팩스 기기들은 통신 기술이라는 측면에서 보면 한참 뒤떨어져있음에도 불구하고, 여전히 사무실에 한 자리를 차지하고 있는 경우가 많습니다. 특히 의료 관련 기관이나 관청에서는 여전히 문서를 팩스로 송신하곤 합니다. 또한, 많은 올-인-원 프린터들은 여전히 팩스 기능을 포함하고 있습니다. 팩스 기능이 딸린 기기들이 놀라울 정도로 여전히 사방에 현존하고 있다는 사실에 즉면하여여, 체크포인트 리서치 (Check Point Research) 연구자들은 이 기기들을 정보 보안의 측면에서 검증해 볼 필요성을 느꼈습니다. 그리하여 연구자들은 그림 데이터로 위장된 유해한 코드를 올-인-원 프린터의 기능을 이용하여 팩스로 송신해보았습니다.
이 코드는 결정적으로 팩스 기기의 “리듬을 망가뜨려서” 메모리 오버플로우(memory overflow)를 야기합니다. 이렇게 하면 적절한 말웨어 실행이 이루어질 수 있게 되기에, 연구자들은 전체 네트워크에 방해받지 않고 진입할 수 있게 됩니다. 기기상에서는 어떤 팩스가 “수신”되고 있는지를 바로 알아보기 어렵습니다. 경고음도 주어지지 않습니다.
무서운 결과지요: 전화 접속은 기타 다른 데이터 접속과는 달리 특수한 보호 메커니즘을 통해 보호되거나 감시되지 않으므로, 이런 식의 공격은 매우 다양한 팩스 기기들을 이용하여 이루어질 수 있습니다.
“이 사례를 통해, 모든 가능한 통신 수단들이 하나의 통일된 보안 개념 하에 다루어지고 평가되어야만 한다는 점을 확인할 수 있습니다. 이러한 보안 개념은 주기적으로 검증되어야 하며, 필요한 경우 개정되어야 합니다. 언제나 새로운 지식이 추가되고 또 새로운 공격 시나리오가 개발될 수 있기 때문입니다. 마찬가지로 낡은 시스템들(기기와 또 그에 활용되는 통신 프로토콜)이 여전히 요건들을 충족할 수 있는가에 대한 재평가도 부단히 이루어져야 합니다”라고, VDE 기관의 스마트 테크놀로지 부서의 시니어 전문가인 Alexander Matheus는 설명합니다.
VDE 기관은 그러므로 사용되지 않는 팩스 기기나 올-인-원 기기들의 팩스 기능을 비활성화시키기를 권합니다. 비활성화를 위해서는, 단지 전화 연결만 해제하면 됩니다. 팩스 기기를 전체 네트워크에서 접속 해제하는 것이 불가능한 경우에는 반드시 생산자 측에서의 업데이트를 기다렸다가, 업데이트를 신속하게 설치해야 합니다.
