2015.08.27

삼성 스마트 냉장고, 보안 취약성 발견…“지메일 개인정보 탈취 위험”

Colin Neagle | Network World
더 레지스터(The Register) 지가 이번 주 한 해커 팀이 최근 삼성 스마트 냉장고에서 중간자 공격 취약성을 발견했다고 밝혔다. 보도에 따르면 이 보안 취약성은 지메일 사용자 계정 인증서를 탈취하는 데 악용될 수 있다.

보안 업체 펜 테스트 파트너스(Pen Test Partners) 소속의 해커 팀은 이달 초 개최된 데프콘 보안 컨퍼런스에서의 사물 인터넷 해킹 챌린지 대회에 참여하던 중 해당 취약성을 발견했다. 제품번호 RF28HMELBSR인 삼성 스마트 냉장고는 사용자의 지메일 캘린더 일정을 냉장고 탑재 화면과 통합해 제공한다. 삼성은 SSL 프로토콜을 통해 지메일 통합 보안을 강화했지만, 해커들은 해당 제품이 SSL을 인증하지 않는다는 것을 밝혀냈다. 이로써 네트워크에 접근, 스마트 냉장고를 지메일과 연동하는 사용자 ID와 비밀번호 활동 등을 탈취할 위험이 증가한다.

펜 테스트 파트너 보안 전문가 켄 무로는 더 레지스터 지와의 인터뷰에서 “삼성 스마트 냉장고는 SSL이 작동함에도 인증서 유효화에 실패한다. 그러므로 냉장고가 인터넷에 연결될 때, 인증 철회나 가짜 와이파이 액세스 포인트 공격을 통해 네트워크 접속을 시도해 냉장고의 캘린더 클라이언트에 중간자 공격을 실행하고, 구글 계정의 인증 정보를 빼낼 수 있다”고 설명했다.

삼성은 더 레지스터 지에 “최대한 서둘러 관련 문제를 파악 중”이라고 답변한 것으로 알려졌다. 그러나 이 해커들은 블로그를 통해 자신들이 발견한 것은 중간자 공격 취약성뿐만이 아니라고 밝혔다.

스마트 가전 업계를 둘러싼 보안에 대한 우려가 현실화 된 것은 이번이 처음이 아니며, 심지어 스마트 냉장고와 관련된 보안 취약성 사례만도 여러 번 있었다. 2014년 1월, 보안 업체 프루프포인트(Proofpoint)는 스마트 냉장고가 해킹돼 총 10만 여 기기를 하이재킹한 스팸 공격 수단으로 악용된 사례 보고서를 공개하기도 했다.

이외에도 최초 비밀번호를 그대로 사용한 가정 보안 카메라의 녹화 영상이 실시간으로 외부 웹 사이트에 공개되는 등, 지난 수 년간 스마트 가전 제품 해킹 사례가 여러 번 조명돼 사용자의 주의를 환기한 바 있다. editor@itworld.co.kr  


2015.08.27

삼성 스마트 냉장고, 보안 취약성 발견…“지메일 개인정보 탈취 위험”

Colin Neagle | Network World
더 레지스터(The Register) 지가 이번 주 한 해커 팀이 최근 삼성 스마트 냉장고에서 중간자 공격 취약성을 발견했다고 밝혔다. 보도에 따르면 이 보안 취약성은 지메일 사용자 계정 인증서를 탈취하는 데 악용될 수 있다.

보안 업체 펜 테스트 파트너스(Pen Test Partners) 소속의 해커 팀은 이달 초 개최된 데프콘 보안 컨퍼런스에서의 사물 인터넷 해킹 챌린지 대회에 참여하던 중 해당 취약성을 발견했다. 제품번호 RF28HMELBSR인 삼성 스마트 냉장고는 사용자의 지메일 캘린더 일정을 냉장고 탑재 화면과 통합해 제공한다. 삼성은 SSL 프로토콜을 통해 지메일 통합 보안을 강화했지만, 해커들은 해당 제품이 SSL을 인증하지 않는다는 것을 밝혀냈다. 이로써 네트워크에 접근, 스마트 냉장고를 지메일과 연동하는 사용자 ID와 비밀번호 활동 등을 탈취할 위험이 증가한다.

펜 테스트 파트너 보안 전문가 켄 무로는 더 레지스터 지와의 인터뷰에서 “삼성 스마트 냉장고는 SSL이 작동함에도 인증서 유효화에 실패한다. 그러므로 냉장고가 인터넷에 연결될 때, 인증 철회나 가짜 와이파이 액세스 포인트 공격을 통해 네트워크 접속을 시도해 냉장고의 캘린더 클라이언트에 중간자 공격을 실행하고, 구글 계정의 인증 정보를 빼낼 수 있다”고 설명했다.

삼성은 더 레지스터 지에 “최대한 서둘러 관련 문제를 파악 중”이라고 답변한 것으로 알려졌다. 그러나 이 해커들은 블로그를 통해 자신들이 발견한 것은 중간자 공격 취약성뿐만이 아니라고 밝혔다.

스마트 가전 업계를 둘러싼 보안에 대한 우려가 현실화 된 것은 이번이 처음이 아니며, 심지어 스마트 냉장고와 관련된 보안 취약성 사례만도 여러 번 있었다. 2014년 1월, 보안 업체 프루프포인트(Proofpoint)는 스마트 냉장고가 해킹돼 총 10만 여 기기를 하이재킹한 스팸 공격 수단으로 악용된 사례 보고서를 공개하기도 했다.

이외에도 최초 비밀번호를 그대로 사용한 가정 보안 카메라의 녹화 영상이 실시간으로 외부 웹 사이트에 공개되는 등, 지난 수 년간 스마트 가전 제품 해킹 사례가 여러 번 조명돼 사용자의 주의를 환기한 바 있다. editor@itworld.co.kr  


X