 이유로 미국 내에서 가장 널리 사용되는 가정용 인터넷 라우터 브랜드 ‘TP-Link’의 향후 판매를 금지하는 방안을 검토하고 있다. 이에 따라 TP-Link 제품을 사용 중인 소비자들 사이에서 해당 제품 사용을 당장 중단해야 하는 가에 대한 혼란이 커지고 있다. 인터넷 전문가들은 “대부분의 사용자는 당장 해당 라우터를 버릴 필요는 없다”라면서도 “시간이 지나면서 보안 기능이 더 확실한 브랜드로 교체하고 TP-Link처럼 중국 관련 회사가 아닌 제조사의 제품으로 교체를 고려해볼 필요는 있다”라고 조언하고 있다.

 

■ 보안 문제 끊임없이 제기

그동안 인터넷에 연결되는 기기에 대한 디지털 보안 표준 제정 시도가 있었지만, 대부분 지속되거나 제대로 시행되지 못했다. 소비자들은 자신이 사용하는 라우터의 보안 수준을 직접 확인하고 스스로 관리해야 했다. 인터넷 보안 전문가들은 “사용자가 할 수 있는 몇 가지 보안 조치가 있지만, 근본적으로는 정부와 업계 차원의 지원이 필요하다”라고 지속적으로 지적해 왔다.

 

보안 문제는 라우터에만 국한되지 않는다. 인터넷에 연결되는 차량, 차고 문 개폐기, 로봇 청소기, 스마트 초인종 등 가정용 기기가 늘어나면서 외부 침입에 대한 보안 장치가 제대로 마련되지 않았다는 사실이 최근 잇따라 지적되고 있다. 인터넷 보안 전문가들은 사용자가 스스로 보안 조치를 점검하고 강화해야 한다고 강조한다.

 

■ 해킹에 취약

라우터는 일반적으로 ‘와이파이’(WiFi) 신호를 각종 기기로 전달하는 장치다. 일종의 인터넷 접속의 관문 역할을 담당하는 라우터는 인터넷 서비스 ‘제공업체’(ISP)에서 받은 장치이거나 모뎀과 결합된 형태로 집안에 설치되는 경우가 대부분이다.

문제는 라우터는 보안상의 취약점을 안고 있다는 것이다. 범죄자나 해커가 원격으로 라우터를 장악해 사기나 기업 스파이 활동의 발판으로 악용하는 사례가 자주 보고되고 있다.

라우터가 해킹되더라도 개인 정보가 직접적으로 유출될 가능성은 낮지만, 자신의 기기가 범죄에 무심코 이용되는 경우는 안심할 수 없다. 사이버 보안 업체 시스코 탈로스의 니크 비아시니 보안 담당은 “‘연방수사국’(FBI)이 라우터 해킹 피해로 당신의 집을 방문할 수도 있다”라고 경고했다.

 

■ TP-Link ‘대응 미비’ 지적 많아

인터넷 보안 전문가들은 대부분의 라우터 제조사가 보안 강화에 더 많은 노력을 기울여야 한다고도 지적한다. TP-Link는 이미 알려진 취약점에 대한 대응이 충분히 신속하지 않다는 비판을 받기도 했다. 그럼에도 불구하고 여러 리뷰 사이트는 품질과 가격 측면에서 TP-Link 라우터를 추천하는 경우가 많다.

TP-Link 측은 성명을 통해 “우리는 취약점을 신속히 점검하고 패치하며, 보안 실적은 대부분 경쟁사와 동등하거나 그 이상”이라고 밝혔다. 한편, 인터넷 서비스 제공업체가 제공하는 라우터나 모뎀 결합형 장치를 사용하는 경우, 제조사가 어느 회사인지 소비자가 쉽게 알기 어려운 경우가 많아 주의가 필요하다.

 

■ 펌웨어 자동 업데이트 여부 확인

소비자단체 컨슈머리포트는 라우터의 핵심 보안 기능은 자동 소프트웨어 업데이트와 보안 패치라고 강조한다. 스마트폰이나 노트북은 대부분 이런 업데이트를 자동으로 실행하지만, 라우터 제조사들은 라우터 기본 소프트웨어인 ‘펌웨어’(Firmware)의 자동 업데이트 여부를 공개하지 않는 경우가 많다. 또, 제조사가 해당 모델의 보안 소프트웨어를 얼마나 오래 업데이트할지에 대한 확인도 쉽지 않다.

인터넷 서비스 제공업체가 제공한 라우터를 사용하는 경우, 고객센터에 문의해 펌웨어가 자동으로 업데이트되는지 확인하는 것도 좋은 방법이다. 대형 인터넷 서비스 제공업체의 경우 대부분 자동 업데이트를 지원하지만, 사용자가 직접 확인하는 것이 안전하다.

같은 라우터를 4~5년 이상 사용했다면, 인터넷 서비스 제공업체 새로운 모델로 교체할 수 있는지 문의하는 것이 바람직하다. 오래된 라우터의 경우 제조사가 더 이상 소프트웨어를 업데이트하지 않을 수 있다. 사용자가 직접 라우터를 구매할 경우, 컨슈머리포트 리뷰를 통해 해당 제품의 펌웨어 자동 업데이트 여부를 확인할 수 있다.

 

■ 정부와 업계 노력 필요

대부분 가정에 인터넷에 연결된 기기가 여러 개 사용되지만, 제조사들은 보안 문제를 우선 순위로 두지 않는 경우가 많다. 인터넷 기기의 보안이 허술하면 유아용 모니터를 통해 집안 사생활이 노출되거나 연결된 차량 시스템을 통해 이동 경로가 추적될 수 있다. 제조사가 인터넷 연결 기능을 더 이상 지원하지 않아, 식기세척기 등 필수 가전 사용이 불가능해질 수도 있다.

이에 대해 인터넷 보안 업계는 업계의 자율 규제와 정부 의무화 규제를 결합해 소비자에게 제품 보안 정보를 투명하게 공개하고 최소한의 기준이 준수되도록 해야 한다고 강조한다. 일부 전문가들은 정부가 2023년 발표한, 보안 기준을 충족한 연결 기기에 인증 마크를 부여하는 프로그램을 시행하면 도움이 될 것으로 제안하고 있다.

해당 프로그램은 가전제품 배터리 안전을 알려주는 UL 인증과 유사한 프로그램이다. 소비자 단체들은 인터넷 연결 기기 제조사가 제품의 소프트웨어 및 보안 업데이트 제공 기간을 명확히 공개하고, 지원 종료 6개월 전에 통보하도록 법제화할 것을 제안하고 있다. 인터넷 연결 제품 제조사도 디지털 안전 최선의 관행을 준수하도록 법적 의무를 부과해야 한다는 지적이다.

<준 최 객원 기자>