TP-Link Tapo C200: 하드코딩 키, 버퍼 오버플로, 그리고 AI 기반 리버스 엔지니어링 시대의 프라이버시

• 저가형 TP-Link Tapo C200 IP 카메라의 펌웨어를 AI 기반 리버스 엔지니어링으로 분석한 결과, 다수의 보안 취약점이 발견됨
• 펌웨어에는 하드코딩된 SSL 개인키가 포함되어 있어, 동일 네트워크 내에서 HTTPS 트래픽 복호화가 가능함
• 분석 과정에서 AI 도구(Grok, GhidraMCP, Cline 등) 를 활용해 펌웨어 구조 파악과 함수 의미 분석을 자동화함
• 발견된 주요 취약점은 버퍼 오버플로(CVE-2025-8065) , 정수 오버플로(CVE-2025-14299) , WiFi 하이재킹(CVE-2025-14300) 등으로, 일부는 인증 없이 원격 공격 가능
• 이 사례는 AI가 보안 연구 효율성을 높이는 동시에 IoT 기기의 구조적 취약성을 드러낸 예시로 평가됨

펌웨어 획득 및 복호화

• Tapo Android 앱을 리버스 엔지니어링해 TP-Link의 공개 S3 버킷을 발견, 모든 기기의 펌웨어를 인증 없이 다운로드 가능
  • 예시 명령: aws s3 ls s3://download.tplinkcloud.com/ --no-sign-request --recursive
• tp-link-decrypt 도구를 이용해 펌웨어 복호화 수행
  • RSA 키는 TP-Link의 GPL 코드 공개 자료에서 추출 가능
• 복호화된 펌웨어는 부트로더, 커널, SquashFS 루트 파일시스템 구조로 구성됨

AI 기반 리버스 엔지니어링

• Ghidra와 GhidraMCP, Cline, Anthropic Opus/Sonnet 4 등을 활용해 펌웨어 분석 자동화
• AI가 함수의 역할을 설명하고 변수명을 의미 있게 재명명하여 코드 가독성 향상
• 이 과정을 통해 HTTP 핸들러, 디스커버리 프로토콜, 암호화 루틴 등을 매핑
• 펌웨어 내 SSL 개인키가 부팅 시 생성되지 않고 내장되어 있음이 확인됨
  • 동일 네트워크 내 공격자는 HTTPS 트래픽 복호화 가능

주요 취약점

• CVE-2025-8065 (ONVIF SOAP XML 파서 메모리 오버플로)

  • 포트 2020의 /bin/main 서버에서 XML 요소 수에 대한 경계 검사 부재
  • 대량의 XML 요청 전송 시 메모리 오버플로 및 카메라 크래시 발생
  • CVSS v4.0 점수 7.1 (High)

• CVE-2025-14299 (HTTPS Content-Length 정수 오버플로)

  • 포트 443의 HTTPS 서버가 Content-Length 헤더를 검증 없이 atoi()로 처리
  • 32비트 시스템에서 오버플로로 인한 크래시 발생
  • CVSS v4.0 점수 7.1 (High)

• CVE-2025-14300 (WiFi 하이재킹)

  • connectAp API가 인증 없이 접근 가능, 설정 완료 후에도 활성화
  • 공격자는 카메라를 공격자 네트워크로 연결시켜 영상 트래픽 가로채기 가능
  • CVSS v4.0 점수 8.7 (High)

• 인증 없는 WiFi 스캔 API (scanApList)

  • 주변 WiFi의 SSID, BSSID, 신호 세기, 보안 설정을 반환
  • Apple BSSID Locator 등으로 정확한 GPS 위치 추적 가능
  • 원격 공격자가 카메라의 실제 위치 식별 가능

공개 및 대응 과정

• 2025년 7월 22일 TP-Link 보안팀에 최초 보고, PoC 및 영상 포함
• 150일 경과 후(12월 19일) 공개, 이후 TP-Link가 보안 권고문 발표
• TP-Link는 자체 CVE 발급 권한(CNA) 을 보유, 자사 제품 취약점에 대한 보고·공개 절차를 직접 통제
• 자사 웹사이트에서 경쟁사 대비 낮은 CVE 수를 마케팅 지표로 활용, 이해상충 구조 지적

결론

• AI 도구는 리버스 엔지니어링 효율을 극대화하며, 보안 연구 접근성을 높임
• 그러나 하드코딩 키, 인증 없는 API, 취약한 파서 구조 등은 IoT 기기의 근본적 보안 부재를 드러냄
• TP-Link 사례는 AI 시대의 보안 연구와 제조사 책임의 균형 문제를 상징적으로 보여주는 사례임