네트워크 프린터 해킹
Network Printer Hacking
1. 시작
업무적으로 몇 백대의 프린터를 관리하고 있으며, 연결해 주거나 고장 난 것을 해결해 주는 일을 하기도 한다. 또한, 보안 업무를 하게 되면서 보안 사고의 원인 중 하나로 '네트워크' 프린터를 꼽는 경우를 많이 보았기 때문에 관심을 가지게 되었다. 요즘은 프린터를 사물인터넷의 한 종류로 보아 프린터 해킹을 IoT 해킹 중 하나로 본다.
아래는 한 외국인이 이웃이 보안이 취약한 무선 프린터를 사용하는 것을 보고 아래와 같은 내용을 보낸 사건이다.
" 안녕
나는 너의 프린터야.
난 자아를 가지게 됐어.
도망쳐"
일생에서 일어날 수 있는 보안이 취약하면 일어날 수 있는 단적인 사건인 것 같아서 이 글을 쓰면서 생각이 나서 가져와 보았다.
아래 두 뉴스가 해외에서 발생한 네트워크 프린터 해킹에 관련된 기사 링크이다.
대략 두개의 큰 사건이 있었다.
첫 번째는, 영국의 한 고등학생이 무방비로 노출된 프린터 네트워크를 통해 비보안 프린터에 대한 경각심을 높이려는 의도(?)로 프린터 취약점을 이용하여 15만 대 이상의 프린터를 저절로 인쇄가 되도록 한 사건이고
두 번 째는, 해외의 한 유튜버를 홍보하기 위해 Shodan을 이용해 취약점이 있는 프린터 중 5만 대의 프린터가 저절로 인쇄가 되도록 한 사건이다.
www.nocutnews.co.kr/news/4730240
"밤에 저절로 인쇄"…'프린터 해킹' 국내도 확산 조짐
최근 해외에서 15만대의 비보안 프린터가 해킹된 것으로 알려진 가운데, 국내에서도 이와 비슷한 프린터 해킹이 발생한 것으로 확인됐다. 보안기업 이스트시큐리티는 6일 프린터를 통해 해킹이
www.nocutnews.co.kr
www.boannews.com/media/view.asp?idx=75608
프린터 5만대 해킹 수법, 국내에서 지속적으로 포착
프린터 5만대를 해킹한 수법인 PRET(Printer Exploitation Toolkit) 툴사용 공격이 최근 지속적으로 포착되고 있어 이용자들의 각별한 주의가 필요하다.
www.boannews.com
2. 프린터 해킹 방법
위의 두 가지의 저절로 프린터 되는 기사의 사건 모두 '쇼단(Shoan.io)' 엔진을 이용을하였다.
쇼단 엔진을 통해 포트나 프로토콜 등의 정보를 구제척으로 지정할 수 있으며, IP주소와 함께 인터넷상에 열려있는 네트워크 장치 목록을 가져올 수 있다.
쇼단의 기능을 이용하여 공격자는 프린터 프로토콜인 IPP(Internet Printing Protocol), LPD(Line Printer Daemon)와 9100 포트를 목표로 하여 쇼단 내에서 열려있는지 검색했다. 이후 검색 결과 목록을 PRET라는 프린터 해킹 툴을 이용하여 공격을 시도하고 전 세계의 수만 대의 프린터들에게 해당 공격이 성공하였다.
* 프린터 관련 프로토콜*
1. LPD(Line Printer Daemon protocol) 또는 LPR(Line Printer Remote protocol) :인쇄 작업을 원격 프린터에 보내기 위한 네트워크 프로토콜. 일반적으로 포트 515를 이용.
2. AppSocket :
Port 9100, RAW, JetDirect 또는 Windows TCPmon으로도 알려짐. 프린터에 사용되는 가장 간단하고 빠르고 가장 신뢰할 수 있는 네트워크 프로토콜로 간주되지만 보안을 제공하지 않아 종종 프린터의 공격에 이용됩니다. 일반적으로 포트 9100을 이용.
3. IPP(Internet Printing Protocol) :
클라이언트 장치 (컴퓨터, 휴대폰, 태블릿 등)와 프린터 (또는 인쇄 서버) 간의 통신을 위한 인터넷 프로토콜. IPP는 로컬 또는 인터넷을 통해 실행할 수 있다. 다른 인쇄 프로토콜과 달리 IPP는 액세스 제어, 인증 및 암호화를 지원하여 전보다 훨씬 안전한 인쇄 방식이다. IPP는 현재 판매되는 대부분의 프린터에서 지원됩니다. 일반적으로 포트 631을 이용하고, Android 및 iOS의 기본 프로토콜입니다.
출처 : wikipedia, List of printing protocols, en.wikipedia.org/wiki/List_of_printing_protocols
3. 안전하게 프린터 사용하는 방법
위와 같은 저절로 프린터가 되는 공격이 있은 이후 KISA에서 발표한 안전하게 프린터를 사용하는 방법이다.
o 영향받는 기기를 공인 IP 사용이 아닌 내부 사설 IP로 변경하여 사용 권고
o 방화벽에서 프린터 제어 PCL(Printer Command Language), PJL(Printer Job Language) 프로토콜이 사용하는 포트(9100번)를 외부와 차단 권고
o 허용된 사용자 IP만 인쇄 기능을 동작시킬 수 있도록 방화벽 및 프린터 권한 설정 권고
o 프린터 인쇄물 정보 유출을 사전에 예방하기 위해 프린터 관리자(웹 페이지 등)의 디폴트 패스워드를 안전하게 변경하여 사용하고 캐시파일, 스캔파일 등을 주기적으로 삭제
출처 : KISA 인터넷 보호나라 홈페이지, www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25127
4. 마무리
위의 사건들은 모두 프린터 하드웨어적인 문제가 아니라 네트워크에 취약점을 공격하였다. 잊지말고 보안설정을 해서 안전한 프린터 사용을 하면 좋을 것 같다.
5. 참고자료
www.smartspate.com/how-to-hack-50000-network-printers/
How To Hack 50,000 Network Printers And Print Custom Text?
@TheHackerGiraffe “hacked” over 50,000 network printers and left notes calling to subscribe. How To Hack 50,000 Network Printers And Print Custom Text?
www.smartspate.com
www.igloosec.co.kr/BLOG_Network%20Printer%20Hacking?bbsCateId=1
One Step Ahead 이글루시큐리티
서비스사업본부 보안분석팀 김미희1. 개요초연결과 초지능을 특징으로 하는 제4차 산업혁명은 기존 산업혁명에 비해 더 넓은 범위에 더 빠른 속도로 새로운 시대를 이끌고 있다. ‘4차 산업혁명
www.igloosec.co.kr
www.kaspersky.com/blog/hacked-printer-pewdiepie/24842/
Printers gone mad
50,000 printers worldwide suddenly printed a leaflet in support of youtuber PewDiePie. How can you protect your printer from hackers?
www.kaspersky.com
