테크레시피

누구나 여닫을 수 있는 결함 발견된 스마트 차고

인터넷에 연결해 네트워크를 통해 언제 어디서나 다양한 기능에 액세스할 수 있는 스마트 기기는 편리하고 고기능인 반면 인터넷에 연결하는 것 이상은 보안 문제가 생긴다. 한 보안 연구자가 2022년 실시한 조사에 따르면 와이파이에 대응해 컨트롤러나 스마트폰으로부터 차고 도어를 개폐할 수 있는 기능에 심각한 취약성을 발견했지만 제조업체가 수정 요청을 무시하고 있었다고 한다.

인터넷 기능으로 도어락이나 원격 조작 등을 실시할 수 있는 스마트 기기가 PC나 스마트폰처럼 해킹 피해를 받는 경우가 많이 보고되고 있다. 과거에는 자동차를 해킹하고 원격으로 잠금을 해제하는 방법이나 크랙션을 울리는 방법이 발견되거나 와이파이 연결을 지원하는 커피 메이커가 해킹되어 몸값을 요구받을 가능성이 지적되거나 아마존 홈 보안 기기 링을 해킹했다는 랜섬웨어 그룹이 주장하는 등 다양한 보안 문제가 지적되고 있다. 또 스마트 기기가 사용자를 어느 정도 감시하고 있다는 사실도 편리함 뒤에 항상 따라온다는 지적도 있다.

2022년 후반 미국국토안보부 CISA와 협력해 실시한 연구에 따르면 넥스(Nexx)라는 메이커가 선보인 스마트 차고에서 중대한 취약점이 발견됐다. 해커가 이 취약점을 이용해 전 세계 어디서나 차고를 여닫거나 알람을 제어하고 스마트 플러그 온오프를 전환할 수 있다는 것이다.

넥스 시스템 취약점을 이용한 피해는 주택과 상업 시설을 합쳐 4만 대가 넘는 장치가 영향을 받을 것으로 추정된다. 또 넥스 계정은 2만 명 이상이 활성 상태다. MQTT(Message Queuing Telemetry Transport)라는 프로토콜을 이용한 스마트 기기는 보통 장치별로 고유 암호를 이용해 인터넷을 통한 운영에 안전한 환경을 확보하고 있다. 하지만 넥스의 경우 모든 장치에 공통 암호가 사용되고 시스템 전체 보안을 손상시키는 원인이라고 설명한다.

공식 앱에서 평소처럼 스마트 차고를 여닫고 넥스 서버로 전송되는 데이터를 해킹 도구로 캡처한다. 이 때 시스템 취약성에 의해 자신의 앱 정보 뿐 아니라 558개 기기로부터 메시지, 이메일 주소나 사용자명을 포함해 받을 수 있다고 한다. 그런 다음 앱이 아닌 다른 소프트웨어를 통해 캡처한 명령을 재생해 전용 앱을 통하지 않고 스마트 차고를 여닫는데 성공했다.

또 넥스 스마트 차고에는 매일 특정 시간 또는 미리 예정된 시간에 자동으로 차고가 열린다는 타이머 기능, 스케줄링 기능이 있다. 권한에만 허용된 수사가 일반 사용자로부터도 할 수 있는 취약점을 찌르는 IDOR 공격을 받기 쉬워지고 있다고 한다. IDOR 취약점은 응용 프로그램이 파일이나 데이터베이스 키 같은 내부 개체에 대한 참조를 적절한 승인 검사 없이 게시할 때 발생하기 때문에 넥스 보안 기능이 충분하지 않아 매개변수를 조금 바꾸면 다른 기기 일정과 타이머를 조작할 수 있다.

CISA는 사용자가 해결하기 위한 조치로 넥스 지원에 직접 연락하는 것 외에 모든 장치를 인터넷에서 분리하고 제어 시스템을 방화벽으로 보호하고 중요한 정보를 포함한 비즈니스를 포함한 네트워크에서 장치를 분리하는 것 같은 대응을 권장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

이원영 기자

컴퓨터 전문 월간지인 편집장을 지내고 가격비교쇼핑몰 다나와를 거치며 인터넷 비즈니스 기획 관련 업무를 두루 섭렵했다. 현재는 디지털 IT에 아날로그 감성을 접목해 수작업으로 마우스 패드를 제작 · 판매하는 상상공작소(www.glasspad.co.kr)를 직접 운영하고 있다. 동시에 IT와 기술의 새로운 만남을 즐기는 마음으로 칼럼니스트로도 활동 중이다.

뉴스레터 구독