이원영 기자
사용하던 기기를 처분하거나 판매할 때에는 데이터를 지우고 리셋해야 한다는 건 상식이다. 하지만 상식이라도 모두 실시하는 건 아니다. 보안 기업인 ESET 조사에 따르면 중고 라우터 중 내부 데이터가 지워진 건 절반에도 미치지 못하는 것으로 나타났다. 이는 라우터를 판매하는 기업이나 고객 모두에게 위험한 행동이라고 할 수 있다.
조사에 따르면 리서치팀이 실제로 중고로 구입한 기업용 라우터 18대 중 데이터가 지워진 건 단 5대였다고 한다. 나머지 9대는 아무런 처리도 되지 않은 상태였던 것. 2대에는 데이터는 남아 있지만 암호화된 상태였다. 1대는 고장 상태, 마지막 1대는 다른 기기 복사본이었다고 한다.
라우터 9대에 남아 있는 데이터는 이전 소유자를 식별하기에 충분한 정보일 뿐 아니라 기업 VPN 로그인 정보, 커뮤니케이션 툴 인증 ID 등이 남아 있었다. 더구나 2대에는 고객 데이터까지 있었다고 한다.
ESET 측은 코어 라우터는 조직 모든 것에 관여되는 만큼 사용하는 애플리케이션이나 조직 성격 등을 알 수 있는 단서가 되어 조직 스푸핑에 용이하다고 지적했다. 어떤 경우에는 대형 회계 사무소 사외 비정보와 다이렉트 피어링 정보가 남아 있었다고 한다. 정보가 남아 있던 9대 중 8대에는 이전 소유자 네트워크키와 라우터 애플리케이션 접속 방법이 그대로 남아 있었으며 4대에는 전 소유자가 함께 일하던 사람 네트워크 로그인 정보가, 3대에는 제3자 전 소유자 네트워크 접속 방법이 남아 있었다.
리서치를 진행한 라우터는 18대로 샘플 수는 적지만 리서치팀에 따르면 다른 조사에서도 비슷한 결과가 나온다고 한다. 라우터를 모니터나 스피커처럼 생각하지 말라는 것. 내부에는 메인보드가 탑재되어 있어 파워가 플레이스테이션2 게임 정도를 플레이할 수 있을 수준이다. 라우터는 미니 컴퓨터로 생각해야 하며 데이터를 지우지 않고 버리는 건 분명히 위험하다. 사용 중인 라우터를 버린다면 공장 출하 리셋은 필수다. 제대로 데이터가 지워지지 않은 단말은 정보 유출 위험이 있을 뿐 아니라 불필요한 폐쓰레기를 늘리는 원인이 된다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
