시스코, 자사 일부 IP전화기 보안 결함 경고

시스코시스템스는 자사 인터넷(VoIP)전화기 일부 기종에서 비인증자가 보안 제한을 피할 수 있는 심각한 결함을 발견해 이를 경고했다고 C넷이 보도했다.

시스코는 회의용으로 설계된 IP스피커폰인 ‘시스코 유니파이드 IP 콘퍼런스 스테이션’의 7935 버전 3.2와 7936 버전 3.3에서 이 같은 결함을 발견했다.

이들 제품은 HTTP 인터페이스 설계에 오류가 있어 원격으로 접속할 때 관리자의 자격이 저장되거나 은닉된다. 따라서 나중에 공격자가 이 IP전화기에 접속하면 인증 절차를 거치지 않고도 접속할 수 있다.

시스코는 관리자가 이들 제품에 HTTP 인터페이스를 통해 접속하지 않으면 이 같은 공격에서 안전하며, IP전화기의 전원을 껐다가 다시 켜면 된다고 밝혔다. 이밖에 시스코는 ‘유니파이드 IP폰’의 7906G·7911G·7941G·7961G·7970G·7971G 버전에서도 결함을 발견했다. 이들 제품은 기본 지정된 사용자 계정과 비밀번호를 갖고 있는데 계정이 무력화 또는 제거되거나 비밀번호가 바뀔 수 있다.

　시스코는 네트워크 관리자에게 라우터·스위치·방화벽 등에 접속 통제 목록을 적용하도록 권고하고 이 결함을 처리할 무료 프로그램을 만들어 자사 웹사이트에 공개하겠다고 말했다.

정소영기자@전자신문, syjung@