스마트 가전 제품이 늘어나고 있다. 스마트 스피커는 물론 감시 카메라나 조명, 에어컨에 이르기까지 모든 게 사물인터넷화되어 네트워크에 연결되고 있다. 당연히 스마트폰으로도 손쉽게 제어할 수 있게 됐다. 반면에 이런 편리함에 대한 대가로 취약점이 드러나기도 한다.
체크포인트 소프트웨어(Check Point Software)가 필립스 휴(Hue) 시리즈 스마트 밸브를 이용해 지그비(Zigbee) 통신을 하는 사물인터넷 기기가 어떻게 악용되는지 시연했다. 감염된 휴는 마음대로 외부에서 조작할 수 있게 되는데 사용자가 이상하게 여겨 휴를 삭제하고 다시 추가를 한다. 그 순간 지그비 취약점을 이용해 스마트 밸브 연결 브리지에 악성코드를 배포해버린다. 이어 동일 네트워크에 있는 컴퓨터까지 조작해버린다.
이번에 시연을 한 휴 시리즈 스마트밸브의 취약점은 사실 이전부터 지적되어 오던 것이다. 2016년 드론에서 스마트밸브를 일제히 조작하고 2017년에는 악성코드를 스마트밸브끼리 확산될 위험이 있다는 경고를 하기도 했다. 스마트밸브를 통해 같은 네트워크에 연결된 컴퓨터나 다른 장치에까지 영향을 미칠 수 있다는 걸 입증한 것이다. 다시 한 번 이 취약점의 위험을 부각시킨 것이다.
체크포인트 소프트웨어 측은 이미 이 문제에 대해 지난해 11월 필립스 측에 보고한 바 있다. 따라서 필립스는 보안 패치를 1월 중순 출시했다. 펌웨어 버전 1935144040로 업데이트하면 이 방법으로 해킹할 수 없게 된다는 것. 하지만 스마트 가전에서도 정기적으로 업데이트를 하지 않는 사람이 많은 탓에 피해 확대가 우려될 수 있다.
또 같은 지그비로 연결하는 스마트 가전으로는 아마존의 알렉사와 이케아, 삼성전자 등 주요 브랜드 제품도 많은 만큼 비슷한 취약점이 존재하지 않는지 불안하게 느낄 수도 있다. 항상 최신 버전 소프트웨어를 사용하고 스마트 가전용으로 다른 네트워크를 마련하는 등 대책이 필요할 수도 있다. 관련 내용은 이곳에서 확인할 수 있다.