아마존 히트상품 권총 보관 케이스, 블루투스 보안 결함 발견

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1828호(2017. 12. 27. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

아마존 히트상품 권총 보관 케이스, 블루투스 보안 결함 발견.pdf

ž 아마존닷컴의 인기 상품인 총기 보관 케이스에서 PIN(개인식별번호) 코드 입력 없이 원격으로 손쉽게 잠금을 해제할 수 있는 보안 결함이 발견되었음

Ø 총기 소유가 허용되는 미국에서는 어린 아이가 실수로 총을 만지는 것을 방지하기 위해 총을 보관하는 케이스가 여럿 판매되고 있는데, 아마존닷컴 히트 상품 중 하나인 ‘블루스틸 볼텍(BlueSteal Vaultek) VT10i’ 케이스에서 치명적 보안 결함이 발견

<자료> Dojo Built [동영상] 권총 보관 케이스 블루스틸 볼텍 VT10i

Ø 이 권총 보관 케이스는. 230 달러라는 저렴한 가격에도 불구하고, PIN 코드 인증, 지문 인증, 블루투스 앱 지원 등의 고성능으로 인기가 높아 아마존닷컴에서 평균 4.5의 고평가를 받았음

Ø 그러나 보안업체인 ‘투 식스 랩(Two Six Labs)’은 자사 공식 블로그를 통해 VT10i가 PIN 코드 입력 없이도 원격으로 잠금 해제되어 버리는 취약점을 가지고 있다고 공개하였음

ž 투 식스 랩에 따르면 이 취약점은 VT10i 가진 블루투스 기능의 보안 부족 허점을 공략한 것으로 스크립트만 쓸 수 있으면 누구나 몇 초 만에 잠금을 해제할 수 있다고 함

Ø VT10i의 잠금을 해제하는 스크립트를 작성하는 데 중요한 정보의 대부분은 현재 투 식스 랩의 공식 블로그에 게재되어 있으며, 프로그래머라면 누구나 부족한 몇 가지 정보를 스스로 보완해 1시간 정도면 잠금 해제 스크립트를 만들 수 있음

Ø VT10i의 보안상 취약점으로는 블루투스 기능이 암호화 되어 있지 않은 것과, 블루투스 페어링 작업을 누구나 제한 없이 시도 할 수 있다는 점이 지적되고 있음

<자료> Austin Fletcher

[동영상] 권총 보관 케이스 해킹 장면

Ø 블루투스 보안 취약점을 지적 받은 제조업체는 펌웨어 업데이트를 계획 중이라고 밝혔지만, 투 식스 랩에 따르면 VT10i 모델은 펌웨어 업데이트 메커니즘을 갖추지 못한 것으로 보이며, 따라서 제품의 리콜 없이는 취약점을 해결할 수단이 없을 우려가 제기되고 있음