2014.09.02

카스퍼스키랩, 유명 커넥티드 홈 엔터테인먼트 디바이스에서 취약점 다수 발견

편집부 | CIO
카스퍼스키랩(www.kaspersky.co.kr)은 유명 커넥티드 홈 엔터테인먼트 디바이스들이 소프트웨어 취약점과 기본 관리자 암호 및 인터넷 연결 암호화와 같은 기본 보안 시스템의 부족으로 실질적인 사이버 보안 위협에 놓여있다고 밝혔다.

데이비드 자코비 카스퍼스키랩 보안 분석가는 사이버 보안 측면에서 집이 얼마나 안전한지 알아보기 위해 자택 거실에서 연구 실험을 실시했다. 이번 연구에서 NAS, 스마트 TV, 라우터, 블루레이 플레이어 등을 포함하는 홈 엔터테인먼트 기기가 사이버 공격에 취약한 지를 확인했다.

카스퍼스키랩 연구원은 다른 공급업체의 NAS 모델 2대, 스마트 TV 1대, 위성 수신기 1대 및 커넥티드 프린터 1대를 조사했다. 조사 결과, NAS에서 14개의 취약점을 발견했으며, 스마트 TV에서 1개, 라우터에서는 여러 개의 잠재적으로 숨겨진 원격 제어 기능을 찾아냈다.

카스퍼스키랩의 정보 공개 방침(responsible disclosure policy)에 따라 취약점의 보안 패치가 발표될 때까지 연구 대상이 된 제품의 기업명은 공개하지 않는다. 모든 기업이 취약점의 존재에 대한 정보를 얻고 있으며 카스퍼스키랩 전문가들은 발견하는 모든 취약점을 제거하기 위해 업체들과 긴밀한 협력 관계를 유지하고 있다.

카스퍼스키랩 측은 NAS에서 가장 심각한 취약점이 발견됐다고 밝혔다. 취약점 가운데 일부는 공격자가 원격으로 최고 관리자 권한의 시스템 명령을 실행할 수 있다. 또한, 연구 대상이 된 기기들은 낮은 수준의 기본 암호를 설정하고 많은 환경 설정 파일들이 잘못된 권한을 가지고 있으며 일반 텍스트 형태로 기기 암호를 관리하고 있는 것으로 나타났다.

또한, 카스퍼스키랩 연구원은 스마트 TV의 보안 수준을 조사하는 과정에서 TV와 TV 공급업체 서버간의 통신에 암호화가 돼 있지 않다는 점을 발견했다.

DSL 라우터는 몇 가지 위험한 숨겨진 기능을 포함한 모든 다른 홈 기기를 위한 무선 인터넷 액세스를 제공하는데 사용된다. 이러한 숨겨진 기능 가운데 일부는 잠재적으로 ISP에 사설 네트워크 내의 모든 디바이스에 대한 원격 액세스를 제공할 수 있다.

카스퍼스키랩 데이비드 자코비 보안 분석가는 “앞으로 기기 공급업체, 보안 커뮤니티 및 기기 사용자들이 해결해야 한다”며, “기기 업체 가운데 일부는 기기의 짧은 제품수명주기가 끝나면 취약한 기기에 대한 보안 업데이트를 더 이상 하지 않는 것도 문제”라고 말했다. editor@itworld.co.kr


2014.09.02

카스퍼스키랩, 유명 커넥티드 홈 엔터테인먼트 디바이스에서 취약점 다수 발견

편집부 | CIO
카스퍼스키랩(www.kaspersky.co.kr)은 유명 커넥티드 홈 엔터테인먼트 디바이스들이 소프트웨어 취약점과 기본 관리자 암호 및 인터넷 연결 암호화와 같은 기본 보안 시스템의 부족으로 실질적인 사이버 보안 위협에 놓여있다고 밝혔다.

데이비드 자코비 카스퍼스키랩 보안 분석가는 사이버 보안 측면에서 집이 얼마나 안전한지 알아보기 위해 자택 거실에서 연구 실험을 실시했다. 이번 연구에서 NAS, 스마트 TV, 라우터, 블루레이 플레이어 등을 포함하는 홈 엔터테인먼트 기기가 사이버 공격에 취약한 지를 확인했다.

카스퍼스키랩 연구원은 다른 공급업체의 NAS 모델 2대, 스마트 TV 1대, 위성 수신기 1대 및 커넥티드 프린터 1대를 조사했다. 조사 결과, NAS에서 14개의 취약점을 발견했으며, 스마트 TV에서 1개, 라우터에서는 여러 개의 잠재적으로 숨겨진 원격 제어 기능을 찾아냈다.

카스퍼스키랩의 정보 공개 방침(responsible disclosure policy)에 따라 취약점의 보안 패치가 발표될 때까지 연구 대상이 된 제품의 기업명은 공개하지 않는다. 모든 기업이 취약점의 존재에 대한 정보를 얻고 있으며 카스퍼스키랩 전문가들은 발견하는 모든 취약점을 제거하기 위해 업체들과 긴밀한 협력 관계를 유지하고 있다.

카스퍼스키랩 측은 NAS에서 가장 심각한 취약점이 발견됐다고 밝혔다. 취약점 가운데 일부는 공격자가 원격으로 최고 관리자 권한의 시스템 명령을 실행할 수 있다. 또한, 연구 대상이 된 기기들은 낮은 수준의 기본 암호를 설정하고 많은 환경 설정 파일들이 잘못된 권한을 가지고 있으며 일반 텍스트 형태로 기기 암호를 관리하고 있는 것으로 나타났다.

또한, 카스퍼스키랩 연구원은 스마트 TV의 보안 수준을 조사하는 과정에서 TV와 TV 공급업체 서버간의 통신에 암호화가 돼 있지 않다는 점을 발견했다.

DSL 라우터는 몇 가지 위험한 숨겨진 기능을 포함한 모든 다른 홈 기기를 위한 무선 인터넷 액세스를 제공하는데 사용된다. 이러한 숨겨진 기능 가운데 일부는 잠재적으로 ISP에 사설 네트워크 내의 모든 디바이스에 대한 원격 액세스를 제공할 수 있다.

카스퍼스키랩 데이비드 자코비 보안 분석가는 “앞으로 기기 공급업체, 보안 커뮤니티 및 기기 사용자들이 해결해야 한다”며, “기기 업체 가운데 일부는 기기의 짧은 제품수명주기가 끝나면 취약한 기기에 대한 보안 업데이트를 더 이상 하지 않는 것도 문제”라고 말했다. editor@itworld.co.kr


X