가정용 IoT 기기에 OS 명령 및 코드 실행 가능
민감 정보 유출 위험에다 기기 조작 위험까지

[보안뉴스 오다인 기자] 삼성 스마트싱스(SmartThings) 허브에서 20개의 보안 취약점이 발견됐다고 시스코 탈로스가 26일(현지시간) 발표했다. 시스코 탈로스 소속 클라우디오 보차토(Claudio Bozzato) 연구원이 발견했다.


▲삼성 스마트싱스[사진=시스코 탈로스 블로그]

취약점들은 삼성 스마트싱스 허브의 펌웨어 내에서 발견됐다. 공격자가 이들 취약점을 이용하면 기기에 OS 명령 또는 기타 자의적인 코드들을 실행시킬 수 있는 것으로 나타났다.

이번에 발견된 취약점은 총 20개다. 이들 취약점은 접근 수준에 따라 여러 층위로 구분된다. 개별 취약점으로 익스플로잇이 어려운 것도 있지만 이들 취약점을 한꺼번에 이용하면 기기에 상당히 위험한 공격을 감행할 수 있다고 시스코 탈로스는 설명했다.

시스코 탈로스는 자사의 취약점 공개 정책에 따라 취약점 해결을 위해 삼성과 협업했으며 영향 받은 고객들에게 펌웨어 업데이트를 제공했다고 밝혔다.

스마트싱스 허브는 △스마트 플러그 △LED 전구 △온도계 △카메라 등 스마트홈 내에 구성되는 사물인터넷(IoT) 기기들을 모니터링하고 관리하는 중앙 컨트롤러다. 이런 기기들을 중앙 제어하는 기능을 갖고 있기 때문에 이용자들은 스마트폰을 활용해 원격에서 이들 기기를 연결 또는 관리할 수 있다.

스마트싱스 허브의 펌웨어는 리눅스 기반으로, △이더넷(Ethernet) △지그비(ZigBee) △지웨이브(Z-Wave) △블루투스 등 다양한 기술들을 사용하는 IoT 기기와 통신할 수 있도록 지원한다.

이 같은 기능이 편리한 만큼 이들 기기에는 민감 정보도 수집된다. 시스코 탈로스가 발견한 취약점들이 악용될 경우, 민감 정보에 접근할 수 있을 뿐만 아니라 가정 내의 기기들을 모니터링하거나 제어할 수 있게 된다. 시스코 탈로스는 공격자가 권한 없이 기타 활동을 수행할 위험도 있다고 경고했다.

예컨대, 스마트싱스 허브가 제어하는 스마트락(Smart lock)을 잠금 해제, 공격자가 집 안에 물리적으로 침입할 수 있다. 가정 내 카메라를 해킹해 사람들을 원격에서 관찰할 위험도 있으며, 가정 경보 시스템에 쓰이는 움직임 탐지기를 비활성화시킬 수도 있다.

시스코 탈로스는 가정용 IoT 기기들이 매우 광범위하게 사용된다는 점을 고려하면 위험한 상황이 매우 다양하게 나타날 수 있다고 설명했다. 피해를 막기 위해서는 취약점이 패치된 최신 버전의 펌웨어로 업데이트해야 한다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>