한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지일반 사무용 전화기가 중국 정부에 정보를 유출할 수 있다고 보고
영국 노퍽 노리치의 콜센터 직원 게티 이미지
대기 중
패트릭 터커
중국의 주요 휴대전화 제조업체는 미국 소비자, 기업, 심지어 국가 안보 데이터까지 위험에 빠뜨릴 수 있으며, 미국 상원의원은 상무부가 이에 대해 어떤 조치를 취할 것인지 알고 싶어합니다.
Defense One이 입수한 9월 28일 서신에서 Chris Van Hollen 상원의원(D-Md.)은 "Yealink와 같은 중국 기업이 미국에 생산하고 판매하는 시청각 장비의 보안에 대해 심각한 우려를 제기하는 보고서"를 설명했습니다. ."
Yealink는 논란의 여지가 있는 중국 거대 통신업체 Huawei의 이름을 알지 못하지만, Yealink의 전화기는 정부 기관을 포함하여 미국 전역에 널리 설치되어 있습니다. 지난 9월 Yealink와 Verizon은 "국내 최초의 4G/LTE 휴대폰 탁상 전화기"를 판매할 계획을 발표했습니다.
편지에서 Van Hollen은 Gina Raimondo 상무장관에게 보안용 전자 제품을 분석하는 버지니아 소재 회사인 Chain Security의 보고서를 자신의 기관이 알고 있는지 물었습니다. 그는 분석이 신뢰할 만하다고 생각하는지, 그렇다면 커머스가 이에 대해 무엇을 하기를 원하는지 물었습니다.
보고서에서 제기된 보안 문제 중 다수는 미국 정부가 화웨이에 대해 수년 동안 제기해 온 문제와 유사합니다. 본질적으로, 공격자가 데이터를 훔치는 데 사용할 수 있는 대규모(그러나 의도하지 않은) 보안 결함이 많이 있습니다. 그러나 특히 Yealink T54W 전화기에는 의도적으로 내장된 몇 가지 우려되는 기능도 있습니다.
보고서는 각 전화기를 로컬 네트워크에 연결하는 Yealink 소프트웨어를 지적했습니다. 장치 관리 플랫폼(DMP)이라고 불리는 이 플랫폼을 통해 사용자는 PC에서 전화를 걸고 네트워크 관리자는 전화를 관리할 수 있습니다. 그러나 Yealink는 이러한 전화 통화를 비밀리에 녹음하고 사용자가 방문하는 웹 사이트를 추적할 수도 있습니다.
"기기 관리 플랫폼에 의해 휴대폰이 관리되고 있고, 근거리 통신망에 접속하기 위해 사용자의 PC가 휴대폰에 연결되어 있는 경우, 컴퓨터에서 서핑 중인 내용에 대한 정보를 수집하는 것을 관찰했습니다." , Chain Security CEO Jeff Stern은 말했습니다. "Yealink 전화와 같은 데스크톱 IP 전화를 이더넷 스위치로 사용하여 PC를 LAN에 연결하는 방법은 일반적인 비즈니스 관행입니다. 해당 플랫폼의 관리자는 사용자 모르게 통화 녹음을 시작할 수도 있습니다… 그들은 통화를 녹음하라는 명령을 전화기에 보내는 것뿐입니다."
Stern은 "이 기능은 기업 고객의 직원이나 담당자가 사용하기 위한 것입니다. 그러나 모든 시스템에는 수퍼유저 관리자 또는 SYSADMIN이 있습니다. 이러한 유형의 시스템에서는 일반적으로 SYSADMIN이 모든 것에 액세스할 수 있습니다. 특히 이후의 일부 최신 시스템은 더욱 그렇습니다. 스노든, SYSADMIN에게 이 능력을 부인하세요. 하지만 여기서는 그렇지 않고 Yealink DMP SYSADMIN이 중국에 있다고 가정해야 합니다."
Chain Security의 보고서는 Yealink의 서비스 계약은 사용자에게 중국 법률을 수락하도록 요구하는 반면 "관련 서비스 약관은 '국익'(즉, 중국의 국익을 의미)에 따라 필요할 때 사용자에 대한 적극적인 모니터링을 허용합니다"라고 지적했습니다.
Stern은 또한 전화기가 소프트웨어의 무단 변경을 방지하기 위해 디지털 인증서를 사용하지 않는다고 지적했습니다. 이로 인해 공격자가 Yealink에 귀속되지 않고 휴대폰의 데이터는 물론 잠재적으로 연결된 전체 네트워크까지 손상시키기가 훨씬 쉬워집니다. "전화기에서 무슨 일이 일어나고 있는지 감시하는 일종의 모니터가 없다면 이 펌웨어가 거기에 있는지 알 수 없으며 네트워크와 서브넷 감시 측면에서 원하는 모든 것을 할 수 있습니다. 우리가 이런 장치에 대해 걱정하는 시나리오는 다음과 같습니다. 이는 네트워크를 감시한 다음, 본질적으로 네트워크 아키텍처 또는 네트워크 구현을 유출한다는 것입니다."