yozm.tech
피드로 돌아가기
news.hada.ioHOTAI 재작성

텐다 라우터 펌웨어에서 인증 백도어 발견, 사용자 주의 필요

일부 텐다(Tenda) 네트워크 장비 펌웨어에서 문서화되지 않은 인증 백도어(CVE-2026-11405)가 발견되었습니다. 이 취약점을 통해 공격자는 유효한 사용자명 없이도 특정 비밀번호로 웹 관리 인터페이스의 관리자 권한을 얻을 수 있습니다. 현재 패치가 없어 원격 관리 비활성화 등 제한적인 완화책만 가능한 상황입니다.

4시간 전·2026.07.09·읽기 2·neo https://news.hada.io/user/neo

중국 네트워크 장비 제조사 텐다(Tenda)의 일부 라우터 펌웨어에서 심각한 인증 백도어(backdoor) 취약점(CVE-2026-11405)이 발견되어 사용자들의 주의가 요구됩니다. 이 백도어는 유효한 관리자 계정 정보 없이도 장비의 웹 관리 인터페이스에 접근하여 관리자 권한을 얻을 수 있게 합니다. 이는 장치 재구성, 네트워크 설정 변경, 보안 기능 비활성화 등 광범위한 악용으로 이어질 수 있어 심각한 보안 위협으로 평가됩니다.

이 백도어는 펌웨어 내의 특정 바이너리 파일(‘/bin/httpd’)에 있는 ‘login()’ 함수 안에 숨겨져 있습니다. 정상적인 MD5 기반 비밀번호 검증이 실패할 경우, 시스템 설정에 저장된 ‘sys.rzadmin.password’ 값을 대체 비밀번호처럼 확인하는 방식으로 동작합니다. 이때 사용자명 검증 절차가 생략되어, 어떤 사용자명을 입력하더라도 이 백도어 비밀번호와 일치하면 관리자 세션이 생성됩니다. 영향을 받는 주요 모델은 FH1201, W15E, AC10, AC5, AC6 계열의 특정 펌웨어 버전이며, 발견된 백도어 비밀번호는 ‘rzadmin’으로 알려져 있습니다. 텐다 측과의 조율 실패로 아직 공식 패치가 제공되지 않고 있어, 현재로서는 원격 웹 관리 비활성화나 기본 LAN IP 주소 변경 등 제한적인 완화책에 의존해야 합니다.

이러한 백도어는 단순한 보안 취약점을 넘어, 제조사의 의도나 관리 부실에 대한 의문을 제기합니다. 특히 문서화되지 않고 사용자 인터페이스에도 노출되지 않는 방식은 개발자 편의 기능이 실수로 남겨졌거나, 혹은 악의적인 목적으로 삽입되었을 가능성을 시사합니다. 소비자용 네트워크 장비에서 이러한 취약점이 발견되는 것은 사용자들이 자신의 네트워크 환경을 신뢰하기 어렵게 만들며, 장비 선택 시 보안 검증의 중요성을 다시 한번 강조합니다. 사용자들은 제조사 펌웨어에만 의존하기보다, OpenWRT와 같은 오픈소스 펌웨어를 고려하거나, 보안에 더 많은 투자를 하는 브랜드를 선택하는 것이 현명할 수 있습니다.

1인 창업자를 위한 기회 분석
AI 분석 · 참고용이며 검증이 필요합니다
2/10
약한 신호
2점인가

일반적인 보안 뉴스이며, 직접적인 사업 기회보다는 기존 서비스의 보안 강화 필요성을 보여줍니다. 1인 창업자가 직접 해결하기에는 시장 규모가 작고, 기술적 난이도가 있습니다.

문제 / 미충족 수요

네트워크 장비 펌웨어의 보안 취약점은 사용자에게 심각한 위험을 초래하지만, 일반 사용자가 이를 직접 해결하기 어렵습니다.

한국 시장
국내 있음한국에서도 텐다 라우터 사용자가 있지만, 대부분 기본 펌웨어를 그대로 사용하며 보안 취약점에 대한 인지도가 낮을 가능성이 높습니다.
수익 모델

B2C/B2B 보안 컨설팅, 오픈소스 펌웨어 설치 대행 서비스 · 돈 내는 주체: 보안에 민감한 개인 사용자, 소규모 기업, IT 관리 역량이 부족한 소상공인

1인 실현 가능성
3/5

오픈소스 펌웨어 설치는 기술적 지식이 필요하지만, 1인 창업자가 충분히 학습하고 서비스화할 수 있습니다. 다만 시장 규모가 작을 수 있습니다.

진입 지점 (Wedge)

특정 취약한 라우터 모델을 사용하는 소규모 사무실이나 개인을 대상으로 OpenWRT 등 보안 강화 펌웨어 설치 및 관리 대행 서비스 제공

이번 주 첫 실험

텐다 라우터 사용자 커뮤니티에서 취약점 인지도를 조사하고, OpenWRT 설치 가이드 및 잠재적 고객군을 파악합니다.

Original source
이 글은 news.hada.io의 기사를 yozm.tech가 한국어로 재작성한 버전입니다.
원문 보기