Offcanvas

IoT / 디지털 디바이스 / 라이프 / 보안 / 소비자IT / 오픈소스

인형에서 새는 개인정보··· 아직 집안에 들이기엔 위험한 장난감

2017.03.10 Ryan Francis   |  CSO
최근 스마트 테디 베어 해킹 사건이 발생했다. 부모가 자신의 어린 시절을 떠올리며 자녀에게 사준 곰 인형에서 개인정보가 샐 수 있다는 경종을 울린 사건이었다.
 
부모와 자녀가 음성 메시지를 주고받을 수 있는 스마트 테디베어가 최근 사용자 계정 80만 개 이상의 정보 유출과 관련 있는 사건이 최근 일어났다. 스파이럴 토이(Spiral Toys) 제품을 사용중인 이 회사는 모든 고객이 해킹당했다는 사실을 부인하고 있다.

보안업체 사일런스(Cylance)의 연구 책임자인 잭 래니어는 장난감과 관련한 데이터 유출 사건을 조사해 소개하면서 이를 막을 수 있는 팁을 제시했다.

클라우드펫(CloudPets)의 스마트 테디 베어


이 사건은 인증 프로세스가 필요 없는 공개 데이터베이스인 몽고DB에 고객 정보를 저장하는 실수 때문에 장난감 사용자의 음성 녹음에 공격자가 접근해 발생했을 수 있다. 공격자를 포함한 모든 사람이 데이터를 보고 훔칠 수 있었다. 클라우드펫은 강도 높은 암호를 요구하지 않아 암호를 쉽게 풀 수 있었다.

: 강도 요구 사항과 관계없이 항상 보안 암호를 만들어라. 암호에는 반드시 소문자와 대문자, 기호, 숫자를 넣어라. 암호 관리자를 사용해 사이트 및 서비스에 대한 고유 암호를 만들고 저장하라.
 
피셔-프라이스 스마트 장난감


연결된 장난감으로 동물 봉제 인형은 많은 약한 API 때문에 취약한 모바일 애플리케이션과 결합돼 있다. 때문에 누가 메시지를 보냈는지 확인하지 못했다. 이는 공격자가 사용자 이름이나 이메일 주소를 추측해 관련 계정과 자녀 프로필의 서버 반환 세부 정보를 피셔 프라이스에 요청하고 이름, 생년월일, 성별, 언어, 이들이 사용한 장난감 정보를 건네받을 수 있음을 의미한다. 

: IoT 기기를 모바일 앱이나 데스크톱 컴퓨터에 연결할 경우 IoT 연결 방식을 확인하는 것이 중요하다. URL 주소의 시작이 HTTP의 보안 버전인 https가 아닌 http인 경우 기기의 연결 보안이 취약하다.

마이 프렌드 카일라 인형


현재 독일에서 공식적으로 금지된 마이 프렌드 카일라(My Friend Cayla) 인형은 공격자가 자녀의 목소리를 기록하고 자녀를 도청할 수 있다. 어떻게? 인형에는 마이크가 있으며 자녀의 질문에 답변하기 위해 인터넷에 접속한다. 범죄자는 개인정보도 수집할 수 있다.

: 장난감에 와이파이가 필요한 경우 WAP2 같은 현대적이고 안전한 와이파이 기능을 지원하는지 확인하라. 장난감이 수집하는 데이터에 신용카드 정보, 주소, 생년월일 등이 있는지도 확인하라. 


아이큐 지능형 로봇


로봇에는 어린이와 그 가족을 도청할 수 있는 기능이 있어 어린이의 사생활을 보호 할 법률을 위반할 가능성이 있다. 음성 인식 소프트웨어 업체인 뉘앙스 커뮤니케이션(Nuance Communications)은 어린이의 말을 듣고 녹음 내용을 저장해 미국의 연방 규정을 위반했다.

: 자녀와 함께 새로운 IoT 장난감을 살 때 제조사가 개인정보 보호 정책이 있는지 먼저 확인하라. 제조사가 데이터를 사용하는 방법을 아는 것은 중요하다. 불필요하거나 불필요해 보이는 개인정보는 제공하지 말라.

브이테크
브이테크(VTech)는 앱 스토어 데이터베이스인 러닝 로지(Learning Lodge)를 해킹했다. 그 결과 1,160만 건이 넘는 계정이 사이버공격으로 손상돼 채팅 로그뿐 아니라 자녀와 부모모의 사진이 노출되었다. 유출된 프로필 데이터에는 이름, 성별, 생년월일이 있었다.

: 과거에 제조사에 사이버보안 문제가 있는지, 있었다면 어떻게 대응했는지 확인하라. 또는 제조사가 신생회사라면 분명 그 회사가 만드는 장난감은 위험하다. 마지막으로 회사 웹 사이트를 방문하여 고객의 보안을 얼마나 심각하게 받아들이는지 확인하라. 거기에 보안 대응 페이지가 있나?
 
헬로우 바비


대화형 완구에는 대화하고 그 대화를 녹음하는 기능이 있다. 이러한 대화는 회사의 서버로 전송돼 분석된 다음 클라우드에 저장된다. 이 장난감은 대화를 녹음해 아이들을 감시하는 것으로 비난 받았다. 와이파이를 통해 공격자는 자녀와 스파이와의 연결을 도용하고 개인정보를 도용하며 인형의 마이크를 감시 장치로 바꿀 수 있다.

: 이 인형은 와이파이를 사용할 수 있으므로 인형이 최신 보안 프로토콜을 지원하는지 확인하라. 앞에서도 말했지만 프로토콜은 WPA2여야 한다. 인형이 WEP이나 WPA(WPA2는 아님) 보안 표준만 사용한다면, 너무 위험할 수 있다. 그 버전은 오래됐고 시간이 지남에 따라 공격으로부터 안전하지 않기 때문이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.