Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
IoT / 보안

삼성 스마트싱스 허브에서 취약점 20개 발견…시스코 탈로스

Imogen Hargreaves | PCWorld Australia 2018.08.01
시스코 탈로스(Cisco Talos)는 최근 삼성 스마트싱스 허브(Samsung SmartThings Hub)의 펌웨어에 존재하는 20개의 취약점을 발견했다. 스마트싱스 허브는 일반적으로 스마트 홈에 배치되는 스마트 플러그, LED 전구, 온도 조절기, 카메라 등과 같은 다양한 IoT 장치를 모니터링하고 관리하는 중앙 컨트롤러다.


Credit: Dave Zatz/IDG

스마트싱스 허브는 사물인터넷 장치에 대한 중앙집중식 컨트롤러의 기능을 하며 사용자가 스마트폰을 사용해 이런 장치에 원격으로 연결하고 관리할 수 있도록 한다. 스마트싱스 허브에서 실행되는 펌웨어는 리눅스 기반이며, 이더넷, 지그비(Zigbee), 지-웨이브(Z-Wave), 블루투스(Bluetooth)와 같은 다양한 기술을 사용해 IoT 장치와 통신할 수 있다.

탈로스에 따르면, 이런 장치는 중요한 정보를 수집하는 경우가 많기 때문에 발견된 취약점을 활용해 공격자가 이 정보에 액세스하고 가정 내 장치를 모니터링 및 제어하거나 권한이 없는 작업을 수행할 수 있는 능력을 얻을 수 있다.

소포스(Sophos) 수석 기술자 폴 더클린은 "공격자가 아무런 가치가 없는 스마트홈을 공격하는 이유는 무엇인가라는 질문을 종종 듣는다"고 말했다. 더클린은 "하지만 그건 잘못된 질문이다. 그들이 왜 공격하지 않을까라고 물어야 한다"고 지적했다.

사이버범죄자들은 홈네트워크를 해킹해 전세계 어느 곳에서나 네트워크 트래픽, 스크린 샷, 비밀번호, 소프트웨어 구성 정보 등을 훔칠 수 있다. 또한 범죄자들은 문이나 창 잠금 장치의 내부 모습과 사용자가 집에 머무르는 시간, 휴가중인 시간 정보에 액세스할 수 있다. 이 정보가 범죄자들에게 직접적으로 유용한 것은 아니지만, 이 정보를 해당 가정과 가까운 범죄자들에게 팔 수 있다.

공격자는 스마트싱스 허브가 제어하는 스마트 락의 잠금을 해제하고 모션 센서를 비활성화하고, 스마트 플러그를 끄고, 집안의 카메라를 사용해 거주자를 원격 모니터링하거나 가정 내 스마트 플러그에 연결된 어플라이언스에 물리적인 손상을 초래할 수 있다.

더클린은 "스마트싱스 허브가 있는 경우, 지금 당장 패치를 적용하라. 얼리어댑터인 경우, 즉각적인 대응이 필요하다. 만약 얼리어댑터가 아니고 좀더 안전한 사물인터넷을 원한다면 앞으로 5~10년 동안은 보기에 좋다는 이유만으로 인터넷 유행 제품을 사지 마라. 자신의 신용카드, NFC 결제 앱, 비트코인 지갑에 손을 떼고 소위 '스마트 키트'라 부르는 제품들을 구매하지 마라"고 충고했다.

더클린은 "사용자들은 좀더 보안에 대해 관심을 갖고 공급업체와 보안업체들에게 온전한 스마트홈 혁명에 동참할 수 있도록 요구해야 한다. 이를 통해 스마트장치 공급업체들이 좀더 사이버보안에 대한 신뢰를 얻게 해야 한다. 공급업체들의 적극적인 마케팅에 속아 구매해서는 안된다"고 덧붙였다.

시스코 탈로스는 삼성과 협력을 통해 이 문제를 해결하고 해당 고객이 펌웨어를 업데이트할 수 있도록 했다. editor@itworld.co.kr
 
 Tags 취약점 삼성 스마트싱스 탈로스

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.