미국과 캐나다 전역의 아파트 및 오피스 빌딩 수십 곳이 기본 비밀번호 설정으로 인해 보안 위협에 노출된 것으로 밝혀졌습니다.
보안 연구원 에릭 데이글(Eric Daigle)은 Hirsch 사의 ‘Enterphone MESH’ 도어 액세스 시스템이 출고 당시 설정된 기본 비밀번호를 그대로 유지할 경우, 누구나 원격으로 건물의 출입문과 엘리베이터를 조작할 수 있는 보안 취약점을 발견했습니다.
그러나 Hirsch는 이를 보안 결함이 아닌 “설계된 기능”이라고 주장하며 수정할 계획이 없음을 공식적으로 밝혔습니다. 회사 측은 사용자가 시스템 설치 시 기본 비밀번호를 변경했어야 한다고 반박했지만, 시스템 설치 과정에서 비밀번호 변경을 요구하는 메시지가 없다는 점이 문제로 지적되고 있습니다.
보안 취약점 CVE-2025-26793, 위험도 10점 만점
이 취약점은 공식적으로 CVE-2025-26793으로 지정되었으며, 위험도 평가에서 10점 만점을 받았습니다. 이는 공격자가 Hirsch 웹사이트의 설치 가이드에서 기본 비밀번호를 확인한 후, 인터넷에 연결된 MESH 시스템에 로그인하는 것만으로 해당 건물의 출입문을 제어할 수 있기 때문입니다.
데이글은 보안 연구 과정에서 인터넷 스캐닝 사이트 ‘ZoomEye’를 이용해 기본 비밀번호가 유지된 Enterphone MESH 시스템 71개를 발견했으며, 해당 시스템을 통해 건물 주소와 내부 출입 통제 시스템을 쉽게 확인할 수 있었다고 밝혔습니다.
“이 시스템을 이용하면 단 몇 분 만에 아무런 의심도 받지 않고 해당 건물에 침입할 수 있습니다.” – 에릭 데이글
Hirsch, 보안 패치 없이 고객 공지에만 의존
보안 취약점이 공개된 후, TechCrunch가 Hirsch에 공식 대응을 요청했지만, CEO 마크 앨런(Mark Allen)은 응답하지 않았습니다. 대신, 한 제품 관리자와의 인터뷰에서 Hirsch는 ‘기본 비밀번호 사용이 시대에 뒤처진 방식’이라는 점을 인정했지만, 문제를 수정할 계획은 없다고 밝혔습니다.
회사는 해당 취약점에 대한 공식 발표 없이, 기존 고객들에게 설치 가이드를 준수하라는 공지를 발송하는 것에 그쳤습니다. 이에 따라 기본 비밀번호를 유지한 채 취약한 상태로 남아 있는 건물과 거주자들은 여전히 보안 위험에 노출될 가능성이 큽니다.
이번 사례는 과거의 제품 설계 결정이 시간이 지나면서도 현실적인 보안 위협을 초래할 수 있음을 보여주는 대표적인 사례로, 인터넷 연결 보안 장치의 기본 비밀번호 설정 관행에 대한 경각심을 높이고 있습니다.
