[단독] 남의 집 디지털 도어록까지 ‘띠리릭’... 만능키 된 ‘갤럭시워치’

2019-07-15 01:03
  • 카카오톡
  • 네이버 블로그
  • url
본지에서 직접 테스트해보니...삼성SDS 디지털도어록에 갤럭시워치 등록하면 등록안한 제품으로도 문 열려
해결방안 나오기 전까지 갤럭시워치를 디지털 도어록의 키로 사용하는 것 자제해야


[보안뉴스 원병철 기자] 이젠 가정집에 보편화된 디지털 도어록은 편리와 안전, 두 마리 토끼를 모두 잡은 생활밀착형 ICT 장비다. 특히, 최근에는 네트워크 연결을 통한 IoT 기기의 선두주자로 손꼽히면서 그 위상이 올라가고 있다. 그런데 최근 디지털 도어록과 스마트워치와 관련된 치명적 취약점이 발견되면서 사용자들의 불안감이 커지고 있다.


▲테스트에 사용된 삼성SDS 스마트도어락과 갤럭시워치 2대(44mm/42mm)[사진=보안뉴스]

디지털 도어록은 크게 3가지 방법으로 문을 열고 닫는다. 첫 번째는 비밀번호, 두 번째는 RF방식의 카드키, 마지막 세 번째는 생체인식이다. 다만 두 번째 방식인 카드키의 경우 초기에는 전용 카드키만 사용이 가능했기 때문에 사용하는 사람이 드물었다. 디지털 도어록을 사용하는 이유 중 하나가 바로 ‘키’를 들고 다니지 않아도 된다는 점이기 때문이다. 물론 신용카드나 교통카드 등 사용자가 이용하는 다른 카드를 키로 사용할 수 있게 되면서 이 방식을 사용하는 사용자들도 늘어났다.

디지털 도어록의 카드키는 기본적으로 RF(Radio Frequency) 방식의 카드를 ‘키(Key)’로 사용한다. 이에 따라 디지털 도어록에서 기본으로 제공하는 카드키를 제외하고도 일반적인 ‘교통카드’ 기능을 제공하는 신용카드 혹은 교통카드라면 디지털 도어록에 등록해 ‘키’로 사용할 수 있다. 즉, 디지털 도어록만을 열기 위한 ‘키’로 가지고 다니는 것이 아닌, 신용카드 혹은 교통카드로 사용하는 카드를 도어록의 ‘키’로 사용할 수 있다는 얘기다.

특히, 최근 스마트폰이나 스마트워치 등이 RF나 NFC 기능을 이용한 ‘카드’ 기능을 제공하면서, 스마트폰과 스마트워치를 디지털 도어록을 열 수 있는 ‘키’로 이용하는 사람들이 늘어났다. 별도의 ‘키’를 들고 다니기보다는 늘 소지하고 다니는 스마트폰과 스마트워치를 키로 사용하면 더욱 편리하기 때문이다.

그런데 이렇게 스마트워치를 디지털 도어록의 ‘키’로 활용하는 사용자들에게 ‘황당한 일’이 발생했다. 바로 등록하지 않은 스마트워치로 디지털 도어록이 열렸기 때문이다. 이를 본지에 알려온 제보자에 따르면, 평소 스마트폰과 스마트워치를 디지털 도어록의 ‘키’로 등록해 사용하던 중 가족 구성원 중 한 명이 지인을 집으로 초대해 들어가다가 호기심에 지인이 차고 있던 스마트워치를 디지털 도어록에 터치해 봤더니 ‘띠리릭’하고 문이 열렸다는 것.

“다른 사람의 스마트워치로 디지털 도어록을 여는 모습에 놀라워하던 지인이 자신도 같은 모델의 스마트워치를 차고 있다면서 디지털 도어록에 스마트워치를 가져다 댔는데, 바로 문이 열렸습니다. 등록도 하지 않은 스마트워치로 문이 열렸다는 사실이 너무도 황당했죠.”

이에 <보안뉴스>는 디지털 도어록과 스마트워치 2대를 구해 직접 테스트를 해봤다. 디지털 도어록은 삼성SDS의 스마트도어록 제품으로 비밀번호와 RF키를 ‘키’로 사용하는 제품이다. 좀 더 구체적으로 설명하면 타입1(ISO 14434A) 방식의 RF 인터페이스를 이용한다. 타입1은 가장 기본적인 RF 인터페이스로 106kbps 속도에 자체 명령어를 사용하는 제품이다. 스마트워치는 올해 출시된 삼성전자 갤럭시워치 두 개 제품(44mm/42mm, 편의를 위해 워치A-44mm ‘키’로 등록, 워치B-42mm 등록 안함으로 구분한다)으로 모두 티머니(T-money) 앱을 설치했다. 해당 디지털 도어록은 새롭게 ‘카드 등록’을 할 경우 이전에 등록했던 카드의 정보가 리셋되어 사용할 수 없는 제품이다. 이 때문에 테스트를 위해 스마트워치를 ‘키’로 등록할 경우 기존 키들은 사용할 수 없게 된다는 점을 미리 밝힌다.



이어 실제 테스트를 위해 디지털 도어록을 조작해 워치A를 ‘키’로 등록하고 문을 열어봤더니 잘 열렸다. 그리고 등록하지 않은 워치B를 디지털 도어락에 가져다 댔더니 역시나 문이 열렸다. 분명 워치A만 ‘키’로 등록했음에도 불구하고 워치B도 ‘키’로 인식해 열린 것이다. 혹시나 하는 마음에 키를 다시 등록하고 테스트를 진행해 봐도 역시나 같은 결과였다.

이와 같은 일이 혹여 더 있을까 온라인을 검색해본 결과 IT 강좌와 리뷰를 진행하는 한 블로거의 글에서 같은 내용을 확인할 수 있었다. 해당 블로거도 삼성SDS 스마트도어락(본지 테스트 제품과 다른 모델)과 삼성 갤럭시워치(두 제품 다 42mm)를 사용했는데, 최근 동생이 갤럭시워치를 구입했기에 ‘키’로 등록을 해주려고 2개의 갤럭시워치를 등록하려는 순간 에러음과 함께 등록이 되지 않아 혹시나 하는 마음에 동생의 갤럭시워치를 사용해 문을 열어봤더니, 바로 열렸다는 설명이었다.

답답한 마음에 삼성 멤버스 커뮤니티에 문의했지만 갤럭시워치는 문제가 없다는 답변을 받았고, 디지털 도어록 제조사인 삼성SDS에 문의했더니 삼성SDS 측은 디지털 도어록 문제가 아니라 모든 갤럭시워치가 RFID의 고유 아이디가 동일해서 열릴 수 있다는 답변을 받았다고 밝혔다. 삼성전자와 삼성SDS 모두 상대방에게 문제 발생의 원인을 미뤘다는 얘기다.

이번 사건과 관련해 한 전문가는 “이번 문제는 스마트워치 문제일 수도 있지만 디지털 도어록 문제일 수도 있다”면서 좀 더 정확한 테스트가 이뤄져야 한다고 조언했다. 하지만 실제 본지가 테스트한 것처럼 어떤 이유에서든 등록하지 않은 스마트워치가 디지털 도어록을 여는 ‘키’로 작동한다면 매우 심각한 보안위협이 될 수 있다고 지적했다.

실제로 이번 스마트워치와 디지털 도어록 테스트는 단 1종의 디지털 도어록과 2종의 스마트워치(단, 사이즈만 다르고 성능은 동일한 것으로 추정)만 사용한 만큼 전문가 의견처럼 디지털 도어록 혹은 스마트워치 둘 중 하나의 문제로 확정할 수 없다. 하지만 ‘갤럭시워치’를 디지털 도어록의 ‘키’로 등록하면, 또 다른 갤럭시워치로 디지털 도어록을 열 수 있다는 사실을 확인한 만큼, 별도의 대책이 마련되기 전까지 갤럭시워치를 디지털 도어록의 ‘키’로 등록하지 말아야 한다는 점은 분명하다.

4차 산업혁명과 5G 상용화 시대를 맞이하면서 수많은 IoT 기기들이 우리 생활을 편리하게 해주고 있지만, 사소한 오류 하나만으로도 큰 위협에 빠뜨릴 수 있다는 사실을 이번 사건은 여실히 보여주고 있다. 본지는 후속 취재를 통해 이러한 취약점의 원인을 다각도로 분석하고, 문제를 해결하기 위한 방안을 찾는데 집중할 계획이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


전팀장 2019.07.19 11:30

갤럭시 워치에 교통카드앱을 깔고 그것을 이용하여 도어락 문을 여는 분들에만 해당되는 얘기입니다. 그러나 그렇게 사용하는 분은 아주 극소수일거라고 판단되고요, 만약 갤럭시 워치에 교통카드 앱을 까셔서 도어락 문 여는데 이용하고 있다면 당장 키를 삭제하시면 문제는 사라집니다. 그리고 도어락 매뉴얼데로 올바르게 사용하시면 되구요, 도어락 회사에서 제공된 키만 이용하세요.


으라차챠 2019.07.18 10:45

[한 전문가]가 개세끼네, 저런 세끼들이 전문가라고 설치니까 이런 일들이 벌어지지....현기 같은 인간...


- 2019.07.18 08:01

"이건 이미 5~6년 전에 이슈된 내용입니다. 스마트워치가 아니라도 교통카드를 키로 이용하는 경우 동일 문제가 있습니다. 교통카드의 ID가 동일하게 나오기 때문이고, 각 도어록 제조업체는 교통카드를 키로 사용하지 말고 도어록 제조사가 제공하는 태그만 키로 사용할 것을 권고하는 것으로 끝난 것으로 알고 있습니다. 스마트 워치의 태그도 T머니라면 결국 교통카드니까 같은 문제가 있겠죠.

ID가 동일하게 생산되는 키제조즉의 문제이지만, 이 ID를 보안장치의 키로서 사용해도 되느냐 마느냐는 생각해봐야 할 문제입니다. 이미 문제를 알았다면 문제의 ID를 도어록측에서 블랙리스트에 올려 키등록이 안되도록 만들어야 하는 것 아닌가 싶기도 합니다."


올드보이 2019.07.18 04:48

"갤럭시워치와 다른회사 도어록, 엘지스마트워치와 SDS 도어록을 믹스하여 테스트하면 문제가 어디있는지 알 수 있지 않을까요?

대기업이 도어록 파는 것도 참…
이런 건 중소기업에 맡기는 것이 어떨까…"


권보안 2019.07.16 23:56

질문 감사합니다. 일단 테스트로 확인한 건 갤럭시워치를 디지털 도어록의 키로 사용하기 위해 등록할 경우 등록한 갤럭시워치 뿐만 아니라 다른 갤럭시워치로도 디지털 도어록이 열린다는 겁니다. 일단 저희도 다각도로 테스트를 진행하고 있는데요. 갤럭시워치의 RFID(UID)값이 같다는 건 아직 입증된 사실이 아니라는 점 분명하게 말씀드립니다. 현재 다각도로 테스트가 진행 중이니 결과가 나오면 본지를 통해 상세히 보도할 수 있도록 하겠습니다. 그래서 현재 임시적으로는 디지털 도어록에서 갤럭시워치 등을 키로 등록할 수 있는 RFID/NFC 사용 기능 설정을 해제(비활성화)해서 비밀번호로만 열 수 있도록 조치하시는 것이 필요할 것 같습니다. 그렇게 하면 갤럭치워치로 열리는 건 차단할 수 있습니다. 정확한 원인이 규명되면 해결방법 또한 자세하게 안내드릴 수 있도록 하겠습니다.


강명수 2019.07.16 18:56

"안녕하세요.
좋은 정보 감사합니다.

궁금한 사항은 기존 갤럭시 워치 등록이 없을 시
등록되지 않은 다른 갤럭시 워치로 열 수 없는게 맞나요?

테스트 하신 결론이
갤럭시 워치의 rfid값이 동일하여 하나만 등록해도
모든 갤럭시 워치로 여는게 가능하다..
대신 갤럭시 워치 자체를 등록하지 않으면 다른 갤럭시 워치로도 열 수 없다..
맞게 이해한건지 궁금합니다."


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기