이런 글들이 진짜 실패 사례와 FAANG조차 어려워하는 문제를 뒤섞어 비판하는 방식이 아쉬움
특히 “TP-Link의 펌웨어 저장소가 인증 없이 공개된 S3 버킷에 있었다”는 부분을 비판적으로 다루는 건 잘못된 접근임
오히려 보안 은폐(security through obscurity) 를 피한 좋은 사례라고 생각함
이런 글이 오히려 경영진에게 잘못된 ‘잠금 강화’ 지시를 내리게 할 수도 있음
글 자체는 읽기 쉬웠지만, LLM이 쓴 듯한 톤이 느껴졌음
AI가 쓴 글은 미묘한 뉘앙스가 부족하고 모든 걸 과하게 새롭거나 좋고 나쁜 것으로 단정하는 경향이 있음
나쁜 글은 아니지만, 읽을 때 주의가 필요함. 요즘 HN에 올라오는 글 대부분이 AI 도움을 받은 듯함
“펌웨어 저장소가 공개되어 있다”는 말에 “리눅스 얘기는 하지 말자”는 농담을 던짐
이런 리버스 엔지니어링 블로그는 단순히 재미있고 교육적인 이야기 전달 방식임
나도 이런 글을 여러 번 써봤는데, 이번 글은 정말 흥미로웠음
사실 “펌웨어를 어떻게 구했는가”는 이 이야기에서 가장 덜 중요한 부분임
펌웨어가 공개되어 있다는 부분에서 부정적인 뉘앙스를 전혀 느끼지 못했음. 혹시 그렇게 느꼈는지 궁금함
펌웨어는 항상 공개되어야 한다고 생각함. 그게 맞는 방향임
대부분의 다른 카메라 모델도 비슷한 보안 취약점을 공유하고 있을 가능성이 높음 TP-Link 커뮤니티 페이지에 따르면 C200의 최신 펌웨어는 1.4.4로 표시되어 있지만, 기사에서는 1.4.2로 언급됨
즉, 일부 업데이트는 있었지만 보안 패치는 반영되지 않은 듯함
예전에 Zyxel 제품을 분석했을 때도 같은 결론에 도달했음
많은 제조사가 공용 하드웨어를 브랜드만 바꿔서 판매하는 구조임
관련 분석 글: Part 1, Part 2
이런 카메라는 로컬 연결에는 적합하지만, 일반 사용자에게는 여전히 사용성 문제가 큼
이런 이유로 IoT 네트워크 분리(segmentation) 가 필수적임
모든 스마트 카메라와 IoT 기기를 별도의 VLAN에 두고, 인터넷 접근은 방화벽을 통해 제한해야 함
TP-Link 카메라 사용자에게 권장하는 설정:
라우터에서 UPnP 비활성화
VLAN으로 IoT 기기 분리
필요한 엔드포인트만 아웃바운드 허용
가능하면 오픈 펌웨어로 교체
정기적으로 업데이트 확인
하드코딩된 키 문제는 특히 심각하며, 제품 라인 전체에 영향을 미침
친구의 집 네트워크를 테스트해준 적이 있는데, PoE 인터폰 시스템을 통해 내부망 전체에 접근할 수 있었음
그는 IoT 기기를 VLAN으로 분리하지 않았고, 알림 시스템도 없었음
결국 그날 VLAN 분리와 접근 제한의 중요성을 직접 배우게 되었음
많은 사람들이 비슷한 방식으로 내부망을 노출하고 있을 것 같음
VLAN 설정을 단계별로 설명한 가이드가 있는지 묻는 사람도 있었음. 기술적으로 가능하지만 구체적인 절차가 필요함
하지만 실제로는 C200의 5가지 버전 중 일부만 지원함
정확한 칩셋을 확인하려면 OpenIPC를 참고해야 함
Thingino 커뮤니티가 만든 펌웨어는 정말 놀라움
호환되는 카메라가 있다면 꼭 시도해볼 만함
나는 모든 카메라를 인터넷 차단된 VLAN에 두고 사용함
HomeKit을 통해 로컬 접근이 가능해서 별도 앱 없이도 잘 작동함
이런 수준의 보안 부실은 의도적인 것 같을 정도임
수백만 대를 팔면서도 기본적인 취약점 검사를 안 한다는 건 이해하기 어려움
$150 이하의 Wi-Fi 카메라는 대부분 비슷한 문제를 가질 것이라 봄
진짜 안전하게 쓰려면 비독점 Wi-Fi ↔ Ethernet 어댑터를 직접 만들어 쓰는 수밖에 없음
이 카메라는 공식 사이트에서 $17.99에 판매 중임
하드웨어, 포장, 물류, 테스트, 반품 등을 빼면 남는 건 단위당 $5 이하의 이익임
여기에 $100,000을 추가 개발비로 쓰는 건 20,000대를 불태우는 셈임
TP-Link처럼 제품군이 많은 회사는 이런 비용이 연간 수천만 달러로 불어남
결국 최소한의 개발만으로 출하하는 구조임
일부 USB 전원 카메라는 USB 네트워크 어댑터를 지원함
기술적으로 익숙한 사람은 Thingino 펌웨어로 로컬 전용 환경을 구축할 수 있음
이런 카메라는 절대 신뢰할 수 없는 네트워크에 두면 안 됨. 너무나 자명한 원칙임
“모든 Wi-Fi 카메라가 비슷한 문제를 가진다”는 말에 전적으로 동의함
TP-Link의 S3 펌웨어 저장소가 언제까지 열려 있을지 모르겠음
약 990GiB 정도 되는 데이터라, 누군가 아카이브나 토렌트로 백업해두면 좋겠음
나는 이 카메라를 Unifi + ONVIF로 비중요 용도로만 사용함
별도 VLAN에 두고 인터넷 차단했는데, 다행히도 정상 작동함
Hacker News 의견들
이런 글들이 진짜 실패 사례와 FAANG조차 어려워하는 문제를 뒤섞어 비판하는 방식이 아쉬움
특히 “TP-Link의 펌웨어 저장소가 인증 없이 공개된 S3 버킷에 있었다”는 부분을 비판적으로 다루는 건 잘못된 접근임
오히려 보안 은폐(security through obscurity) 를 피한 좋은 사례라고 생각함
이런 글이 오히려 경영진에게 잘못된 ‘잠금 강화’ 지시를 내리게 할 수도 있음
AI가 쓴 글은 미묘한 뉘앙스가 부족하고 모든 걸 과하게 새롭거나 좋고 나쁜 것으로 단정하는 경향이 있음
나쁜 글은 아니지만, 읽을 때 주의가 필요함. 요즘 HN에 올라오는 글 대부분이 AI 도움을 받은 듯함
나도 이런 글을 여러 번 써봤는데, 이번 글은 정말 흥미로웠음
사실 “펌웨어를 어떻게 구했는가”는 이 이야기에서 가장 덜 중요한 부분임
대부분의 다른 카메라 모델도 비슷한 보안 취약점을 공유하고 있을 가능성이 높음
TP-Link 커뮤니티 페이지에 따르면 C200의 최신 펌웨어는 1.4.4로 표시되어 있지만, 기사에서는 1.4.2로 언급됨
즉, 일부 업데이트는 있었지만 보안 패치는 반영되지 않은 듯함
많은 제조사가 공용 하드웨어를 브랜드만 바꿔서 판매하는 구조임
관련 분석 글: Part 1, Part 2
이런 이유로 IoT 네트워크 분리(segmentation) 가 필수적임
모든 스마트 카메라와 IoT 기기를 별도의 VLAN에 두고, 인터넷 접근은 방화벽을 통해 제한해야 함
TP-Link 카메라 사용자에게 권장하는 설정:
하드코딩된 키 문제는 특히 심각하며, 제품 라인 전체에 영향을 미침
그는 IoT 기기를 VLAN으로 분리하지 않았고, 알림 시스템도 없었음
결국 그날 VLAN 분리와 접근 제한의 중요성을 직접 배우게 되었음
많은 사람들이 비슷한 방식으로 내부망을 노출하고 있을 것 같음
Thingino가 C200을 지원한다고 함
정확한 칩셋을 확인하려면 OpenIPC를 참고해야 함
호환되는 카메라가 있다면 꼭 시도해볼 만함
나는 모든 카메라를 인터넷 차단된 VLAN에 두고 사용함
HomeKit을 통해 로컬 접근이 가능해서 별도 앱 없이도 잘 작동함
이런 수준의 보안 부실은 의도적인 것 같을 정도임
수백만 대를 팔면서도 기본적인 취약점 검사를 안 한다는 건 이해하기 어려움
$150 이하의 Wi-Fi 카메라는 대부분 비슷한 문제를 가질 것이라 봄
진짜 안전하게 쓰려면 비독점 Wi-Fi ↔ Ethernet 어댑터를 직접 만들어 쓰는 수밖에 없음
하드웨어, 포장, 물류, 테스트, 반품 등을 빼면 남는 건 단위당 $5 이하의 이익임
여기에 $100,000을 추가 개발비로 쓰는 건 20,000대를 불태우는 셈임
TP-Link처럼 제품군이 많은 회사는 이런 비용이 연간 수천만 달러로 불어남
결국 최소한의 개발만으로 출하하는 구조임
기술적으로 익숙한 사람은 Thingino 펌웨어로 로컬 전용 환경을 구축할 수 있음
TP-Link의 S3 펌웨어 저장소가 언제까지 열려 있을지 모르겠음
약 990GiB 정도 되는 데이터라, 누군가 아카이브나 토렌트로 백업해두면 좋겠음
나는 이 카메라를 Unifi + ONVIF로 비중요 용도로만 사용함
별도 VLAN에 두고 인터넷 차단했는데, 다행히도 정상 작동함
카메라를 조사할 때 drmnsamoliu.github.io 사이트를 참고했음
Ghidra와 AWS Amazon Q를 이용해 장난감 드론의 영상 피드를 리버스해봤음
GhidraMCP를 썼다면 훨씬 빨랐을 것 같음