FCC, 외국산 소비자용 라우터를 ‘Covered List’에 추가

 (fcc.gov)
1P by GN⁺ 7시간전 | ★ favorite | 댓글 1개
  • 미국 FCC가 외국에서 제조된 소비자용 라우터를 ‘Covered List’에 새로 포함함
  • 이 조치로 해당 라우터의 신규 모델 승인이 금지됨
  • 업데이트는 미국 행정부 기관의 국가 안보 판단에 근거해 이루어짐
  • FCC는 보도자료와 공지문을 통해 관련 문서를 DOCX·PDF·TXT 형식으로 공개함
  • 이번 결정은 소비자 네트워크 장비의 보안 위험 관리 강화를 목표로 한 연방 차원의 대응임

FCC, 외국산 소비자용 라우터를 ‘Covered List’에 추가

  • FCC(Federal Communications Commission) 가 외국에서 생산된 소비자용 라우터를 ‘Covered List’에 새로 포함함
    • 이 조치는 해당 라우터의 신규 모델 승인 금지를 의미함
  • 업데이트는 미국 행정부 기관의 국가 안보 판단에 따라 이루어졌으며, 해당 장비가 안보 위협 가능성이 있다고 명시됨
  • FCC는 관련 내용을 보도자료(News Release)공식 공지문(Public Notice) 형태로 공개하고, DOCX·PDF·TXT 파일로 제공함
  • 문서에는 Covered List 업데이트 FAQ 링크가 포함되어 있으며, 외국산 라우터 관련 규제 변경 사항을 안내함
  • 이번 조치는 소비자 네트워크 장비의 보안 위험 관리 강화를 위한 연방 차원의 대응으로 발표됨
GN⁺ 7시간전  [-]
Hacker News 의견들

  • FCC가 ‘Covered List’라는 장비·서비스 목록을 유지하고 있음. 최근 외국산 소형·가정용 라우터의 취약점을 악용한 공격이 늘고 있지만, 문제의 본질은 제조국이 아니라 제조사의 형편없는 보안 관행임. 정부 기관이 보안 펌웨어를 의무화하지 않았기 때문에 제조사들은 신경 쓸 이유가 없었음. FCC나 FTC 모두 소비자 보호보다는 정치적 이해관계에 묶여 있고, 결국 미국은 보안이 엉망인 수많은 기기를 양산하게 되었음

    • ‘보안 펌웨어’는 상대적인 개념임. 완벽한 펌웨어를 요구하기보다 지속적인 업데이트가 중요함. 하지만 제조사들은 3년 후면 지원을 중단하고, 소비자는 15년씩 사용함. 해결책은 소비자가 직접 펌웨어를 교체할 수 있는 권한을 갖는 것임. 이렇게 하면 회사가 망해도 오픈소스 펌웨어로 교체 가능하고, 보안성도 더 높음
    • 아이러니하게도 많은 소비자용 장비에는 ‘문제 해결용’이라는 명목으로 백도어가 내장되어 있음. 이런 문제는 외국산에만 국한되지 않음. 정부 기관이 보안을 신경 쓴 유일한 순간은 FBI가 암호화를 약화시키려 했을 때뿐이었음
    • 유럽은 2027년부터 Cyber Resilience Act를 시행해 모든 디지털 제품에 최소 보안 요건을 의무화할 예정임. 하드코딩된 기본 비밀번호 금지, 자동 보안 업데이트, 데이터 암호화 등이 포함됨. 효과는 미지수지만 시도 자체는 긍정적임
    • FCC는 전파 간섭만 관리할 뿐, 소비자 보호 기관이 아님. FTC 역시 불공정 거래를 다루지, 보안 품질은 관할이 아님
    • 행정부를 비판하는 게 일반적이지만, 이번 조치는 “알고도 취약점을 남겨두고, 자국이 악용한 뒤에야 수정한다”는 의미로 읽힘. 요즘은 차라리 직접 라우터를 만드는 게 낫다는 생각임

  • 이번 발표의 핵심은, 외국산 라우터는 기본적으로 금지되지만 조건부 승인(Conditional Approval) 을 받으면 판매 가능하다는 점임. FCC는 제조사에 대해 법적 관할, 부품 원산지, 소프트웨어 업데이트 계획, 미국 내 생산 확대 계획 등을 요구함. 즉, 승인 절차를 통해 국내 제조를 유도하려는 의도임

    • 하지만 실제로는 정치적 후원금(payola) 을 낸 기업만 승인받고, 그렇지 않은 곳은 막힐 가능성이 큼. 이미 관세 정책에서도 이런 패턴이 보임
    • 서류상으로는 훌륭해 보이지만, 현실에서는 행정부의 사익 추구 수단으로 악용될 위험이 큼
    • 이런 절차가 비당파적 기술 행정으로 운영될 거라 기대하기 어렵고, 결국 ‘Pay-to-Play’ 구조가 될 것임
    • 결국 “관세로는 안 되니, 이번엔 다른 방식으로 무역 상대국을 압박하자”는 접근으로 읽힘
    • 트럼프의 사적 프로젝트에 기부한 기업만 통과할 거라는 냉소적 시각도 있음

  • 이번 조치가 감시 시스템 구축의 출발점이 될 수 있다는 우려도 있음. 미국산 라우터에 정부용 원격 접근 기능을 의무화하면, 결국 모든 가정이 감시망에 연결될 수 있음. 자유무역이 보장하는 유일한 장점은 단일 국가가 전체 국민을 감시할 수 없다는 점

    • 예를 들어 Xfinity 라우터 앱에는 “WiFi로 집 안 움직임 감지” 기능이 새로 생겼다고 함
    • 농담처럼, 미국·중국·러시아 라우터를 직렬로 연결하면 어느 한쪽도 완전한 백도어 접근을 못 할 거라는 말도 나옴
    • 하지만 실제로는 단순 감시를 넘어, 국내 인터넷 통제를 위한 기반이 될 수 있음. 이란의 사례처럼, 정부가 정보 차단을 통해 폭력을 은폐할 수 있는 구조를 만들려는 것임

  • 진짜 보안을 원한다면 기기를 금지할 게 아니라 펌웨어를 공개해 감사 가능하게 해야 함

    • 다만 백도어는 펌웨어가 아니라 실리콘 칩 내부에도 숨길 수 있음. 완전한 검증은 현실적으로 불가능하므로, 공급망 보안이 핵심임. 하지만 이번 조치는 트럼프의 무역 무기화 수단으로 보임
    • 오픈 펌웨어가 상업적으로 성공하기 어렵지만, OpenWRT One 같은 프로젝트는 좋은 예시임. Software ConservancyBanana Pi가 협력해 만든 모델이 잘 작동함
    • 그러나 FCC 규제로 인해 사용자가 RF 장비를 자유롭게 수정하기 어렵고, ‘Right to Repair’ 예외가 존재함. 의회가 이를 바꾸지 않는 한 현실적 진전은 어려움
    • 또, 일반 사용자가 펌웨어가 소스와 일치하는지 검증하기는 불가능함. 기술자가 아닌 일반 상점 주인이 이를 확인할 방법이 없음

  • 최근 Loper Bright Enterprises v. Raimondo (2024) 판결로 FCC 권한이 크게 약화되었음. 이런 상황에서 외국산 라우터를 제한하는 조치가 법적 검증을 통과할 수 있을지 의문임

    • 어떤 이는 “공화당 성향 대법원이 행정부의 뇌물 수집 권한만 강화했다”고 비판함

  • “외국산 소비자용 라우터 전면 금지”라지만, 미국산 라우터가 존재하느냐는 의문이 제기됨

    • heise.de 기사에 따르면, 미국 내 생산 라우터는 거의 없음
    • 다만 기존 모델은 계속 판매 가능함. FCC의 ‘Covered List’ 규정상 이번 조치는 신규 모델에만 적용됨. 일부 업체는 펌웨어가 빠진 스위치를 수입해 미국 내에서 재플래싱할 수도 있음
    • 심지어 Cisco조차 미국 내 생산이 아님
    • 라즈베리파이 같은 소형 컴퓨터를 라우터로 전환하는 방법도 있음
    • 혹시 Starlink가 예외일지도 모른다는 의견도 있음

  • FCC가 이번 조치를 통해 인터넷 규제 권한을 확장하려는 시도일 수 있음. 과거에도 비슷한 사례가 있었다며 이전 논의를 언급함

  • 제조사 입장에서는 제품을 ‘라우터’가 아닌 범용 컴퓨터로 판매하는 게 해법일 수 있음. 이미 NAS·방화벽·프록시 서버로 활용 가능한 하드웨어가 많음

    • 하지만 대부분의 소비자는 ‘라우터’라는 이름의 완제품을 원함. DIY 네트워크 장비를 원하는 사람들은 이미 그렇게 하고 있음

  • 중국 기업이 미국 내 공장에서 라우터를 만들어도 공급망 리스크는 여전함. 실제로 더 위험한 건 이미 가정 내 네트워크에 연결된 IoT 기기들임. 이번 조치는 실질적 변화보다는 정치적 제스처에 가깝다고 봄

  • 결론적으로, “외국산이 아닌 소비자용 라우터가 과연 몇 대나 있느냐”는 질문이 남음

답변달기