집에서 인터넷을 쓰는 모든 기기는 공유기 한 대를 거쳐 나간다. 그래서 공유기가 뚫리면 노트북도, 스마트폰도, NAS도, 거실 카메라도 한꺼번에 공격자 손에 들어간다. 비밀번호 한 개를 바꾸는 일과 집 전체를 지키는 일이 같은 무게인 셈이다.
그런데 적지 않은 사용자가 관리자 암호와 펌웨어를 한 번도 손대지 않는다. 기술적 약점보다 무관심이 더 큰 구멍이라는 지적이 나오는 이유다. 2016년 미국을 마비시킨 Mirai 봇넷도, 국내에서 은행 사이트를 가짜로 바꿔치기하는 파밍도, 2021년 전국 아파트 월패드 40만 가구가 촬영당한 사고도 모두 출발점은 같았다. 누군가 기본값 그대로 둔 기기 하나.
나는 정보보안 일을 하면서 점검을 다니다 보면 가장 흔하게 마주치는 게 ‘설정만 한 번 봤어도 안 뚫렸을’ 장비들이었다. 거창한 해킹이 아니라 공장 초기 비밀번호, 켜진 채 방치된 원격관리, 몇 년째 안 올린 펌웨어 같은 것들이다. 집에서도 다르지 않다. 우리 집은 아이 둘에 Home Assistant로 조명·난방·센서를 묶어 돌리는 IoT가 꽤 많은 편인데, 그래서 더더욱 공유기부터 단단히 잠가두는 게 출발점이 됐다.
아래 조치들은 효과가 큰 순서대로 배치했다. 위에서부터 차례로 따라가면 오늘 저녁 30분 안에 대부분 끝난다.
가장 먼저 바꿔야 할 것은 관리자 비밀번호다
공유기에는 비밀번호가 두 개 있다. 하나는 와이파이에 접속할 때 쓰는 SSID 비밀번호, 다른 하나는 설정을 바꾸는 관리자 페이지 로그인 암호다. 둘은 완전히 별개이며 같은 값을 써서도 안 된다. 많은 사람이 와이파이 비번만 바꾸고 관리자 비번은 손대지 않는데, 이게 가장 위험한 착각이다.
왜 위험한가. 라우터 라벨이나 매뉴얼에 인쇄된 admin/admin 같은 공장 초기 ID·비밀번호는 웹 검색으로 누구나 찾을 수 있다. 관리자 페이지만 열리면 공격자는 DNS 주소를 바꾸고, 펌웨어를 조작하고, 포트포워딩을 열 수 있다. 통신사 임대 공유기도 안심할 수 없다. 통신사·제조사별로 시리얼번호나 MAC 주소를 기반으로 초기 비밀번호가 정해지는 경우가 많은데, 이 규칙은 기기 뒷면 스티커 정보만으로 추측당할 수 있다.
어떻게 하는가. 브라우저 주소창에 관리자 페이지 주소(기본 게이트웨이)를 입력해 로그인한다. ipTIME은 보통 192.168.0.1이다. 통신사 공유기는 모델마다 주소가 달라(KT는 172.30.1.254, SK브로드밴드는 192.168.35.1, LG U+는 192.168.219.1 계열이 흔하다) 기기 뒷면 스티커의 게이트웨이 주소를 확인하는 게 가장 확실하다. 잘 모르겠으면 PC에서 확인할 수 있다. 윈도우는 명령 프롬프트에 ipconfig를 입력해 ‘기본 게이트웨이’ 값을, 스마트폰은 와이파이 상세 정보의 게이트웨이/라우터 항목을 보면 된다. 로그인한 뒤 관리자 암호를 길고 고유하게 바꾼다. FBI는 16~64자, NSA는 20자 이상을 권고한다. 가능하면 접속 ID 자체도 admin에서 다른 값으로 바꾼다. KISA는 영문 대소문자·숫자·특수문자를 섞어 최소 8자 이상으로 만들고 주기적으로 갱신하라고 안내한다.
| 구분 | 관리자 비밀번호 | 와이파이(SSID) 비밀번호 |
|---|---|---|
| 용도 | 공유기 설정 변경 | 와이파이 접속 |
| 뚫리면 | DNS·펌웨어·포트 전부 조작 가능 | 무단 인터넷 사용·내부 스캔 |
| 권고 길이 | 16~64자 고유값 | 무작위 20자 이상 |
| 흔한 실수 | 아예 안 바꿈 | 이것만 바꾸고 끝냄 |
와이파이 암호화는 WPA3, 최소 WPA2-AES로
암호화 방식은 와이파이 보안의 본질이다. 2026년 현재 최선은 WPA3-Personal(AES)이다. WPA3는 기존 WPA2의 PSK 대신 SAE(Simultaneous Authentication of Equals) 방식을 써서, 핸드셰이크를 캡처한 뒤 오프라인에서 GPU로 사전 대입하는 공격에 강하다. CISA와 NSA가 공통으로 권고하는 방식이다.
구형 기기가 섞여 있다면. WPA3를 지원하지 않는 오래된 기기가 있으면 WPA2/WPA3 혼합(transition) 모드를 쓴다. 그것도 안 되면 최소한 WPA2-AES(CCMP)까지는 올려야 한다. WEP과 WPA(TKIP)는 이미 깨진 방식이라 사실상 무방비 상태와 같으니 절대 쓰지 않는다. ipTIME과 통신사 공유기 모두 무선 보안 설정에서 WPA2/WPA3-AES를 고를 수 있다.
와이파이 비밀번호 자체도 중요하다. 암호화 방식이 아무리 강해도 비밀번호가 짧거나 흔하면 핸드셰이크 캡처 후 오프라인 사전 대입으로 뚫린다. 사전에 있는 단어 조합이 아니라, 길고 무작위인 패스프레이즈를 쓴다(NSA 권고 20자 이상). SSID 이름도 제조사·모델명·집 호수 같은 식별 정보가 드러나지 않게 기본값에서 바꾼다. 다만 SSID ‘숨김(hidden)’은 접속 과정에서 결국 드러나기 때문에 실질 보안 효과가 거의 없다. 보안책으로 의존하지 말 것.
ipTIME 기준 경로는 관리도구(192.168.0.1) → 기본 설정 → 무선 설정/보안이다. 여기서 SSID, 암호화 방식, 암호를 한 번에 설정한다. WPA2-PSK 또는 WPA3에 AES 암호화를 고르고, 8자 이상(권장 12자 이상) 암호를 건다.
원격관리·WPS·UPnP, 이 세 가지는 꺼라
공유기가 공장 출하 상태에서 켜두는 편의 기능들이 그대로 공격 통로가 된다. 세 가지를 묶어서 끈다.
원격관리. WAN(인터넷) 쪽에서 관리자 페이지에 접속하게 열어두면, 전 세계 어디서나 공격자가 무차별 대입과 취약점 공격을 시도할 수 있다. CISA·NSA·FBI가 모두 끄라고 권고하며, 네트워크 설정 변경은 내부망에서만 하라고 한다. ‘강한 비번이니 괜찮다’는 안심은 통하지 않는다. 2025년 FBI가 경보를 낸 TheMoon 멀웨어는 비밀번호 없이 취약점만으로 감염시켰고, 원격관리가 켜진 단종 라우터가 주요 표적이었다. ipTIME은 고급 설정 → 보안 기능 → 공유기 접속/보안 관리에서 ‘원격 관리 포트’를 끄거나 미사용으로 둔다. 끈 다음에는 재부팅을 권한다(FBI).
WPS. 버튼 한 번으로 기기를 붙이는 Wi-Fi Protected Setup은 치명적인 설계 결함이 있다. 2011년 공개된 내용인데, 8자리 PIN이 사실상 두 개의 절반으로 따로 검증되고 마지막 한 자리는 체크섬이라, 전체 경우의 수가 10의 8제곱에서 약 11,000회로 줄어든다. Reaver 같은 도구로 4~10시간이면 WPS PIN을 깨고 그 안에 든 WPA/WPA2 패스프레이즈까지 복구한다. 와이파이 비번을 아무리 강하게 걸어도 WPS가 켜져 있으면 그 비번까지 노출된다는 뜻이다. 버튼(PBC) 방식도 누르는 잠깐 동안 근처 누구나 비번 없이 들어올 수 있다. 관리 페이지에서 WPS를 끈다.
UPnP. Universal Plug and Play는 인증 없이 LAN 안의 기기가 알아서 라우터 포트를 외부로 열게 해준다. 방화벽을 우회하는 셈이다. 멀웨어가 이를 악용해 감염 기기를 외부에 노출시키거나 봇넷 명령 서버와 통신하고, 공격자가 내부 기기를 원격 제어한다. NSA는 UPnP 비활성화를 명시적으로 권고한다. 포트가 꼭 필요하면 UPnP 대신 수동 포트포워딩으로 필요한 것만 최소한으로 연다.
펌웨어는 알려진 구멍을 직접 막는 행위다
펌웨어 취약점이 있으면 공격자가 공유기를 임의로 조작할 수 있다(KISA). 특히 구형 펌웨어에 남은 CSRF 같은 취약점은 공격자가 공유기의 DNS 서버 주소를 변조하는 데 쓰인다. 그러면 그 망에 물린 PC와 스마트폰이 정상 주소를 입력해도 가짜 피싱 사이트로 끌려간다. 국내에서 가장 흔한 공유기 침해 유형인 파밍이 바로 이 경로다. 관리자 암호를 안 건 구형 공유기가 주된 표적이 됐고, KISA에 관련 신고가 다수 접수됐다.
펌웨어 갱신이 추상적인 권고가 아니라 실제 구멍을 막는 행위라는 걸 보여주는 사례가 있다. 2026년 ipTIME 펌웨어 15.31.6은 KISA에 신고된 취약점(KVE-2026-0276/0289/0346)을 패치했다. 업데이트를 미루면 이미 공개된 약점을 그대로 열어두는 셈이다.
어떻게 하는가. ipTIME은 관리도구 → 시스템 관리 → 펌웨어 업그레이드에서 자동 업데이트(온라인)를 켜거나, 홈페이지에서 받은 펌웨어 파일을 수동 적용한다. ‘ipTIME Upgrader’ 모바일 앱도 있다. 기기가 자동 업데이트를 지원하면 켜두는 게 가장 안전하다. 통신사 임대 공유기는 펌웨어를 통신사가 원격으로 관리하는 경우가 많아 사용자가 직접 손대지 못할 수 있다. 이때는 고객센터(KT 100, SKB 106, U+ 101)에 원격관리·DMZ 설정 상태를 확인 요청하는 것이 현실적이다.
IoT는 메인망과 분리한다 — 내가 집에서 가장 신경 쓰는 부분
우리 집은 스마트플러그, 센서, 카메라, 그리고 Home Assistant 허브까지 IoT 기기가 적지 않다. 이런 기기들은 펌웨어 업데이트가 잘 안 되고 기본 비밀번호를 쓰는 경우가 많아, 네트워크에서 ‘가장 약한 고리’가 되기 쉽다. 문제는 그 약한 고리 한 대가 뚫렸을 때다. 모든 기기가 같은 서브넷에 있는 평평한(flat) 네트워크에서는, 침해된 카메라 한 대가 같은 망의 NAS·노트북·폰을 그대로 스캔하고 접근한다. 보안에서 측면 이동(lateral movement)이라 부르는 것이다. 그래서 나는 IoT 기기를 메인망과 처음부터 갈라놓는다. 한 대가 뚫려도 피해를 IoT망 안에 가두기 위해서다.
대부분의 가정은 게스트 네트워크 하나면 충분하다. VLAN 장비(VLAN 지원 라우터+관리형 스위치) 없이도, 게스트 네트워크를 IoT 전용으로 쓰는 것만으로 큰 효과를 본다. 다만 게스트망이 자동으로 메인망과 격리된다고 단정해선 안 된다. 제품에 따라 게스트 기기가 내부망에 접근할 수 있으므로, 아래에서 ‘내부망 접근 차단’ 옵션을 직접 켜는 것이 격리의 핵심이다. 단계는 다음과 같다.
- 라우터 관리자 페이지에 접속한다(흔히 192.168.0.1 / 192.168.1.1 / 10.0.0.1).
- 무선 또는 게스트 네트워크 메뉴에서 게스트 네트워크를 켠다.
- SSID를 ‘HomeIoT’, ‘SmartDevices’ 같은 이름으로 만들고 WPA2 또는 WPA3에 강한 비밀번호를 건다.
- ‘게스트의 로컬 네트워크(내부망) 접근 허용’ 옵션을 반드시 끈다. 이것이 IoT가 메인 PC를 못 보게 막는 핵심 스위치다.
- IoT 기기를 제조사 앱에서 새 게스트 SSID로 재연결한다.
ipTIME이라면 192.168.0.1 → 관리도구 → 고급설정 → 무선랜 관리 → 무선 설정/보안 → 게스트 무선 네트워크를 off에서 on으로 바꾼다. 2.4G와 5G 대역별로 각각 게스트망을 만들 수 있다. 가장 중요한 항목은 ‘통신 정책 설정’에서 ‘WAN포트 인터넷 통신만 허용’으로 지정하는 것이다. 이러면 게스트(IoT)망은 인터넷만 되고 내부망의 메인 PC·NAS에는 닿지 못한다. 이게 별도 장비 없이 만드는 가정용 망분리다.
한 단계 더, 클라이언트 격리. 메인망과 IoT망을 나눠도, IoT망 안의 기기들끼리 서로 보이면 카메라 한 대가 뚫렸을 때 같은 망의 다른 IoT 기기로 번질 수 있다. 클라이언트 격리(AP isolation)는 같은 SSID에 붙은 기기끼리 직접 통신하지 못하게 막는 옵션이다. IoT망과 게스트망에 켜두면 측면 이동을 사실상 멈춘다. 소비자용 라우터의 기본 게스트 모드는 메인 비번만 가려줄 뿐 기기 간 통신을 막지 않는 제품이 많으니, 이 옵션이 있는지 꼭 확인한다.
분리하면 생기는 부작용도 알아두자. 폰(메인망)에서 IoT망의 크롬캐스트나 스마트 스피커를 제어하려면 mDNS·SSDP 같은 검색 패킷이 망 경계를 넘어야 하는데, 분리해두면 기본적으로 넘지 못한다. AirPlay·크롬캐스트가 안 잡힌다고 분리를 풀어버리는 건 잘못된 대응이다. 제어할 기기와 미디어 기기를 같은 게스트망에 두거나, VLAN 환경이라면 mDNS reflector를 켜고 필요한 멀티캐스트만 허용하는 규칙으로 푼다. VLAN·고정 IP·포트별 정밀 규칙이 정말 필요할 때만 UniFi, pfSense, OPNsense 같은 상위 장비로 올라가면 된다. 장비 없이 VLAN을 흉내 내려다 오히려 설정이 깨지는 경우가 많다.
DNS 점검과 불필요한 서비스 정리
DNS 변조는 통째로 가짜 사이트로 보낸다. 라우터 DNS가 변조되면 그 망의 모든 기기가 가짜 사이트로 유도돼 비밀번호와 카드정보가 탈취된다. 이게 라우터 DNS 하이재킹이고 국내 파밍의 핵심 수법이다. 침투 경로는 결국 약한 관리자 비번과 취약점이므로, 앞서 한 관리자 비번 강화·펌웨어 갱신·원격관리 차단이 1차 방어다. 그 위에 신뢰할 수 있는 DNS(1.1.1.1, 8.8.8.8 등)를 지정하고, 라우터·OS·브라우저가 지원하면 DoH(DNS over HTTPS)나 DoT(DNS over TLS) 같은 암호화 DNS를 켜 중간 변조와 도청을 막는다. 다만 DNS 변경은 어디까지나 보조책이다. 라우터 자체가 뚫리면 공격자가 DNS를 다시 바꿔버리므로, 관리자 비번·펌웨어·원격관리가 선행돼야 한다. DNS 설정이 임의로 바뀌었는지 주기적으로 확인한다.
안 쓰는 문은 다 닫는다. Telnet·SSH·FTP·SMB처럼 외부에 열린 원격 관리 서비스와, 쓰지 않는 포트포워딩·DMZ 설정은 전부 끈다. 특히 Telnet은 평문 전송에 기본 자격증명까지 더해져 Mirai류 봇넷의 1차 감염 경로였다. 포트포워딩은 꼭 필요한 서비스만 남기고 정기적으로 점검한다. 연결된 기기 목록도 주기적으로 확인해 모르는 기기가 보이면 제거한다(KISA 권고). MAC 주소 인증을 켜면 등록한 기기만 와이파이에 붙게 할 수 있지만, MAC은 위조가 가능하므로 어디까지나 보조 수단이다. SSID 숨김과 MAC 필터링을 ‘강력한 보안’으로 오해하지 말 것. 둘 다 일반 도구로 쉽게 우회되며 WPA3와 강한 비번을 대체하지 못한다.
단종 라우터는 교체가 정답, 그리고 봇넷이 알려준 교훈
2010년 이전에 나왔거나 제조사 지원이 끝난 라우터는 새 취약점이 발견돼도 영영 패치되지 않는다. 2025년 FBI/IC3 경보(PSA250507)에 따르면 이런 단종 라우터가 TheMoon 멀웨어 변종에 감염됐다. TheMoon은 비밀번호 없이도 열린 포트를 스캔하고 취약 스크립트에 명령을 보내 감염시켰는데, 특히 원격관리가 켜진 단종 라우터가 표적이었다. 감염된 기기들은 5socks·Anyproxy 같은 범죄용 프록시 네트워크로 팔렸다. ‘잘 되니까’ 수년째 펌웨어 없이 쓰는 기기가 가장 위험하다. FBI의 권고는 분명하다. 가능하면 단종 기기를 교체하고, 패치를 즉시 적용하고, 원격관리를 끈 뒤 재부팅하고, 16~64자 강한 비번을 쓰라는 것.
왜 이 모든 항목이 중요한지는 Mirai 봇넷이 가장 잘 보여준다. Mirai는 약 62개의 흔한 기본 ID/비밀번호 사전을 들고 인터넷 전체를 무작위로 스캔해 Telnet으로 로그인, IoT 기기와 라우터에 자신을 설치했다. 최대 60만 대 이상을 감염시켜 2016년 Dyn 공격 같은 대규모 DDoS에 동원했다. 일부 기기는 비밀번호가 펌웨어에 하드코딩돼 사용자가 바꿀 수조차 없었다. 여기서 나오는 교훈은 단순하다. 기본 비번 변경, Telnet 등 불필요 서비스 차단, 펌웨어 갱신. 이 세 가지가 봇넷의 1차 감염을 직접 끊는다.
월패드는 한국만의 숙제다. 2021년 전국 638개 단지 약 40만 가구의 월패드가 해킹 위험에 노출됐다. 해커가 단지 서버를 침투해 세대 월패드의 내장 카메라에 접근했고, 다수의 영상과 사진이 유출됐다. 정부는 2022년 7월부터 신축 아파트에 세대 간 망분리를 의무화했지만, 이미 지어진 기축 아파트는 여전히 사각지대다. 월패드는 단지 공용망에 묶여 있어 개별 세대가 통신사 공유기처럼 완전히 통제하긴 어렵다. 현실적인 자가 대응은 세 가지다. 카메라를 안 쓸 때 렌즈를 스티커나 슬라이드 커버로 가리고, 비밀번호를 호수·생일 같은 추측 가능한 값에서 복잡한 값으로 바꾸고, 관리사무소에 단지 게이트웨이 펌웨어와 망분리 조치 여부를 문의하는 것이다.
이미 뚫렸다면, 그리고 전체 우선순위 정리
침해 증상부터 알아두자. 관리자 페이지에 접속이 안 되거나 비밀번호가 바뀌어 있고, 연결 기기 목록에 모르는 기기가 보이고, 와이파이가 갑자기 느려지고, 정상 사이트에 접속했는데 가짜 사이트로 연결되거나 악성 앱 설치를 유도한다면 침해를 의심해야 한다.
복구는 비번만 바꿔선 안 된다. 해커가 심어둔 악성 DNS나 설정이 남을 수 있어서다. 순서는 이렇다. (1) 뒷면 Reset 버튼을 뾰족한 도구로 10초 이상 눌러 공장초기화한다. (2) 즉시 관리자 비밀번호를 영문 대소문자·숫자·특수문자를 섞은 복잡한 값으로 바꾼다. (3) 제조사 최신 펌웨어를 적용한다. (4) 와이파이 암호를 재설정하고 모든 기기를 다시 연결한다. KISA 보호나라(boho.or.kr)의 ‘내PC돌보미’ 서비스를 신청하면 사용 중인 공유기의 취약점 점검을 무료로 받을 수 있고, 침해 사고는 인터넷침해대응센터 118로 신고한다.
한국의 이중 공유기 상황. 통신사 모뎀과 사제 공유기(ipTIME 등)를 함께 쓰는 더블 NAT 가정이 흔하다. 이 경우 두 기기 각각에서 관리자 비번·WPS·원격관리·UPnP를 점검해야 한다. 통신사 공유기의 게스트망·클라이언트 격리 메뉴가 제한적이거나 잠겨 있다면, 통신사 모뎀을 브리지(bridge) 모드로 두고 ipTIME 같은 개인 공유기를 물려 그 공유기에서 IoT망을 구성하는 방식이 현실적이다.
정리하면, 효과가 큰 순서대로 다음 표 하나로 압축된다. 위에서부터 내려가며 하나씩 체크하면 된다. 모든 변경을 마친 뒤에는 라우터를 재부팅하고, 연결 기기 목록을 한 번 훑어 모르는 기기가 없는지 확인한다.
| 순위 | 조치 | 막아주는 위협 |
|---|---|---|
| 1 | 관리자·와이파이 비번을 길고 고유하게 (둘 따로) | 기본값 로그인, 봇넷 자동 감염 |
| 2 | WPA3 또는 최소 WPA2-AES, WEP·TKIP 폐기 | 오프라인 사전 대입, 무단 접속 |
| 3 | 원격관리·WPS·UPnP·Telnet 끄기 | 외부 무차별 대입, PIN 크래킹, 포트 자동 개방 |
| 4 | 펌웨어 최신화 + 자동 업데이트 | CSRF·DNS 변조 등 알려진 취약점 |
| 5 | 게스트망으로 IoT 분리 + 클라이언트 격리 | 측면 이동, IoT발 내부망 침해 |
| 6 | DNS 점검 + 암호화 DNS(DoH/DoT) | 파밍, 중간 변조·도청 |
| 7 | 단종 라우터는 교체 | 영구 미패치 취약점, TheMoon류 감염 |
공유기 보안은 한 번 제대로 잠가두면 이후로는 펌웨어 점검과 기기 목록 확인 정도만 주기적으로 하면 된다. 30분의 수고가 집 안의 모든 기기, 그리고 그 기기에 담긴 가족의 사생활과 금융 정보를 지킨다.
![ApoorvCTF 2025 – [AI] Pokédex Neural Network Write Up](https://redchupa.com/wp-content/uploads/2026/04/20250304_1638_32.png "ApoorvCTF 2025 - [AI] Pokédex Neural Network Write Up 3")
