Offcanvas

IoT / 라이프 / 모바일 / 보안

의외로 쉽게 열리는 블루투스 스마트 잠금장치

2016.08.10 Ian Paul  |  TechHive
평범한 문자 암호, 부실한 암호화, 중재자 공격에 대한 민감성은 블루투스 잠금장치의 고질적인 문제 중 일부일 뿐이다.


다나록(Danalock). Credit: Poly-Control

최근 보안 연구원들이 일부 블루투스 기반 스마트 잠금장치가 얼마나 쉽게 열리는지를 보여주고자 데프콘 해커의 컨벤션을 사용했다.

머큘리트 시큐리티(Merculite Security)의 연구원인 벤 램지와 안토니 로즈는 세오메이트(Ceomate), 엘레사이클(Elecycle), 아이블루록(iBlulock), 메시모션(Mesh Motion), 오키오키(Okidokey), 플랜트라코(Plantraco), 퀵록(Quicklock), 바이안스(Vians) 등이 제작한 16개의 스마트 잠금장치를 시험해 봤다. 그 결과 16개 잠금장치 가운데 12개가 해킹됐다. 이것들 중 7개는 너무나 쉽게 해킹됐다.

이 연구원들의 프레젠테이션 슬라이드는 깃허브에서 볼 수 있는데, 이 프레제테이션은 톰의 가이드에서 처음으로 보고됐다.

잠금장치 중 4개는 잠금장치와 스마트폰 앱 간에 평범한 문자로 암호를 전송하고 있었다.

또 다른 잠금장치는 자체적으로 개발한 독점적인 암호화 기술을 이용했는데, 이 역시 위험한 발상이다. 특수 제작된 암호화 기술이 잠재적인 보안 구멍으로 테스팅되는 경향이 있기 때문이다. 이 경우, 한 암호화에서 1바이트만 바꿔 오류 상태를 그대로 둔 잠금장치가 있는데 바로 이 때문에 잠금장치가 풀리게 됐다.

연구원들은 도어록만을 시험해 본 게 아니었다. 이들은 블루투스 자전거 잠금장치도 점검해 봤는데, 이를 열기 위해 중재자 공격을 시도할 수 있었다.

집과 자산을 지키는 보안 수단으로 도어록을 최우선으로 고려했다면, 스마트 잠금장치는 좋은 방법이 아니다. 더욱 놀라운 것은 이 연구원들이 여러 스마트록 업체에 접촉했을 때 발생한 일이었다. 연구원들은 쉽게 열린 스마트록을 제작한 12개 업체 모두에 연락을 취했다. 톰의 가이드에 따르면, 답변을 준 업체는 한 업체에 불과했고 해당 업체는 “문제가 있다는 것을 알지만 고치지 않을 것이다”고 밝혔다.

연구원들이 사용했던 해킹 툴을 공개한다면, 상황은 바뀔 수도 있다. 100달러라는 돈과 여유 시간이 있는 호기심 많은 누군가는 블루투스 해커의 대가가 될 수 있고, 그가 스마트 잠금장치 제조사들에게 디지털 보안에 대해 심각하게 받아들이도록 압박할 것이다.

스마트홈에 대한 발상은 흥미롭고 아이언맨에 나올 법한 집을 갖는 꿈을 실현시켜 줄 수도 있다. 하지만 실제로는 주의해야 한다. 블루투스 잠금장치, 스마트 온도계, 스마트 전구는 모두 신기하고 멋지지만 보안에 대해서는 의심스럽다. 사실 많은 기기들이 보안을 고려해 만들어진 게 아니기 때문이다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.