미국의 해외製 SOHO 라우터 금수 조치에 대한 전문가의 산업정책 차용 비판

Context

미국 FCC가 Volt Typhoon과 Salt Typhoon 공격을 이유로 해외 제조 SOHO 라우터 금수 정책을 시행 중이다. Professor Milton Mueller는 이 정책이 실제 보안 개선에 실패한다고 주장한다. FCC는 중국 기반 공급망의 85% 집중이 체계적 취약성을 만든다고 분석했지만, Mueller는 공격자들이 실제 탐지한 위협 벡터가 펌웨어 백도어가 아닌 패치되지 않은 버그와 기본 자격 증명임을 지적한다.

Technical Solution

• SOHO 라우터 보안 강화 → 최신 자동 업데이트 기능 갖춘 Wi-Fi 7/8 장치 도입 장려 방식으로 전환
• 위협 벡터 분석 → 펌웨어 출처가 아닌 UPnP 구현 결함, 노출된 네트워크 포트, 기본 자격 증명 문제 집중 대응 -Legacy 장치 정책 → 수명 종료 라우터 및 비보안 레거시 프로토콜 사용 중단 강제 수립
• 공급망 보안 → 라우터 조립 지역이 아닌 Linux Kernel, Wi-Fi 드라이버, 오픈소스 라이브러리 등 소프트웨어 공급망 검증

Impact

기존 취약 라우터 계속 사용 시 미국 가정 인터넷 공격 표면 확대 예상

Key Takeaway

지리적 원산지 기반 보안 정책은 글로벌 소프트웨어 공급망 현실을 무시하며, 실제 위협 벡터와 다른 대상을 표적으로 설정하여 보안 상황을 악화시킬 수 있다.