SD WAN 인터넷 조사 보안 현황과 취약점 대규모 분석

초록

본 논문은 Shodan·Censys와 자체 자동화 도구를 활용해 전 세계에 공개된 SD‑WAN 관리 인터페이스를 수동·능동적으로 탐색하고, 버전 누수와 기본 인증 등으로 드러난 취약점을 정량화한다. 2018년 8월 기준 4 935개의 고유 IP를 식별했으며, 대부분이 최신 버전보다 오래된 소프트웨어를 실행하고 있음을 확인했다.

상세 분석

이 연구는 SD‑WAN 장비가 기업 네트워크 경계에서 핵심적인 역할을 수행함에도 불구하고, 관리 인터페이스가 인터넷에 그대로 노출되는 현실을 조명한다. 저자들은 먼저 주요 벤더(예: Cisco, VMware, Riverbed, Cisco 등)의 제품명·UI 요소·favicon 등을 정리하고, 이를 기반으로 Shodan·Censys에 “title”, “http.favicon.hash”, “ssl” 등 다양한 필터를 적용한 수동 탐색 쿼리를 설계했다. 쿼리 신뢰도를 “Certain”, “Firm”, “Tentative” 세 단계로 분류함으로써 거짓 양성률을 체계적으로 낮추었다.

수동 탐색만으로는 버전 정보가 누락되는 경우가 많아, 저자들은 Nmap NSE 스크립트와 파이썬 파싱 로직을 이용한 능동 스캐닝을 추가했다. 특히 SSH 배너의 /etc/issue에 삽입된 “viptela” 문자열을 추출하거나, HTML·JavaScript·CSS 파일에서 버전 번호 혹은 간접적인 버전 힌트를 파싱하는 방식은 기존 보안 도구가 놓치는 정보를 포착한다는 점에서 의미가 크다.

버전 누수는 직접(정확한 버전 표기)과 간접(버전 범위 추정)으로 구분했으며, 예를 들어 <h5>9.1.2r142</h5>와 같은 HTML 태그는 직접 누수, { "package-name": "versa‑flexvnf‑20161214‑191033‑494bf5c‑16.1R2" }는 간접 누수에 해당한다. 이러한 누수를 통해 최신 패치가 적용되지 않은 구버전이 다수 존재함을 확인했다.

취약점 식별 단계에서는 기본 SNMP 커뮤니티 문자열(“public”, “private”) 사용, 공개된 웹 UI에 남은 디폴트 자격증명, 그리고 알려진 CVE와 매핑된 버전 정보를 교차 검증했다. 결과적으로 Riverbed, VMware, Arista 등 주요 벤더의 제품이 최신 버전 대비 30 % 이상 오래된 상태로 인터넷에 노출돼 있었다. 특히 Arista EOS‑4.20.5F와 같이 이미 보안 공지가 된 취약 버전이 AWS Marketplace에 그대로 제공되는 사례가 발견돼, 클라우드 마켓플레이스 관리 부실도 지적했다.

지리적 분포를 보면 북미가 가장 많은 1 300여 호스트를 차지했으며, 이어 유럽 456호, 아시아 313호가 뒤를 이었다. 이는 기업용 SD‑WAN이 주로 선진 시장에 집중돼 있음을 시사한다.

한계점으로는 2018년 8월 데이터에 국한되어 최신 동향을 반영하지 못한다는 점, 공개 검색 엔진이 지원하지 않는 프로토콜(예: WebSocket)이나 내부 네트워크에 한정된 장비는 탐지되지 못한다는 점을 들 수 있다. 또한 관리 인터페이스만을 대상으로 했기 때문에 데이터 플레인 공격 표면은 별도로 평가되지 않았다.

전반적으로 이 논문은 대규모 인터넷 스캔 기반 SD‑WAN 보안 상태를 최초로 정량화했으며, 수동·능동 탐색 기법을 결합한 방법론을 제시한다. 향후 연구에서는 지속적인 시계열 데이터 수집, 클라우드 마켓플레이스 자동 검증, 그리고 AI 기반 거짓 양성 감소 기법을 도입해 실시간 위험 인텔리전스로 확장할 여지가 있다.