2014.09.02

카스퍼스키랩 "유명 커넥티드 홈 기기에서 취약점 다수 발견"

편집부 | CIO KR
카스퍼스키랩(www.kaspersky.co.kr)은 유명 커넥티드 홈 엔터테인먼트 디바이스들이 소프트웨어 취약점과 기본 관리자 암호 및 인터넷 연결 암호화와 같은 기본 보안 시스템의 부족으로 실질적인 사이버 보안 위협에 놓여있다고 경고했다.

데이비드 자코비 카스퍼스키랩 보안 분석가는 사이버 보안 측면에서 집이 얼마나 안전한지 알아보기 위해 자택 거실에서 연구 실험을 실시했다. 이번 연구에서 NAS, 스마트 TV, 라우터, 블루레이 플레이어 등을 포함하는 홈 엔터테인먼트 디바이스가 사이버 공격에 취약한지 확인했다.

카스퍼스키랩 전문가는 다른 공급업체의 NAS 모델 2대, 스마트 TV 1대, 위성 수신기 1대 및 커넥티드 프린터 1대를 조사했다. 조사 결과, NAS에서 14개의 취약점을 발견했으며, 스마트 TV에서 1개, 라우터에서는 여러 개의 잠재적으로 숨겨진 원격 제어 기능을 찾아냈다.

카스퍼스키랩의 정보 공개 방침(responsible disclosure policy)에 따라 취약점의 보안 패치가 발표될 때까지 연구 대상이 된 제품의 업체 명은 공개하지 않는다. 회사에 따르면 카스퍼스키랩 전문가들은 발견하는 모든 취약점을 제거하기 위해 업체들과 긴밀한 협력 관계를 유지하고 있다.

가장 심각한 취약점은 NAS에서 발견됐다. 취약점 중 일부는 공격자가 원격으로 최고 관리자 권한의 시스템 명령을 실행할 수 있다. 또한, 연구 대상이 된 디바이스들은 낮은 수준의 기본 암호를 설정하고 많은 환경 설정 파일들이 잘못된 권한을 가지고 있으며 일반 텍스트 형태로 디바이스 암호를 관리하고 있는 것으로 나타났다.

또한, 카스퍼스키랩 연구자는 스마트 TV의 보안 수준을 조사하는 과정에서 TV와 TV 공급업체 서버간의 통신에 암호화가 돼 있지 않다는 점을 발견했다.

DSL 라우터는 몇 가지 위험한 숨겨진 기능을 포함한 모든 다른 홈 디바이스를 위한 무선 인터넷 액세스를 제공하는데 사용된다. 이러한 숨겨진 기능 중 일부는 잠재적으로 ISP에 사설 네트워크 내의 모든 디바이스에 대한 원격 액세스를 제공할 수 있다.

카스퍼스키랩 데이비드 자코비 보안 분석가는 “앞으로 디바이스 공급업체, 보안 커뮤니티 및 디바이스 사용자들이 해결해야 한다”며, “디바이스 업체 중 일부는 디바이스의 짧은 제품수명주기가 끝나면 취약한 디바이스에 대한 보안 업데이트를 더 이상 하지 않는 것도 문제”라고 말했다. ciokr@idg.co.kr



2014.09.02

카스퍼스키랩 "유명 커넥티드 홈 기기에서 취약점 다수 발견"

편집부 | CIO KR
카스퍼스키랩(www.kaspersky.co.kr)은 유명 커넥티드 홈 엔터테인먼트 디바이스들이 소프트웨어 취약점과 기본 관리자 암호 및 인터넷 연결 암호화와 같은 기본 보안 시스템의 부족으로 실질적인 사이버 보안 위협에 놓여있다고 경고했다.

데이비드 자코비 카스퍼스키랩 보안 분석가는 사이버 보안 측면에서 집이 얼마나 안전한지 알아보기 위해 자택 거실에서 연구 실험을 실시했다. 이번 연구에서 NAS, 스마트 TV, 라우터, 블루레이 플레이어 등을 포함하는 홈 엔터테인먼트 디바이스가 사이버 공격에 취약한지 확인했다.

카스퍼스키랩 전문가는 다른 공급업체의 NAS 모델 2대, 스마트 TV 1대, 위성 수신기 1대 및 커넥티드 프린터 1대를 조사했다. 조사 결과, NAS에서 14개의 취약점을 발견했으며, 스마트 TV에서 1개, 라우터에서는 여러 개의 잠재적으로 숨겨진 원격 제어 기능을 찾아냈다.

카스퍼스키랩의 정보 공개 방침(responsible disclosure policy)에 따라 취약점의 보안 패치가 발표될 때까지 연구 대상이 된 제품의 업체 명은 공개하지 않는다. 회사에 따르면 카스퍼스키랩 전문가들은 발견하는 모든 취약점을 제거하기 위해 업체들과 긴밀한 협력 관계를 유지하고 있다.

가장 심각한 취약점은 NAS에서 발견됐다. 취약점 중 일부는 공격자가 원격으로 최고 관리자 권한의 시스템 명령을 실행할 수 있다. 또한, 연구 대상이 된 디바이스들은 낮은 수준의 기본 암호를 설정하고 많은 환경 설정 파일들이 잘못된 권한을 가지고 있으며 일반 텍스트 형태로 디바이스 암호를 관리하고 있는 것으로 나타났다.

또한, 카스퍼스키랩 연구자는 스마트 TV의 보안 수준을 조사하는 과정에서 TV와 TV 공급업체 서버간의 통신에 암호화가 돼 있지 않다는 점을 발견했다.

DSL 라우터는 몇 가지 위험한 숨겨진 기능을 포함한 모든 다른 홈 디바이스를 위한 무선 인터넷 액세스를 제공하는데 사용된다. 이러한 숨겨진 기능 중 일부는 잠재적으로 ISP에 사설 네트워크 내의 모든 디바이스에 대한 원격 액세스를 제공할 수 있다.

카스퍼스키랩 데이비드 자코비 보안 분석가는 “앞으로 디바이스 공급업체, 보안 커뮤니티 및 디바이스 사용자들이 해결해야 한다”며, “디바이스 업체 중 일부는 디바이스의 짧은 제품수명주기가 끝나면 취약한 디바이스에 대한 보안 업데이트를 더 이상 하지 않는 것도 문제”라고 말했다. ciokr@idg.co.kr

X