2018.07.10

스마트 도어록이 스마트하지 않을 때··· 4가지 사례

Imogen Hargreaves | PC World Australia
열쇠가 과거의 유물로 변해하고 있다. 홈 IoT 트렌드에 부응해 스마트 도어록이 소비자들의 관심을 끌고 있다. 그러나 최근 발생한 몇몇 사고를 본다면 구매 생각을 다소 사그러들 수 있겠다. 



탭록(TappLock)
스마트 자물쇠 제조사 탭록은 최근 자체적인 조사에 착수했다. 보안연구원인 반젤리스 스티카스가 자사의 API 서버에서 직접 정보를 가져와 잠금 장치를 여는데 필요한 민감한 정보를 얻을 수 있다는 사실을 발견했기 때문이다.

이 연구원은 잠금 장치의 마지막에 알려진 우편 주소를 검색하는 방법과 잠금 해제 코드를 생성할 수 있는 충분한 데이터를 확보하는 방법을 시연했다. 이 코드는 스마트 도어록를 찾아 여는데 사용될 수 있다.

탭록은 공식 성명에서 블루투스를 사용해 무선으로 잠금을 열 수 있는 API가 데이터 유출의 위험성이 있는 것으로 확인했다. 탭록은 "이번 패치는 몇 개의 보안 문제를 해결하고 탭록의 통신 및 인증 보안 프로토콜을 업그레이드한다. 이후 최신 보안 동향을 지속적으로 모니터링하고 수시로 업데이트를 제공할 것이다"고 전했다.

그러나 이 잠금 장치는 다른 해로운 결함은 갖고 있었다. 유투브 사용자인 JerryRigEverything은 잠금 장치가 설치된 질낮은 알루미늄 합금을 제외하고도 잠금 장치 뒷면을 풀어 쓸모없게 만들 수 있음을 발견했다.



록스테이트(LockState)
2017년 록스테이트가 원격으로 접속할 수 있는 스마트 도어록 시스템에 대한 무선 업데이트를 진행했다. 그러나 실수로 인해 수백 개의 잠금 장치가 벽돌로 변했다. 록스테이트에 따르면, 이 도어록은 치명적인 오류를 겪어 잠글 수 없게 됐다. 고객들은 수리를 위해 해당 잠금 장치를 반송하거나 교체 요청을 해야 했다.

록스테이트는 7000i 모델용 무선 펌웨어 업데이트를 실수로 6000i 시스템에 보냈다. 이 업데이트로 인해 6000i 잠금 장치의 1세대 모델이 오작동을 일으켜 잠금을 해제하고 더 이상 무선 업데이트를 받을 수 없게 된 것이다.

모델 6000i 리모트락을 사용하던 500명이 넘는 고객들이 불편을 겪었으며, 그 가운데 200명은 에어비엔비(Airbnb) 호스트였다. 이 문제에 대한 원격 수정은 불가능한 것으로 파악됐는데, 이는 사용자가 해당 잠금 장치를 물리적으로 교체해야 한다는 걸 의미한다.



아마존 키(Amazon Key)
아마존의 아마존 키 서비스는 스마트 잠금 장치와 보안 카메라와의 페어링을 통해 배달원이 사용자 집 내부에 물건을 넣어둘 수 있게끔 하고 전체 동영상을 사용자에게 제공하도록 설계했다.

그러나 지난해 말, 라이노 시큐리티 랩(Rhino Security Lab)의 벤 커딜은 이 시스템의 취약점을 발견했다. 커딜은 배달원이 한 사용자 집에 들어가 물건을 내리고 떠날 수 있음을 발견했다. 배달원은 앱을 통해 문을 잠그는 대신, 노트북이나 다른 장치를 통해 카메라에 명령을 내릴 수 있기 때문에 카메라를 한 프레임에 멈추게 할 수 있다.

카메라가 고정되어 있는 동안 배달원은 집에 다시 들어가 카메라 화면에서 벗어나 활동을 할 수 있다. 사용자에게는 배달원이 집으로 들어왔다가 다시 밖으로 나가서 잠금 장치를 잠그는데 몇 초만에 끝나는 단계로 보일지 모르나, 실제로 배달원은 사용자 집 안에 있다. 그리고 다른 출구를 통해 나갈 수 있으며, 나갈 때 이를 해제할 수 있다.

아마존은 사용자의 카메라 피드가 오랜 기간 동결되고 취약점으로부터 보호받을 수 있는 업데이트 내용을 사용자들에게 전했다.



오거스트(August)
2016년 Jmaxxz로 알려진 소프트웨어 엔지니어이자 화이트햇 해커는 오거스트 스마트 잠금 장치의 손님 접속권한과 관련된 취약점을 발견했다.

오거스트의 잠금 장치는 사용자가 디지털 키를 통해 누군가에게 자신의 집에 들어갈 수 있는 반복적인 또는 일시적인 접속 권한을 부여할 수 있다. Jmaxxz는 손님이 오거스트의 소프트웨어를 해킹하고 새로운 키를 등록할 수 있는 손님 접속 권한에 대한 취약점을 발견했다. 손님이 새로운 키를 등록하면 집주인이 게스트 키를 제거한 후에도 손님은 오거스트 스마트 잠금 장치를 제어할 수 있다.

다행히도 이 취약점을 악용한 침입 사례는 아직 보고된 바 없으며, Jmaxxz는 오거스트가 해킹당한 다른 회사와는 달리, 대응이 빨랐고 적어도 일부 문제가 수정됐다고 전했다.

Jmaxxz는 "나는 현재의 수정이 충분치 않다고 생각한다"고 말했다. 그러나 오거스트는 지난 몇 주 동안 여러가지 중요한 패치가 배포됐으며, 곧 필요한 펌웨어 업데이트를 배포할 것이다"고 말했다. ciokr@idg.co.kr

2018.07.10

스마트 도어록이 스마트하지 않을 때··· 4가지 사례

Imogen Hargreaves | PC World Australia
열쇠가 과거의 유물로 변해하고 있다. 홈 IoT 트렌드에 부응해 스마트 도어록이 소비자들의 관심을 끌고 있다. 그러나 최근 발생한 몇몇 사고를 본다면 구매 생각을 다소 사그러들 수 있겠다. 



탭록(TappLock)
스마트 자물쇠 제조사 탭록은 최근 자체적인 조사에 착수했다. 보안연구원인 반젤리스 스티카스가 자사의 API 서버에서 직접 정보를 가져와 잠금 장치를 여는데 필요한 민감한 정보를 얻을 수 있다는 사실을 발견했기 때문이다.

이 연구원은 잠금 장치의 마지막에 알려진 우편 주소를 검색하는 방법과 잠금 해제 코드를 생성할 수 있는 충분한 데이터를 확보하는 방법을 시연했다. 이 코드는 스마트 도어록를 찾아 여는데 사용될 수 있다.

탭록은 공식 성명에서 블루투스를 사용해 무선으로 잠금을 열 수 있는 API가 데이터 유출의 위험성이 있는 것으로 확인했다. 탭록은 "이번 패치는 몇 개의 보안 문제를 해결하고 탭록의 통신 및 인증 보안 프로토콜을 업그레이드한다. 이후 최신 보안 동향을 지속적으로 모니터링하고 수시로 업데이트를 제공할 것이다"고 전했다.

그러나 이 잠금 장치는 다른 해로운 결함은 갖고 있었다. 유투브 사용자인 JerryRigEverything은 잠금 장치가 설치된 질낮은 알루미늄 합금을 제외하고도 잠금 장치 뒷면을 풀어 쓸모없게 만들 수 있음을 발견했다.



록스테이트(LockState)
2017년 록스테이트가 원격으로 접속할 수 있는 스마트 도어록 시스템에 대한 무선 업데이트를 진행했다. 그러나 실수로 인해 수백 개의 잠금 장치가 벽돌로 변했다. 록스테이트에 따르면, 이 도어록은 치명적인 오류를 겪어 잠글 수 없게 됐다. 고객들은 수리를 위해 해당 잠금 장치를 반송하거나 교체 요청을 해야 했다.

록스테이트는 7000i 모델용 무선 펌웨어 업데이트를 실수로 6000i 시스템에 보냈다. 이 업데이트로 인해 6000i 잠금 장치의 1세대 모델이 오작동을 일으켜 잠금을 해제하고 더 이상 무선 업데이트를 받을 수 없게 된 것이다.

모델 6000i 리모트락을 사용하던 500명이 넘는 고객들이 불편을 겪었으며, 그 가운데 200명은 에어비엔비(Airbnb) 호스트였다. 이 문제에 대한 원격 수정은 불가능한 것으로 파악됐는데, 이는 사용자가 해당 잠금 장치를 물리적으로 교체해야 한다는 걸 의미한다.



아마존 키(Amazon Key)
아마존의 아마존 키 서비스는 스마트 잠금 장치와 보안 카메라와의 페어링을 통해 배달원이 사용자 집 내부에 물건을 넣어둘 수 있게끔 하고 전체 동영상을 사용자에게 제공하도록 설계했다.

그러나 지난해 말, 라이노 시큐리티 랩(Rhino Security Lab)의 벤 커딜은 이 시스템의 취약점을 발견했다. 커딜은 배달원이 한 사용자 집에 들어가 물건을 내리고 떠날 수 있음을 발견했다. 배달원은 앱을 통해 문을 잠그는 대신, 노트북이나 다른 장치를 통해 카메라에 명령을 내릴 수 있기 때문에 카메라를 한 프레임에 멈추게 할 수 있다.

카메라가 고정되어 있는 동안 배달원은 집에 다시 들어가 카메라 화면에서 벗어나 활동을 할 수 있다. 사용자에게는 배달원이 집으로 들어왔다가 다시 밖으로 나가서 잠금 장치를 잠그는데 몇 초만에 끝나는 단계로 보일지 모르나, 실제로 배달원은 사용자 집 안에 있다. 그리고 다른 출구를 통해 나갈 수 있으며, 나갈 때 이를 해제할 수 있다.

아마존은 사용자의 카메라 피드가 오랜 기간 동결되고 취약점으로부터 보호받을 수 있는 업데이트 내용을 사용자들에게 전했다.



오거스트(August)
2016년 Jmaxxz로 알려진 소프트웨어 엔지니어이자 화이트햇 해커는 오거스트 스마트 잠금 장치의 손님 접속권한과 관련된 취약점을 발견했다.

오거스트의 잠금 장치는 사용자가 디지털 키를 통해 누군가에게 자신의 집에 들어갈 수 있는 반복적인 또는 일시적인 접속 권한을 부여할 수 있다. Jmaxxz는 손님이 오거스트의 소프트웨어를 해킹하고 새로운 키를 등록할 수 있는 손님 접속 권한에 대한 취약점을 발견했다. 손님이 새로운 키를 등록하면 집주인이 게스트 키를 제거한 후에도 손님은 오거스트 스마트 잠금 장치를 제어할 수 있다.

다행히도 이 취약점을 악용한 침입 사례는 아직 보고된 바 없으며, Jmaxxz는 오거스트가 해킹당한 다른 회사와는 달리, 대응이 빨랐고 적어도 일부 문제가 수정됐다고 전했다.

Jmaxxz는 "나는 현재의 수정이 충분치 않다고 생각한다"고 말했다. 그러나 오거스트는 지난 몇 주 동안 여러가지 중요한 패치가 배포됐으며, 곧 필요한 펌웨어 업데이트를 배포할 것이다"고 말했다. ciokr@idg.co.kr

X