열쇠가 과거의 유물로 변해하고 있다. 홈 IoT 트렌드에 부응해 스마트 도어록이 소비자들의 관심을 끌고 있다. 그러나 최근 발생한 몇몇 사고를 본다면 구매 생각을 다소 사그러들 수 있겠다. 탭록(TappLock) 스마트 자물쇠 제조사 탭록은 최근 자체적인 조사에 착수했다. 보안연구원인 반젤리스 스티카스가 자사의 API 서버에서 직접 정보를 가져와 잠금 장치를 여는데 필요한 민감한 정보를 얻을 수 있다는 사실을 발견했기 때문이다. 이 연구원은 잠금 장치의 마지막에 알려진 우편 주소를 검색하는 방법과 잠금 해제 코드를 생성할 수 있는 충분한 데이터를 확보하는 방법을 시연했다. 이 코드는 스마트 도어록를 찾아 여는데 사용될 수 있다. 탭록은 공식 성명에서 블루투스를 사용해 무선으로 잠금을 열 수 있는 API가 데이터 유출의 위험성이 있는 것으로 확인했다. 탭록은 "이번 패치는 몇 개의 보안 문제를 해결하고 탭록의 통신 및 인증 보안 프로토콜을 업그레이드한다. 이후 최신 보안 동향을 지속적으로 모니터링하고 수시로 업데이트를 제공할 것이다"고 전했다. 그러나 이 잠금 장치는 다른 해로운 결함은 갖고 있었다. 유투브 사용자인 JerryRigEverything은 잠금 장치가 설치된 질낮은 알루미늄 합금을 제외하고도 잠금 장치 뒷면을 풀어 쓸모없게 만들 수 있음을 발견했다. 록스테이트(LockState) 2017년 록스테이트가 원격으로 접속할 수 있는 스마트 도어록 시스템에 대한 무선 업데이트를 진행했다. 그러나 실수로 인해 수백 개의 잠금 장치가 벽돌로 변했다. 록스테이트에 따르면, 이 도어록은 치명적인 오류를 겪어 잠글 수 없게 됐다. 고객들은 수리를 위해 해당 잠금 장치를 반송하거나 교체 요청을 해야 했다. 록스테이트는 7000i 모델용 무선 펌웨어 업데이트를 실수로 6000i 시스템에 보냈다. 이 업데이트로 인해 6000i 잠금 장치의 1세대 모델이 오작동을 일으켜 잠금을 해제하고...
2018.07.10
열쇠가 과거의 유물로 변해하고 있다. 홈 IoT 트렌드에 부응해 스마트 도어록이 소비자들의 관심을 끌고 있다. 그러나 최근 발생한 몇몇 사고를 본다면 구매 생각을 다소 사그러들 수 있겠다. 탭록(TappLock) 스마트 자물쇠 제조사 탭록은 최근 자체적인 조사에 착수했다. 보안연구원인 반젤리스 스티카스가 자사의 API 서버에서 직접 정보를 가져와 잠금 장치를 여는데 필요한 민감한 정보를 얻을 수 있다는 사실을 발견했기 때문이다. 이 연구원은 잠금 장치의 마지막에 알려진 우편 주소를 검색하는 방법과 잠금 해제 코드를 생성할 수 있는 충분한 데이터를 확보하는 방법을 시연했다. 이 코드는 스마트 도어록를 찾아 여는데 사용될 수 있다. 탭록은 공식 성명에서 블루투스를 사용해 무선으로 잠금을 열 수 있는 API가 데이터 유출의 위험성이 있는 것으로 확인했다. 탭록은 "이번 패치는 몇 개의 보안 문제를 해결하고 탭록의 통신 및 인증 보안 프로토콜을 업그레이드한다. 이후 최신 보안 동향을 지속적으로 모니터링하고 수시로 업데이트를 제공할 것이다"고 전했다. 그러나 이 잠금 장치는 다른 해로운 결함은 갖고 있었다. 유투브 사용자인 JerryRigEverything은 잠금 장치가 설치된 질낮은 알루미늄 합금을 제외하고도 잠금 장치 뒷면을 풀어 쓸모없게 만들 수 있음을 발견했다. 록스테이트(LockState) 2017년 록스테이트가 원격으로 접속할 수 있는 스마트 도어록 시스템에 대한 무선 업데이트를 진행했다. 그러나 실수로 인해 수백 개의 잠금 장치가 벽돌로 변했다. 록스테이트에 따르면, 이 도어록은 치명적인 오류를 겪어 잠글 수 없게 됐다. 고객들은 수리를 위해 해당 잠금 장치를 반송하거나 교체 요청을 해야 했다. 록스테이트는 7000i 모델용 무선 펌웨어 업데이트를 실수로 6000i 시스템에 보냈다. 이 업데이트로 인해 6000i 잠금 장치의 1세대 모델이 오작동을 일으켜 잠금을 해제하고...
2018.07.10
평범한 문자 암호, 부실한 암호화, 중재자 공격에 대한 민감성은 블루투스 잠금장치의 고질적인 문제 중 일부일 뿐이다. 다나록(Danalock). Credit: Poly-Control 최근 보안 연구원들이 일부 블루투스 기반 스마트 잠금장치가 얼마나 쉽게 열리는지를 보여주고자 데프콘 해커의 컨벤션을 사용했다. 머큘리트 시큐리티(Merculite Security)의 연구원인 벤 램지와 안토니 로즈는 세오메이트(Ceomate), 엘레사이클(Elecycle), 아이블루록(iBlulock), 메시모션(Mesh Motion), 오키오키(Okidokey), 플랜트라코(Plantraco), 퀵록(Quicklock), 바이안스(Vians) 등이 제작한 16개의 스마트 잠금장치를 시험해 봤다. 그 결과 16개 잠금장치 가운데 12개가 해킹됐다. 이것들 중 7개는 너무나 쉽게 해킹됐다. 이 연구원들의 프레젠테이션 슬라이드는 깃허브에서 볼 수 있는데, 이 프레제테이션은 톰의 가이드에서 처음으로 보고됐다. 잠금장치 중 4개는 잠금장치와 스마트폰 앱 간에 평범한 문자로 암호를 전송하고 있었다. 또 다른 잠금장치는 자체적으로 개발한 독점적인 암호화 기술을 이용했는데, 이 역시 위험한 발상이다. 특수 제작된 암호화 기술이 잠재적인 보안 구멍으로 테스팅되는 경향이 있기 때문이다. 이 경우, 한 암호화에서 1바이트만 바꿔 오류 상태를 그대로 둔 잠금장치가 있는데 바로 이 때문에 잠금장치가 풀리게 됐다. 연구원들은 도어록만을 시험해 본 게 아니었다. 이들은 블루투스 자전거 잠금장치도 점검해 봤는데, 이를 열기 위해 중재자 공격을 시도할 수 있었다. 집과 자산을 지키는 보안 수단으로 도어록을 최우선으로 고려했다면, 스마트 잠금장치는 좋은 방법이 아니다. 더욱 놀라운 것은 이 연구원들이 여러 스마트록 업체에 접촉했을 때 발생한 일이었다. 연구원들은 쉽게 열린 스마트록을 제작한 12개 업체 모두에 연락을 취했다. 톰의 가이드에 따르면, 답변을 준 업체...
스마트폰 도어록 스마트 잠금장치 스마트록 사물인터넷 스마트홈 깃허브 데프콘 블루투스 해커 다나록
2016.08.10
평범한 문자 암호, 부실한 암호화, 중재자 공격에 대한 민감성은 블루투스 잠금장치의 고질적인 문제 중 일부일 뿐이다. 다나록(Danalock). Credit: Poly-Control 최근 보안 연구원들이 일부 블루투스 기반 스마트 잠금장치가 얼마나 쉽게 열리는지를 보여주고자 데프콘 해커의 컨벤션을 사용했다. 머큘리트 시큐리티(Merculite Security)의 연구원인 벤 램지와 안토니 로즈는 세오메이트(Ceomate), 엘레사이클(Elecycle), 아이블루록(iBlulock), 메시모션(Mesh Motion), 오키오키(Okidokey), 플랜트라코(Plantraco), 퀵록(Quicklock), 바이안스(Vians) 등이 제작한 16개의 스마트 잠금장치를 시험해 봤다. 그 결과 16개 잠금장치 가운데 12개가 해킹됐다. 이것들 중 7개는 너무나 쉽게 해킹됐다. 이 연구원들의 프레젠테이션 슬라이드는 깃허브에서 볼 수 있는데, 이 프레제테이션은 톰의 가이드에서 처음으로 보고됐다. 잠금장치 중 4개는 잠금장치와 스마트폰 앱 간에 평범한 문자로 암호를 전송하고 있었다. 또 다른 잠금장치는 자체적으로 개발한 독점적인 암호화 기술을 이용했는데, 이 역시 위험한 발상이다. 특수 제작된 암호화 기술이 잠재적인 보안 구멍으로 테스팅되는 경향이 있기 때문이다. 이 경우, 한 암호화에서 1바이트만 바꿔 오류 상태를 그대로 둔 잠금장치가 있는데 바로 이 때문에 잠금장치가 풀리게 됐다. 연구원들은 도어록만을 시험해 본 게 아니었다. 이들은 블루투스 자전거 잠금장치도 점검해 봤는데, 이를 열기 위해 중재자 공격을 시도할 수 있었다. 집과 자산을 지키는 보안 수단으로 도어록을 최우선으로 고려했다면, 스마트 잠금장치는 좋은 방법이 아니다. 더욱 놀라운 것은 이 연구원들이 여러 스마트록 업체에 접촉했을 때 발생한 일이었다. 연구원들은 쉽게 열린 스마트록을 제작한 12개 업체 모두에 연락을 취했다. 톰의 가이드에 따르면, 답변을 준 업체...
2016.08.10
추천기사