TP-Link 라우터 보안 취약점 잇따라 발견: CVE-2025-7850, CVE-2025-7851 심각성 분석

최근 TP-Link의 Omada 및 Festa VPN 라우터에서 심각한 보안 취약점 두 가지가 발견되어 큰 우려를 낳고 있습니다. Forescout Vedere Labs의 연구진에 의해 발견된 이 취약점들은 CVE-2025-7850 및 CVE-2025-7851로 분류되었으며, TP-Link 펌웨어 보안의 근본적인 취약점을 드러냅니다.

남겨진 디버그 코드로 인한 루트 권한 탈취

CVE-2025-7851은 과거에 해결되었던 CVE-2024-21827과 유사하게, 패치된 펌웨어에 남아있는 디버그 코드에서 비롯됩니다. 이전 문제로 인해 공격자는 "남겨진 디버그 코드" 기능을 악용하여 TP-Link 라우터에서 루트 권한을 얻을 수 있었습니다. TP-Link는 이 취약점을 패치했지만, 특정 조건 하에서 동일한 디버그 메커니즘에 접근할 수 있도록 업데이트가 이루어졌습니다. 예를 들어, 장치에 `image_type_debug`라는 특정 시스템 파일이 생성되면 이전의 루트 로그인 동작이 다시 활성화되었습니다.

WireGuard VPN 인터페이스를 통한 명령어 주입 공격

두 번째 취약점인 CVE-2025-7850은 라우터의 WireGuard VPN 구성 인터페이스에 영향을 미칩니다. 개인 키 필드에 대한 부적절한 삭제 처리로 인해 인증된 사용자가 운영 체제 명령을 주입하여 루트 사용자로 전체 원격 코드 실행을 할 수 있습니다. 실제로 하나의 취약점을 악용하면 다른 취약점을 더 쉽게 트리거할 수 있어 장치 제어 권한을 완전히 탈취할 수 있는 경로가 생성됩니다. 이는 일상적인 수정 작업이 기존의 공격 경로를 제거하는 대신 새로운 공격 경로를 도입할 수 있음을 보여줍니다.

VPN 설정의 허점을 노리는 공격 가능성

연구팀은 CVE-2025-7850이 일부 구성에서는 인증 없이 원격으로 악용될 수 있다고 경고합니다. 이는 VPN 설정을 공격자에게 예상치 못한 진입점으로 바꿀 수 있습니다. 연구원들은 루트 권한을 사용하여 TP-Link 펌웨어를 더욱 포괄적으로 검사할 수 있었습니다. 그 결과 다른 TP-Link 장치 제품군에서 15개의 추가 결함을 발견했으며, 현재 협력적인 공개 절차를 거쳐 2026년 초까지 패치될 것으로 예상됩니다.

사용자에게 필요한 조치

Forescout은 사용자에게 TP-Link에서 펌웨어 업데이트를 즉시 적용하고, 불필요한 원격 액세스를 비활성화하고, 악용 징후가 있는지 네트워크 로그를 모니터링할 것을 권장합니다. 이번 연구는 라우터 취약점 연구에 대한 귀중한 통찰력을 제공하는 동시에 우려스러운 패턴을 드러냅니다. 유사한 "루팅" 취약점이 여러 네트워킹 브랜드에서 계속 나타나고 있으며, 신속한 패치가 거의 해결하지 못하는 시스템적인 코딩 오류를 보여줍니다.

맺음말

공급업체가 근본 원인을 철저히 해결할 때까지 패치된 장치조차도 새로운 펌웨어 아래에 숨겨진 오래된 결함을 숨길 수 있으며, 안전한 라우터를 악용에 취약하게 만들 수 있습니다. 따라서 사용자들은 보안 업데이트에 적극적으로 대처하고, 잠재적인 위험을 줄이기 위한 예방 조치를 취해야 합니다.