세일즈포스의 수석 제품 보안 엔지니어인 알렉세이 코제노프(Alexei Kojenov)가 화웨이의 자회사에서 만든 인코더 칩을 악용한 보안 취약점을 공개했습니다.
그가 공개한 보안 취약점은 화웨이 자회사인 하이실리콘에서 만든 인코더 칩인 hi3520d로 구동되는 IPTV와 H.265/H.265 비디오 인코더에서 발견된 것인데요.
그는 이 칩을 통해 백도어 암호를 가진 관리 인터페이스, 텔넷을 통한 루트 액세스, 인증되지 않은 파일 업로드를 통한 악성 코드 실행 및 명령을 가능하게 만드는 결함이 있다고 밝혔습니다.
즉, 이 취약점들은 원격으로 장치를 장악해 악용될 수 있을 뿐아니라 민감한 정보 노출, 서비스 거부 및 원격 코드 실행까지 할 수 있습니다.
이 보안 허점은 개발자가 누군지 알 수 없는 소프트웨어에서 확인한 것으로 하이실리콘이 해당 칩셋을 위해 제공하는 리눅스 스택 위에서 실행됩니다.
하이실리콘은 즉각 해당 칩 및 소프트웨어 개발도구로 인해 그런 취약점이 나타난 것이 아니라는 성명을 발표했습니다.
다만 화웨이 칩과 소프트웨어 개발 도구가 정상이라도 제품을 개발하는 공급망에서 버그를 악용해 제품을 만들 위험이 있는 만큼 보완이 필요해 보입니다.