스마트홈 기기서 보안 취약점 대거 발견

가정 내 모든 기기들이 인터넷으로 연결되는 스마트홈이 확산되는 만큼, 안방이 해킹 위협에 노출될 가능성도 그만큼 높아졌다.

최근 카스퍼스키랩 데이비드 자코비 보안 분석가는 스마트홈이 얼마나 보안에 취약한지 알아보기 위해 자신의 집을 대상으로 모의 해킹 실험을 한 결과를 공개했다.

자코비는 가정 내에 사용되는 네트워크 연결 스토리지(NAS), 스마트TV, 무선랜 공유기, 블루레이 플레이어 등이 모두 사이버 공격에 취약하다고 설명했다.

그는 서로 다른 NAS 제품 2대, 스마트TV 1대, 위성 수신기 1대, 커넥티드 프린터 1대를 조사했다. 그 결과 NAS에서 14개의 취약점을 발견했으며, 스마트TV에서 1개, 무선랜 공유기에서는 여러 개 잠재적인 원격제어 관련 취약점을 발견했다.가장 심각한 취약점이 발견된 것은 NAS다. 공격자가 마음만 먹으면 원격으로 NAS에 접속해 최고 관리자 권한으로 시스템 명령을 실행할 수 있다.

또한 연구 대상이 된 기기들은 쉽게 알아낼 수 있는 비밀번호를 사용하고 있었으며, 많은 환경 설정 파일들이 필요 이상으로 높은 권한을 갖고 있었다. 어떤 기기는 기본 관리자 비밀번호를 한자리 숫자로 구성하고 있었으며, 다른 기기는 네트워크 상 모든 기기에 대한 비밀번호와 전체 환경 설정 파일을 공유하기도 했다.

자코비는 공격 실험에서 별도 취약점을 통해 일반 사용자가 접근할 수 없는 스토리지 메모리까지 접근해 파일을 업로드할 수 있었다. 만약 악성파일을 이곳에 올린다면 NAS를 통해 서로 연결되는 PC, 다른 기기들이 분산서비스거부(DDoS) 공격 등을 수행하는 봇넷이 될 수 있다.

더구나 취약점은 기기 파일 시스템 내 특별한 부분에 파일을 업로드할 수 있게 해 같은 취약점을 활용하지 않고서는 삭제가 불가능하게 한다는 점도 발견됐다.

스마트TV에서는 해당 기기와 TV공급업체 서버 간 통신이 암호화돼 있지 않는다는 점도 문제로 지적됐다. 공격자는 일반 사용자가 TV를 통해 콘텐츠를 구입하는 동안 결제정보를 가로채 다른 곳으로 돈을 송금시키는 형태의 중간자 공격(MITM)을 수행할 수 있게 된다는 설명이다.

모의 해킹 실험에서는 스마트TV 내 아이콘을 다른 그림으로 변경할 수 있는 취약점도 발견했다. 일반적으로 스마트TV에 사용되는 위젯, 미리보기 이미지는 TV업체 서버로부터 다운로드한다. 따라서 사용자가 보는 이미지를 공격자가 임의로 수정할 수 있다는 것이다. 이와 함께 스마트TV가 인터넷에 연결되지 않도록 차단하거나 악성 자바코드를 통해 TV가 공격자가 원하는 기능을 수행할 수 있게 하는 방법도 발견됐다.

무선랜 공유기(DSL 라우터)에서는 모든 가정용 기기를 무선 인터넷에 접속해 연결시키는 기능을 제공한다. 이 과정에서 인터넷서비스제공사업자(ISP)가 제공하는 사설 네트워크 내 모든 기기에 대해 원격 접속해 조작이 가능하다는 점도 문제다.

자코비는 개인과 기업은 서로 연결된 기기를 둘러싼 보안 위험을 인식하고 있어야 한다며 정보는 강력한 암호 설정과 상관없이 결코 안전하지 않으며 우리가 제어할 수 없는 많은 것들이 존재한다고 밝혔다. 그는 이번 조사를 통해 기기 내 취약점을 발견하고 확인하는데 20분도 채 안 되는 시간이 소요됐다고 덧붙였다.