소니가 제조한 네트워크 카메라 기종 상당수에 보안 결함이 있는 것으로 드러났다. 해커가 탈취하거나 봇넷에 의해 감염될 수 있는 결함이다. 회사는 문제를 해결할 수 있는 최신 펌웨어 업데이트를 배포했다.
소니 SNCXM631 풀HD 실내 보안 카메라. Credit: 소니 일렉트로닉스
SEC 컨설트(SEC Consult) 연구진은 소니 보안 카메라 80종의 모델에 존재하는 2개의 백도어 계정을 발견해 보고했다. 이들 보안 카메라는 대개 고가의 모델로 정부 기관이나 기업 시장을 겨냥한 제품들이다.
결함 중 한 세트는 카메라의 웹 인터페이스에 하드 코딩된 크리덴셜이었다. 공격자가 이를 이용하면 리퀘스트를 보내 카메라 텔넷 서비스를 활성화할 수 있다고
SEC 컨설트 연구진은 밝혔다.
다른 결함 세트는 루트 어카운트용 하드 코딩된 암호다. 이를 악용하면 텔넷을 통해 카메라 통제권을 완전히 확보할 수 있다. 연구진은 암호를 실제로 무력화하지는 못했지만, 무력화까지는 시간 문제만 남은 것으로 보인다고 전했다.
한편 이 문제에 대해 소니는 지난 10월 통보 받았으며, 취약점을 방어할 수 있는 최신
펌웨어들를 지난 11월 28일 배포했다. 최근 해커들이 보안 카메라를 먹잇감으로 노리는 경향이 강화되고 있다는 점에서 가능한 한 조속히 설치하라는 권고다.
SEC 컨설트 연구진은 "제 3자가 아닌, 소니 개발진이 개발 과정에서 디버그나 테스트 업무를 위해 이번 백도어를 구축했을 것으로 본다"라고 전했다. ciokr@idg.co.kr