Search

'커피메이커 보안'에 해당되는 글 1건

  1. 2017.06.02 밀레 식기 세척기에서 IoT 보안 취약점 발견 보도 해프닝

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1798호(2017. 5. 31 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

밀레 식기 세척기에서 IoT 보안 취약점 발견 보도 해프닝.pdf



ž 최근 IoT(사물인터넷) 기기의 보안 중요성이 강조되는 가운데, 독일 대표가전업체 밀레(Miele)의 식기세척기에서 보안 취약점이 발견되었다는 보도로 인한 해프닝이 있었음


Ø 일부 외신은 밀레의 식기 세척기에 탑재된 웹 서버의 기능에 보안 취약점이 발견된 것 같다며, 디렉토리 접근공격(Directory Traversal)을 통해 취약점이 악용되면 공개용 디렉토리 밖에 놓인 파일, 즉 공개를 허용하지 않는 파일도 외부에서 접근할 수 있게 될 위험이 있다고 보도


Ø 특히 해당 식기 세척기 모델이 병원이나 의료기관에서 많이 사용되고 있기 때문에, 해커들이 이 취약점을 공격하여 병원 및 의료 기관의 네트워크에 침입한 후 환자의 의료 기록 등 민감한 정보를 훔쳐갈 우려가 있다는 점이 강하게 부각되었음


<자료> Amazon


[그림 1] 보안 취약점 발견된 밀레의 소독기


Ø 이런 보도에 대해 밀레는 취약점이 발견된 것은 사실이지만 해당 장비인 PG 8528은 식기 세척기가 아니라 의료용 소독기(disinfect medical products)라고 해명하였음


Ø 또한 해당 의료용 소독기가 네트워크에 연결되어 있기는 하지만, 인터넷에 직접 연결되어 있지는 않기 때문에 병원·의료 기관의 네트워크 침입에 활용될 수는 없다고 반박하였음


Ø , 해당 기기가 연결된 네트워크에서 취약점을 공격 당하면 비밀번호 등을 도난당할 우려가 있으며, 알아 내 암호를 사용하면 해당 기기의 소프트웨어에 접근할 수 있으므로 제3자가 마음대로 소독 조작을 할 가능성은 있을 수 있다고 시인하였음


Ø 밀레가 세계적인 식기 세척기의 유명 메이커이고, 이번 사건을 보도한 언론이 기사에서 식기 세척기(dishwasher)라고 명시했기 때문에 보도 직후에는 인터넷에 연결된 식기 세척기의 보안이 취약할 경우 어떤 사고가 발생할 수 있는지에 대한 가십성 기사가 줄을 이었음


Ø 밀레의 해명 보도자료 이후 식기 세척기를 통해 홈 네트워크 상의 중요 정보가 유출된다든가 하는 위험에 대한 우려는 잠잠해졌으나, 비록 큰 사고가 발생하는 것은 아니더라도 소독기든 세척기든 내 의사와 무관하게 누군가 조작할 가능성이 있다는 점은 확인이 되었음


ž 비록 가십으로 끝나긴 했으나 이런 형태의 보안 위협은 IoT라는 말이 등장하기 전부터 있어 온 것이므로, 향후 IoT 기기의 확산을 위해서도 보안에 대한 대비책 마련은 반드시 필요


Ø 오래되었지만 이번 밀레 사례와 유사한 건으로 2004년 보도된 도시바의 HDD 탑재 DVD 레코더 RD 시리즈의 보안 취약성을 들 수 있는데, 이 제품은 HTTP 프록시 기능을 내장하고 있어 암호를 설정하지 않고 인터넷에 연결할 경우 제3자의 해킹에 악용될 우려가 제기되었음


Ø 실제 이 DVD 레코더의 프록시 기능을 악용해 블로그에 코멘트 스팸 공격(광고 유도 코멘트를 대량으로 다는 공격)을 하는 사건이 발생하기도 했음


Ø 2008년에는 스위스 유라의 커피 메이커 Impressa F90 모델은 별도의 인터넷 연결 키트가 있었는데 이 지점에서 보안 취약점이 발견되었음


Ø 연결 키트의 취약점을 이용하면 인터넷을 통해 커피의 농도와 양, 넣는 시간 등을 제3자가 마음대로 설정할 수 있게 되기 때문에, 가령 옅은 커피를 좋아하는 사람이 매번 진한 커피를 먹게 되는 불쾌한 사고가 발생할 수 있음


Ø 냉장고도 보안에 취약한데, 2015년 열린 세계 최대 보안 이벤트 데프콘(DEFCON)IoT 해킹 대회에서는 삼성전자의 스마트 냉장고에서 취약점이 발견되었음


Ø 이 취약점은 TLS/SSL를 지원하는 웹 서버에 접속 시 해당 인증서를 제대로 체크하지 않기 때문에 발생하는 것으로, 공격자가 정당한 웹 서버인 척하고 통신을 중계하는 중간자 공격(Man-in-the-Middle)을 하는 것이 가능하게 됨


Ø 이 냉장고는 구글 캘린더에 접속한 후 냉장고의 전면 스크린에 스케줄 등을 표시해 주는 기능이 있는데, 보안 취약점을 공격하여 캘린더 정보를 위조해 보여주거나 구글 계정의 비밀번호를 훔치는 등의 일이 가능하게 됨


Ø 이 외에도 정보 가전(IoT)의 취약점은 잇따라 발견되고 있고, IoT의 용도가 확대되면 미래에는 심각한 상황이 전개될 가능성이 있기 때문에, 개발자나 가전업체, 그리고 사용자 모두 보안 문제에 대해 심각히 인식하고 대응책을 마련해 나갈 필요가 있음