뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
0
미국과 캐나다 내 다수의 아파트 건물이 단 하나의 '기본 비밀번호'로 인해 보안 취약점에 노출된 것으로 드러났다. 보안 연구원 에릭 데이글은 해당 취약점을 발견하고, 이를 통해 수십 개의 건물 출입문과 엘리베이터 시스템이 사실상 무방비 상태임을 밝혀냈다.
해당 문제는 히르쉬(Hirsch)의 ‘Enterphone MESH’ 출입 통제 시스템에서 비롯됐다. 이 시스템은 초기 설정 시 사용자가 기본 비밀번호를 변경하는 절차를 거치지 않더라도 그대로 작동하도록 설계돼 있으며, 제조사 측은 이 같은 설정이 '설계상 의도된 기능'이라고 주장하고 있다. 그러나 많은 건물 관리자가 이 비밀번호를 변경하지 않았거나, 보안상의 취약점을 인지하지 못한 것으로 나타났다.
데이글은 인터넷 검색 도구인 ZoomEye를 활용해 네트워크에 연결된 MESH 시스템을 분석한 결과, 최소 71개 건물이 여전히 기본 비밀번호를 사용하고 있다고 밝혔다. 그는 "이 시스템을 사용하는 건물의 웹 기반 관리 시스템에 접근할 경우, 출입문뿐만 아니라 엘리베이터와 공용 공간 등의 출입 권한까지 조작할 수 있었다"고 경고했다.
보안 전문가들은 기본 비밀번호를 변경하지 않는 문제는 오래된 IoT(사물인터넷) 보안 문제 중 하나로, 해커들이 무단 접근하는 주요 원인이 된다고 지적했다. 미국과 영국을 포함한 여러 정부는 이러한 보안 취약점을 줄이기 위해 기본 비밀번호를 금지하는 법안을 마련하는 등 적극적인 대응에 나서고 있다.
그러나 히르쉬 측은 이번 보안 문제를 해결할 계획이 없다는 입장을 밝혔다. 히르쉬의 한 제품 관리자는 "우리의 설치 안내서에는 기본 비밀번호를 반드시 변경해야 한다는 내용이 명확히 포함돼 있으며, 이를 따르지 않는 고객에게도 책임이 있다"고 말했다. 이는 제조사가 직접 취약점을 수정하기보다 고객이 스스로 보안을 강화해야 한다는 입장을 고수하고 있음을 의미한다.
한편, 이번 취약점은 미국 국립 취약점 데이터베이스(NVD)에 CVE-2025-26793 코드로 공식 등록됐다. 데이글은 "이러한 보안 문제는 단순한 실수가 아니라 제품 설계 단계에서부터 고려됐어야 할 문제"라며, "업체가 이를 개선하지 않는다면 앞으로도 같은 유형의 보안 위협이 반복될 것"이라고 경고했다.
