홈 라우터 5가지 보안 설정 변경으로 네트워크 노출 영역 최소화함

Context

대부분의 소비자용 라우터는 보안을 고려한 설정 대신 편의성을 우선으로 출하됨. 기본 설정 상태에서 게이트웨이는 모델 번호를 브로드캐스팅하며 외부 ping에 응답함. 최신 하드웨어로 레거시 인증 프로토콜 우회 가능함.

Technical Solution

• WPS 비활성화: 8자리 PIN 기반 브루트포스 공격에 취약함. Reaver 도구로 WPA2/WPA3 비밀번호 무관하게 네트워크 침투 가능함
• UPnP 비활성화: 내부 네트워크의 맬웨어가 방화벽에 구멍을 뚫을 수 있음. 수동 포트포워딩 또는 보안 터널 사용 권장함
• DNS 변경: ISP 기본 서버 대신 Cloudflare(1.1.1.1) 또는 Quad9(9.9.9.9)로 전환함. 네트워크 전체 광고 차단은 Pi-hole으로 구현함
• WPA3-SAE 또는 WPA2-AES(CCMP) 사용: TKIP 비활성화함. 원격 관리(Web Management via WAN) 기능 끄기함
• 네트워크 분리: 게스트 네트워크/VLAN으로 IoT 기기를 1차 워크스테이션 및 NAS와 격리함. AP Isolation 활성화함

Impact

보안 설정 강화로 레거시 프로토콜(WPS, UPnP, TKIP) 기반 공격 벡터 완전 제거함.

Key Takeaway

라우터 하드닝은 긴 비밀번호 설정만으로는 부족함. 레거시 기능 비활성화, 트래픽 분리, 제조사 백도어 폐쇄의 체계적 접근이 필요함.

Key Takeaway

펌웨어 업데이트는 최신 익스플로잇(FragAttacks, KRACK) 방어를 위한 유일한 방법임. 제조사 지원이 종료된 라우터는 OpenWrt로 전환하거나 교체해야 함.