인증 시스템에서 발견된 오류로 ‘사용자인 척’
안드로이드 앱 스토어에 있는 앱과 피싱 통해 다수 공격도 가능


[보안뉴스 문가용] 사물인터넷의 위험성에 대한 이야기가 사그라지지 않는 가운데 미시건대학교와 마이크로소프트의 연구원들이 ‘스마트홈’ 시스템의 보안연구를 실시했다. 특히 구글 안드로이드 앱 다운로드 수를 기준으로 사용자가 가장 많은 것으로 알려져 있는 삼성의 스마트씽(SmartThings) 플랫폼을 집중 탐구했다.

그 결과 앱 설계 오류를 통한 네 가지 종류의 공격이 가능했으며, 인증 시스템에도 취약점이 발견돼 해커가 ‘실제 사용자’인 것처럼 로그인 해 스마트씽 클라우드 플랫폼에 접근하는 게 가능하다는 사실이 발견되었다.

그중 가장 심각한 건 가장 유명한 인증 프로토콜 중 하나인 오오스(OAuth)를 스마트씽에 구현하다 발생한 오류로, 연구원들은 스마트씽을 통제하는 앱 중 하나를 공격, 원래는 보이지 않아야 할 특정 코드를 읽어 들이는 데 성공했다고 한다. 그리고 이를 통해 스마트씽의 웹 서버로 접근할 수도 있었다. 해당 앱이나 웹 서버의 이름은 공개하지 않았다.

그래서 어떤 공격을 할 수 있었을까? 와이어드(Wired)에 의하면 “단순히 도어락 시스템을 해제시켜 공격자가 원하는 때에, 원하는 대로 집에 들락날락 할 수 있을 뿐만 아니라 백도어를 심을 수 있게 된다”고 한다. 이 백도어를 통해 집안을 사실상 자기 통제 하에 둘 수 있다는 것. “또한 한 명의 피해자만을 노리는 게 아니라 다수를 한 번에 공격하는 것도 가능하다”고 미시건대학의 아툴 프라카시(Atul Prakash) 교수는 말한다.

연구원들은 이 사실을 삼성 측에 알렸고, 현재 삼성은 수주 째 이 문제들을 해결 중에 있다고 밝혔다. 하지만 삼성은 “공격은 악성 스마트앱을 사용자가 설치하거나 스마트씽 가이드라인을 지키지 않은 개발자의 실수가 있어야만 성립된다”며 사실상 자사의 문제는 아니라고 책임을 회피했다고 와이어드지는 보도했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>