내 오디오 인터페이스에 SSH가 켜져 있었다 — 펌웨어 시대의 IoT 보안 사각지대

팟캐스터들이 즐겨 쓰는 Rode사의 Rodecaster Duo. 흔한 USB 오디오 인터페이스인 줄 알았던 이 장비를 USB로 연결하면 네트워크 인터페이스가 잡히고, 거기서 SSH 포트(22번)가 열려 있다는 사실이 알려지며 작은 소동이 벌어지고 있습니다. “마이크 프리앰프에 왜 리눅스 셸이 떠 있냐"는 질문 하나가, 사실은 우리 책상 위 모든 장비에 해당되는 이야기라는 걸 깨닫게 해줍니다.

마이크 프리앰프가 리눅스 박스인 시대

요즘 오디오 인터페이스는 더 이상 단순한 AD/DA 컨버터가 아닙니다. Rodecaster Duo는 내부에 임베디드 리눅스를 돌리고, 터치스크린 UI를 띄우고, 무선 마이크와 페어링하고, 펌웨어 업데이트를 받습니다. 사실상 책상 위에 놓인 작은 컴퓨터인데요. USB로 PC에 연결하면 RNDIS(USB 이더넷) 인터페이스가 함께 올라오고, 그 IP 대역으로 ssh 명령을 던지면 응답이 옵니다.

문제는 이게 “기본값"이라는 점입니다. 사용자가 활성화한 게 아니라, 박스에서 꺼내자마자 그렇게 동작합니다. 디버깅 편의나 펌웨어 업데이트 채널을 위해 남겨둔 것으로 추정되지만, 일반 사용자는 자기 장비에 셸이 떠 있다는 사실 자체를 모릅니다.

“그래서 뭐가 문제냐"에 답하기

당장 인터넷에 노출된 22번 포트가 아니니까 호들갑 떨 필요 없다고 볼 수도 있습니다. USB로 직결된 호스트에서만 보이는 네트워크니까요. 하지만 이 사고방식이 바로 IoT 보안의 사각지대를 만듭니다.

첫째, 공격 표면의 정의가 달라집니다. PC가 멀웨어에 감염되면 그 멀웨어는 USB 너머의 오디오 장비까지 손을 뻗을 수 있습니다. 내부 펌웨어를 조용히 갈아끼우고, 마이크 입력을 가로채고, 다음 USB 호스트로 옮겨갈 발판이 됩니다.

둘째, 인증과 권한이 모호합니다. 디바이스에 root 계정의 비밀번호가 어떻게 설정돼 있는지, 키 기반 인증인지, 모든 출하 장비가 같은 자격 증명을 쓰는지 — 사용자 매뉴얼에는 한 줄도 없습니다. 일반 가전이라면 “그게 뭐냐"고 묻는 것 자체가 이상하겠지만, 이건 셸이 열린 컴퓨터입니다.

셋째, 업데이트 책임이 불분명합니다. 5년 후, 7년 후에도 보안 패치가 나올까요. 오디오 업계는 하드웨어를 10년씩 쓰는 게 정상인데, 펌웨어를 얹은 순간 그 수명은 보안 지원 기간에 종속됩니다.

책상 위 모든 장비가 리눅스 박스다

이건 Rode 한 회사의 이야기가 아닙니다. 요즘 출시되는 디지털 믹서, 스트리밍 키보드, 무선 마이크 베이스, 심지어 일부 USB 마이크조차 임베디드 OS를 품고 있습니다. 제조사 입장에서는 펌웨어 업데이트로 기능을 늘릴 수 있다는 게 매력이지만, 그 대가로 모든 장비가 잠재적인 네트워크 호스트가 되어버립니다.

오디오 장비뿐일까요. 스마트 전구, 로봇청소기, 공기청정기, 도어락, 심지어 식기세척기까지 동일한 구조입니다. 표면은 가전, 내부는 리눅스. 그리고 그 리눅스의 보안 자세는 거의 검증된 적이 없습니다.

사용자가 할 수 있는 것, 제조사가 해야 하는 것

당장 뽑을 수 있는 카드는 제한적입니다. 펌웨어 업데이트를 꾸준히 적용하고, 기본 비밀번호가 있다면 바꾸고, 굳이 필요 없는 네트워크 인터페이스는 OS 차원에서 막는 정도. 하지만 근본적으로는 제조사가 명시해야 할 영역입니다. 어떤 포트가 왜 열려 있는지, 자격 증명은 어떻게 관리되는지, 보안 지원은 언제까지인지.

EU의 사이버 회복력 법안(CRA) 같은 규제가 IoT 전반의 보안 라벨링을 밀어붙이고 있는 이유가 여기에 있습니다. “전원만 들어오는 줄 알았는데 사실은 셸이 떠 있더라"는 사용자 경험은, 더는 용인되어선 안 됩니다.

마이크 프리앰프 하나가 우리에게 던지는 질문은 의외로 큽니다. 여러분 책상 위, 거실 한쪽, 침실 콘센트에 꽂혀 있는 그 장비는 정말 단순한 가전일까요. 펌웨어가 들어 있다면, 그건 이미 컴퓨터입니다. 우리는 그걸 컴퓨터답게 다루고 있나요?