이전에도 보안 취약한 영유아 감시 카메라 만들어 문제된 회사, 마이세이프
이번에는 아동용 스마트워치가 문제...오죽했으면 ‘버리는 게 최고’라고 할까
[보안뉴스 문가용 기자] 중국 업체인 마이세이프(MiSafe)가 만든 아동용 스마트워치에서 치명적인 취약점들이 나타났다. 이전에도 마이세이프가 제작하고 판매하는 영유아 감시 카메라 제품에서 취약점이 발견된 바 있다. 비승인 접근과 카메라 하이재킹을 가능하게 해주는 취약점이었다.
[이미지 = iclickart]
보안 업체인 펜 테스트 파트너즈(Pen Test Partners)의 연구원인 켄 문로(Ken Munro)와 알란 모니에(Alan Monie)는 최근 마이세이프가 만든 GPS 탑재 아동용 스마트워치가 암호화 기술도 적용하지 않고, 안전한 연결 기술도 사용하지 않고 있다는 점을 발견했다. 공격자가 계정에 저장된 개인정보에 간단히 접근할 수 있게 해주는 치명적인 취약점이다. 여기에는 스마트워치를 착용한 아이의 사진, 이름, 성별, 생년월일, 키, 몸무게, 전화번호가 포함된다.
문제는 이것만이 아니었다. 두 전문가는 장비를 원격에서 조정하는 데에도 성공했다. “이를 통해 아동의 이동 경로와 위치를 추적하는 것은 물론, 아동의 여러 가지 행동들을 파악하고, 심지어 마치 부모가 전화를 건 것처럼 보이는 가짜 전화 신호를 스마트워치로 보내는 것도 가능했습니다.”
이런 모든 것들을 다 가능케 해주는 취약점이 얼마나 ‘나쁜 것’이었으면, 두 전문가는 패치를 하라는 권고 대신, “혹시 마이세이프에서 만든 아동용 스마트워치를 가지고 있다면 전부 가져다 버려야 한다”고 강력하게 말했다.
문제의 스마트워치가 처음 출시된 건 2015년의 일이다. GPS와 2G 기술을 사용해 부모들이 아동을 모니터링 할 수 있게 해주는 도구였다. 현재 이 스마트워치를 사용하는 사람은 1만 4천 명 정도 된다고 한다. 펜 테스트 파트너즈는 마이세이프 측에 연락을 취했지만 아무런 답을 받을 수가 없었다.
보안 업체 콤패리테크(Comparitech.com)의 프라이버시 전문가인 폴 비쇼프(Paul Bischoff)는 “스마트워치라는 제품을 이렇게 허술하게 만들다니, 마이세이프로서는 변명의 여지가 있을 수 없다”고 강력하게 비판했다. “어떻게 하면 이렇게 모든 면에서 처참하고 지독하게 프라이버시를 침해할 수 있었는지가 더 신기할 지경입니다. 사물인터넷 제조사들이 보안 기능을 도입하지 않는다는 게 유명한 사실이지만, 마이세이프의 제품은 상상을 초월합니다.”
사실 여러 나라에서 아동용 스마트워치의 판매를 금지시키고 있다. 즉 어떤 나라에서는 어차피 마이세이프 제품이 사용될 일이 없다는 것이다. 하지만 비쇼프는 “그래도 아동용 물건을 이런 식으로 만든 회사에 아무런 법적 처벌을 할 수 없다는 게 화가 난다”는 입장이다. 비쇼프 역시 펜 테스트 파트너즈 전문가들처럼 “패치할 생각보다 버릴 생각하는 게 훨씬 현명한 판단”이라는 의견이다.
“마이세이프의 스마트워치가 중국에서 제작되고 전 세계에서 팔린다는 걸 생각해보면 아찔합니다. 생산과 판매의 절차 사이에 아무런 검사 절차가 없었다는 뜻이니까요. 사법 기관이나 규제 기관들에도 이번 사건이 경종을 울려야 합니다. 사이버 스파이 행위가 만연한 요즘, 수입되거나 출시되는 장비들에 대한 검사가 좀 더 철저해질 필요가 있습니다. 특히나 수입품, 그것도 아동용 물품이라면 말입니다.” 비쇼프의 의견이다.
버그바운티 플랫폼인 해커원(HackerOne)의 IT 엔지니어인 아론 잰더(Aaron Zander)는 “아동용으로 만들어진 사물인터넷 장비들에서 최근 들어 최악의 보안 사고들이 발생하고 있다”고 말한다. “사실 보안 자체로 돈이 되지 않는 이상, 제조사들이 스스로 보안 기능을 강화하지는 않을 겁니다. 그렇다면 어떻게 해야 아이들에게 스마트 장난감을 선물할 수 있을까요? 하지 않는 게 최고입니다. 요즘 사물인터넷 제조사들을 보면 이런 결론을 내리는 게 무리가 아닙니다.”
그러면서 잰더는 “이미 장비가 있고, 이미 오류가 있다는 걸 알았다면 공공 기관 혹은 규제 기관을 찾아가 민원을 넣으라”고 권한다. “정부 기관을 거쳐 필수 항목처럼 굳어지지 않는 이상 자발적으로 보안을 첨부할 제조사는 나타나지 않을 겁니다.”
3줄 요약
1. 중국의 스마트 제품 혹은 IoT 제품 제조사인 마이세이프, 보안 개념 희박한 듯.
2. 최근 아동용 스마트워치에서 치명적인 취약점들이 다수 발견됨.
3. 보통 패치 권하던 보안 전문가들, 이번엔 “버려라”로 의견 일치.
[국제부 문가용 기자(globoan@boannews.com)]
이번에는 아동용 스마트워치가 문제...오죽했으면 ‘버리는 게 최고’라고 할까
[보안뉴스 문가용 기자] 중국 업체인 마이세이프(MiSafe)가 만든 아동용 스마트워치에서 치명적인 취약점들이 나타났다. 이전에도 마이세이프가 제작하고 판매하는 영유아 감시 카메라 제품에서 취약점이 발견된 바 있다. 비승인 접근과 카메라 하이재킹을 가능하게 해주는 취약점이었다.
[이미지 = iclickart]
보안 업체인 펜 테스트 파트너즈(Pen Test Partners)의 연구원인 켄 문로(Ken Munro)와 알란 모니에(Alan Monie)는 최근 마이세이프가 만든 GPS 탑재 아동용 스마트워치가 암호화 기술도 적용하지 않고, 안전한 연결 기술도 사용하지 않고 있다는 점을 발견했다. 공격자가 계정에 저장된 개인정보에 간단히 접근할 수 있게 해주는 치명적인 취약점이다. 여기에는 스마트워치를 착용한 아이의 사진, 이름, 성별, 생년월일, 키, 몸무게, 전화번호가 포함된다.
문제는 이것만이 아니었다. 두 전문가는 장비를 원격에서 조정하는 데에도 성공했다. “이를 통해 아동의 이동 경로와 위치를 추적하는 것은 물론, 아동의 여러 가지 행동들을 파악하고, 심지어 마치 부모가 전화를 건 것처럼 보이는 가짜 전화 신호를 스마트워치로 보내는 것도 가능했습니다.”
이런 모든 것들을 다 가능케 해주는 취약점이 얼마나 ‘나쁜 것’이었으면, 두 전문가는 패치를 하라는 권고 대신, “혹시 마이세이프에서 만든 아동용 스마트워치를 가지고 있다면 전부 가져다 버려야 한다”고 강력하게 말했다.
문제의 스마트워치가 처음 출시된 건 2015년의 일이다. GPS와 2G 기술을 사용해 부모들이 아동을 모니터링 할 수 있게 해주는 도구였다. 현재 이 스마트워치를 사용하는 사람은 1만 4천 명 정도 된다고 한다. 펜 테스트 파트너즈는 마이세이프 측에 연락을 취했지만 아무런 답을 받을 수가 없었다.
보안 업체 콤패리테크(Comparitech.com)의 프라이버시 전문가인 폴 비쇼프(Paul Bischoff)는 “스마트워치라는 제품을 이렇게 허술하게 만들다니, 마이세이프로서는 변명의 여지가 있을 수 없다”고 강력하게 비판했다. “어떻게 하면 이렇게 모든 면에서 처참하고 지독하게 프라이버시를 침해할 수 있었는지가 더 신기할 지경입니다. 사물인터넷 제조사들이 보안 기능을 도입하지 않는다는 게 유명한 사실이지만, 마이세이프의 제품은 상상을 초월합니다.”
사실 여러 나라에서 아동용 스마트워치의 판매를 금지시키고 있다. 즉 어떤 나라에서는 어차피 마이세이프 제품이 사용될 일이 없다는 것이다. 하지만 비쇼프는 “그래도 아동용 물건을 이런 식으로 만든 회사에 아무런 법적 처벌을 할 수 없다는 게 화가 난다”는 입장이다. 비쇼프 역시 펜 테스트 파트너즈 전문가들처럼 “패치할 생각보다 버릴 생각하는 게 훨씬 현명한 판단”이라는 의견이다.
“마이세이프의 스마트워치가 중국에서 제작되고 전 세계에서 팔린다는 걸 생각해보면 아찔합니다. 생산과 판매의 절차 사이에 아무런 검사 절차가 없었다는 뜻이니까요. 사법 기관이나 규제 기관들에도 이번 사건이 경종을 울려야 합니다. 사이버 스파이 행위가 만연한 요즘, 수입되거나 출시되는 장비들에 대한 검사가 좀 더 철저해질 필요가 있습니다. 특히나 수입품, 그것도 아동용 물품이라면 말입니다.” 비쇼프의 의견이다.
버그바운티 플랫폼인 해커원(HackerOne)의 IT 엔지니어인 아론 잰더(Aaron Zander)는 “아동용으로 만들어진 사물인터넷 장비들에서 최근 들어 최악의 보안 사고들이 발생하고 있다”고 말한다. “사실 보안 자체로 돈이 되지 않는 이상, 제조사들이 스스로 보안 기능을 강화하지는 않을 겁니다. 그렇다면 어떻게 해야 아이들에게 스마트 장난감을 선물할 수 있을까요? 하지 않는 게 최고입니다. 요즘 사물인터넷 제조사들을 보면 이런 결론을 내리는 게 무리가 아닙니다.”
그러면서 잰더는 “이미 장비가 있고, 이미 오류가 있다는 걸 알았다면 공공 기관 혹은 규제 기관을 찾아가 민원을 넣으라”고 권한다. “정부 기관을 거쳐 필수 항목처럼 굳어지지 않는 이상 자발적으로 보안을 첨부할 제조사는 나타나지 않을 겁니다.”
3줄 요약
1. 중국의 스마트 제품 혹은 IoT 제품 제조사인 마이세이프, 보안 개념 희박한 듯.
2. 최근 아동용 스마트워치에서 치명적인 취약점들이 다수 발견됨.
3. 보통 패치 권하던 보안 전문가들, 이번엔 “버려라”로 의견 일치.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
