某媒体和无线保安解决专门企业Unet携手于上个星期对韩国首尔江南地铁站一带的WiFi保安水平进行了检测,结果显示:在家和公司之外无心之下连接上的免费WiFi10个有9个保安方面都非常脆弱,一旦连接上这些AP都有可能导致个人信息泄露哦。
집이나 회사 밖에서 무심코 접속하는 공짜 와이파이 10개 가운데 9개는 보안에 매우 취약한 것으로 드러났다. 공짜 와이파이를 이용하는 사이에 스마트폰이나 노트북PC에 담긴 개인정보가 송두리째 털릴 수 있으니 각별한 주의가 요망된다.
在家和公司之外无心之下连接上的免费WiFi10个有9个保安方面非常脆弱。在你使用免费WiFi的时候,智能手机和手提电脑上的个人信息很可能会被偷个精光,所以大家要特别注意哦。
본지는 유동인구가 많은 서울 지하철역 일대의 와이파이 보안 수준을 점검하기 위해 무선보안솔루션 전문기업 유넷시스템과 함께 지난 한 주간 실태조사를 벌였다. 표본조사 지역은 서울에서 유동인구가 가장 많은 강남역 일대였다.
本报为了检测流通人口多的首尔地铁站一带的WiFi保安水平,和无线保安解决专门企业Unet于上个星期进行了实态调查。标本调查区域是首尔市流动人口最多的江南站一带。
조사결과 강남역 10번 출구와 11번 출구 근방에서 감지된 와이파이 액세스포인트(AP)는 총 313개였다. 이 가운데 무선랜인증서버가 별도로 존재하는 AP 즉, 보안이 강화된 AP는 38개에 불과했다. 전체의 12% 수준이다. 이들 AP를 제외한 나머지 275개는 불특정다수에 노출돼 최근 극성을 부리고 있는 도메인네임서버(DNS) 변조, 분산서비스거부(DDoS) 공격용 악성코드 공격의 타깃이 될 가능성이 높은 것으로 조사됐다.
调查结果显示江南站第10号出口和第11号出口附加检测到的WiFi 无线访问节点(AP)共有313个。其中,无线局域网认证服务器另外存在的AP,即,保安被强化的AP不过只有38个,占全部的12%。这些AP之外的其他275个被暴露在不特定的多数人群之中,很可能成为近来非常猖獗的域名系统(DNS)伪造和分布式拒绝服务(DDoS)攻击性恶性编码的攻击对象。
문제점이 드러난 대부분의 AP는 관리자 페이지에 접속할 때 로그인 ID나 비밀번호를 묻지 않았다. 관리자 페이지가 무방비로 노출된 AP는 해커가 침입할 수 있도록 문을 열어 놓은 셈이다. AP설치 시 반드시 공유기 로그인 비밀번호를 설정해야 한다. 제조사마다 웹 로그인 화면에 접속해 ‘설정-시스템관리-비밀번호’ 메뉴로 이동하면 AP 웹 로그인 시 사용할 계정과 암호를 만들 수 있다.
问题是这些显现出来的大部分AP在连接管理者页面时也不问登陆ID或密码。管理者页面完全无防备地暴露的AP相当于开门欢迎黑客的入侵。AP设置时一定得设定好登陆密码才行。每个制造公司登入网登陆画面后移动到“设定-系统管理-密码”菜单的话就可以创建登陆AP网时使用的账号和密码了。
비밀번호가 설정된 일부 AP도 보안 취약점이 노출된 것으로 나타났다. 공장출하 시 초기설정된 ‘1234567890’ 등의 비밀번호를 쓰는 AP가 대부분이었다. 한 커피전문점은 내방객이 와이파이를 손쉽게 쓸 수 있도록 와이파이 비밀번호를 벽보 형태로 붙였다. 사용자 편의성을 높이자는 이유지만 이 역시도 해커에게 AP를 열어준 것이나 마찬가지다.
据调查,设定了密码的一部分AP也存在保安脆弱的一面。大部分AP使用的是出厂时设置的“1234567890”等密码。某咖啡专卖店为了让来店里的客人能够容易地使用WiFi,将WiFi密码制成壁报的形式贴在墙上。虽然是基于方便使用者的理由,但是这同样等同于为黑客打开了AP的大门。
보안에 취약한 펌웨어를 업그레이드하지 않는 사례도 많다. 대부분 사용자는 AP 구매 후 PC에 연결한 후 별도의 보안 업데이트를 하지 않는다. AP제조사에서 적극적으로 보안 취약점 권고를 하지 않는 데다 PC와 달리 인식이 낮은 것도 한몫한다.
而也有很多是没有升级保安脆弱的固件。大部分使用者在购买AP连接上PC后并没有再升级保安。不仅是AP制作公司并没有积极地劝告顾客注意保安弱点,而且和对关注PC保安的意识不同,对升级AP保安的薄弱认识也是原因之一。
이상준 유넷시스템 연구소장은 “전체 조사 대상 AP 중 12%만이 무선랜 인증서버를 두고 그나마 보안에 신경 썼다”며 “나머지는 AP가 열려 있거나 PSK형태로 인증·암호를 써 무선구간 사용자 정보유출이 우려된다”고 설명했다. 그는 “공짜로 쓰는 AP는 물론이고 가정에서 사용 중인 AP도 보안에 신경 쓰지 않으면 DNS 변조 공격에 속수무책으로 당할 수밖에 없는 상황”이라며 “AP 보안에 대한 총제적인 점검과 정보보호 의식 향상이 시급하다”고 덧붙였다.
Unet研究所长李尚俊说明道:“全体调查对象AP中,只有12%是无线局域网认证服务器,算是对保安上心的”,“剩下的AP不是大开门户就是以PSK形态使用认证密码,令人担忧无线区间使用者的个人信息泄露问题”。他补充道:“不仅是免费AP,就连家庭用的AP如果不对保安上心的话,面对DNS伪造的攻击也会束手无策的”,“对AP保安的整体检测和提升信息保护意识是目前亟需解决的问题”。