Offcanvas

보안

체크포인트, LG 스마트씽큐서 홈핵 발견 보고

2017.10.31 편집부  |  CIO KR
체크포인트 소프트웨어는 자사 보안 조사팀이 LG 스마트씽큐(LG SmartThinQ) 디바이스에서 홈핵(HomeHack)을 발견했다고 발표했다. 회사에 따르면 이는 LG전자의 가전용 제품을 사용하는 수백만 명의 사용자가 스마트씽큐 가전용 기기를 무단 원격 제어되는 위험에 노출될 수 있는 위험성을 내포하고 있는 것이다.

체크포인트 조사팀의 조사결과에 따르면, LG 스마트씽큐 모바일 앱 및 클라우드 애플리케이션의 취약성을 활용해 해커는 스마트씽큐 클라우드 애플리케이션에 원격으로 로그인한 후 사용자의 LG 계정을 넘겨받아 진공 청소기와 내장 비디오 카메라를 제어할 수 있었다. 일단, 사용자의 LG 계정에 대한 제어권이 확보되면 공격자는 해당 계정에 연결된 모든 LG 디바이스 또는 어플라이언스를 제어할 수 있었다. 여기에 해당되는 제품으로는 로봇 진공 청소기, 냉장고, 오븐, 식기 세척기, 세탁기, 드라이어, 에어컨 등이 포함된다.

또한 홈핵의 취약성은 홈-봇(Hom-Bot) 로봇 진공 청소기 카메라를 통해 사용자가 자택에서의 활동을 엿볼 수 있는 기회를 제공했다. 이 카메라는 홈가드(HomeGuard) 보안 기능에서 연결된 LG 스마트씽큐 앱으로 실시간 비디오를 전송할 수 있을 뿐 아니라 사용자의 자택에 보유한 LG 가전기기 종류에 따라, 식기 세척기나 세탁기를 끄거나 켤 수 있었다.

체크포인트 제품 취약성 연구 책임자 오데드 바누누는 “집에서 사용하는 스마트 디바이스가 점차 늘어남에 따라 해커들은 디바이스로 눈을 돌려 디바이스 네트워크를 제어하는 앱을 해킹하려 할 것”이라며, “따라서 사용자는 IoT 디바이스를 사용할 때의 보안 및 개인정보 보호 위험을 인지하고 있어야 하고, IoT 제조업체는 소프트웨어와 디바이스 설계 시 안정적인 보안을 구현해 스마트 디바이스를 공격으로부터 보호하는 데 초점을 맞춰야 한다”고 말했다.

체크포인트는 이미 지난 7월에 ‘책임 공개(Responsible Disclosure)’ 지침에 따라 LG전자에 취약성을 알렸으며 LG전자는 9월 말에 스마트씽큐 애플리케이션에 관한 보고된 문제를 시정했다.

LG전자 스마트 솔루션 사업부의 스마트 개발팀 이군석 매니저는 “LG전자는 체크포인트 와 협력해 보안 문제를 찾아내도록 설계된 고급 루팅 프로세스를 실행하고 즉시 패치 프로그램 업데이트했다”며, “LG전자는 소프트웨어 보안 시스템을 지속적으로 강화하는 한편, 체크포인트와 같은 사이버 보안 솔루션 제공업체와 합력해 더욱 안전하고 편리한 가전제품을 개발할 것”이라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.