[김국배기자] 다수 스마트홈 기기들이 보안에는 매우 취약한 것으로 드러났다.
보안업체 시만텍이 온도조절 장치, 스마트 잠금장치, 스마트 전구, 스마트 연기 감지기, 스마트 에너지관리기기, 스마트 허브 등 50가지 스마트홈 기기의 보안 상태를 분석한 결과 다양한 보안 위협에 노출돼 있는 것으로 조사됐다.
시만텍 조사 결과 50가지 기기 중 상호인증을 사용하거나 강력한 비밀번호를 설정한 기기는 단 한 대도 없었다. 심지어 클라우드 인터페이스에서 단순한 4자리 숫자 PIN 코드로만 인증할 수 있게 제한해 사용자가 강력한 비밀번호를 설정할 수 없는 경우도 있었다.
시만텍은 "이러한 상황에서 이중 인증을 지원하지 않고 비밀번호 무차별 대입 공격(Brute-force Attack)을 차단하는 방어 수단이 없다면 공격의 표적이 되기 쉽다"고 설명했다.
많은 스마트홈 웹 인터페이스에서도 잘 알려진 웹 애플리케이션 취약점은 발견됐다.
15개 사물인터넷(IoT) 클라우드 인터페이스를 대상으로 실시한 간단한 테스트에서도 심각한 취약점들은 드러났고 경로 조작(path traversal), 파일 무제한 업로딩(원격 코드 실행), 원격파일 및 SQL 삽입과 관련해서도 10개의 취약점이 발견됐다.
특히 스마트 전구와 스마트 도어록에서도 보안 취약점이 발견돼 주의가 요망된다.
시만텍 분석팀은 비밀번호 없이도 인터넷을 통해 원격으로 현관문을 열 수 있었고 공격자가 인증 기능이 취약한 와이파이 네트워크 등을 통해 홈 네트워크에 침입할 경우 추가 공격 루트를 마음대로 사용할 수 있었다고 설명했다.
이번 조사에서는 비밀번호를 평문 형태로 전송하거나 인증을 전혀 사용하지 않는 IoT 기기들도 발견됐다. 인증되지 않은 펌웨어 업데이트가 사용되는 경우도 많았고 공격자는 이러한 보안 결함을 악용해 홈 네트워크에 잠입, IoT 기기의 비밀번호를 알아낼 수 있었다.
이렇게 탈취한 개인 정보는 다른 명령어를 실행하는데 사용되거나 악성 펌웨어 업데이트로 공격자가 기기를 완전히 장악할 수 있다.
시만텍은 "아직 대다수의 IoT 공격은 개념검증 단계에 있고 공격자에게 수익을 주는 구조는 아니지만 IoT 기술이 점차 대중화되는 가운데 공격자들이 사용자를 협박하거나 홈 네트워크에 은신하는 등 표적을 공격하기 위한 새로운 방식을 생각해 낼 것"이라고 말했다.
시만텍에 따르면 이번 조사 결과는 보안 경보기, IP 기반 감시 카메라, 엔터테인먼트 시스템, 인터넷 무선 공유기 등에도 동일하게 적용될 수 있다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기