커넥티드 홈 엔터테인먼트 디바이스 보안위협 노출

커넥티드 홈 엔터테인먼트 디바이스 중 NAS가 가장 심각

다른 디바이스 감염 근원지 및 DDoS 봇 역할 가능성 높아

모든 디바이스 최신 보안 및 펌웨어 업데이트 필수

[보안뉴스 김지언] 카스퍼스키랩(지사장 이창훈)은 유명 커넥티드 홈 엔터테인먼트 디바이스들이 소프트웨어 취약점 등의 이유로 사이버 보안 위협에 놓여있다고 밝혔다.

이에 카스퍼스키랩은 제품 업체들과 취약점 정보를 공유하며 취약점 제거를 위해 협력하고 있다고 밝혔다.

이번에 발견된 취약점 중 가장 심각한 취약점은 NAS에서 발견됐다. 취약점 중 일부는 공격자가 원격으로 최고 관리자 권한 시스템 명령을 실행할 수 있었다. 또한 연구 대상이 된 디바이스들은 낮은 수준의 기본 암호를 설정하고 많은 환경 설정 파일들이 잘못된 권한을 가지고 있었다.

이외에도 일반 텍스트 형태로 디바이스 암호를 관리하고 있어 문제가 됐다. 어떤 디바이스는 기본 관리자 암호를 한자리 숫자로 구성했으며, 또 다른 디바이스는 네트워크상의 모든 디바이스에 암호와 함께 전체 환경 설정 파일을 공유하기도 했다.

공격 실험에서 별도의 취약점을 이용해 일반 사용자가 접근할 수 없는 스토리지 메모리에 파일을 업로드할 수 있었다. 이 파일이 악성파일일 경우, 손상된 디바이스는 NAS에 연결하는 홈 PC와 같은 다른 디바이스들을 감염시키는 근원이 되고, 봇넷에서 DDoS 봇 역할을 할 수도 있다.

게다가 취약점은 디바이스 파일 시스템의 특별한 부분에 파일이 업로드될 수 있게 하므로 이를 삭제할 수 있는 한가지 방법은 동일한 취약점을 사용하는 방법뿐이었다. 이는 홈 엔터테인먼트 장비 소유자는 물론 기술 전문가에게도 어려운 작업이다.

또 스마트 TV의 보안 수준을 조사하는 과정에서 TV와 TV 공급업체 서버간의 통신에 암호화가 돼 있지 않다는 점을 발견했다. 이를 통해 잠재적으로 사용자는 TV를 통해 콘텐츠를 구입하는 동안 사기꾼들에게 돈을 송금시키는 중간자 공격(Man-in-the-Middle attack)을 허용하게 된다. 공격 실험에서 스마트 TV 그래픽 인터페이스의 아이콘을 다른 그림으로 변경할 수 있었다.

일반적으로 위젯과 미리보기 이미지은 TV 업체의 서버로부터 다운로드 되며, 암호화된 연결의 부족으로 인해 정보는 제 3자에 의해 수정될 수 있다. 이와 함께 연구자는 스마트 TV가 TV와 인터넷 간의 트래픽의 교환을 차단하는 기능과 취약점 중심의 악의적인 공격을 발생시킬 수 있는 자바 코드를 결합해 실행할 수 있다는 점을 발견했다.

DSL 라우터는 다른 홈 디바이스를 위한 무선 인터넷 액세스를 제공하는 등 몇 가지 위험한 숨겨진 기능을 포함하고 있었다. 숨겨진 기능 중 일부는 잠재적으로 ISP(인터넷 서비스 공급업체)에 사설 네트워크 내의 모든 디바이스에 대한 원격 액세스를 제공할 수 있다.

연구 결과에 따르면, 웹 카메라, 접근 제어, WAN-센싱 및 업데이트와 같은 라우터 웹 인터페이스 섹션은 숨겨져 있으며, 디바이스 소유자는 조정이 불가능하다. 라우터 웹 인터페이스 섹션은 오히려 주소 끝의 숫자를 무작위로 입력해 인터페이스 섹션 사이를 이동할 수 있게 하는 다소 일반적인 취약점만을 통해 액세스될 수 있다.

이러한 기능은 원래 디바이스 소유자의 편의를 위해 구현됐다. 원격 액세스 기능은 ISP가 발생할 수 있는 기술적 문제를 디바이스상에서 빠르고 쉽게 해결하도록 지원한다. 그러나 이와 같은 편리함이 악용되면 보안 취약점으로 작용할 수 있다.

카스퍼스키랩 데이비드 자코비(David Jacoby) 보안 분석가는 “사이버 보안 측면에서 집이 얼마나 안전한지 알아보기 위해 자택 거실에서 연구 실험을 실시했다”며 “네트워크 연결 스토리지(NAS), 스마트 TV, 라우터, 블루레이 플레이어 등의 홈 엔터테인먼트 디바이스를 실험한 결과 NAS(Network Attached Storage)에서는 14개, 스마트 TV에서는 1개, 라우터에서는 여러 개의 잠재적 원격 제어 기능을 찾아냈다”고 밝혔다.

이어 그는 “개인과 기업은 커넥티드 디바이스를 둘러싼 보안 위험을 인식하고 있어야 한다”고 경고했다.

커넥티드 디바이스를 안전하게 사용하려면 먼저, 모든 디바이스를 최신 펌웨어로 업데이트 한다. 이는 취약점 악용 위험을 최소화시킬 수 있다. 기본 사용자명과 암호를 변경하는 방법도 있다. 공격자들은 디바이스를 공격하기 위해 기본 접속 정보를 먼저 이용한다.

홈라우터 및 스위치 대부분은 각 디바이스에 대한 자신의 네트워크 설정 옵션을 갖고 있으며, 사용자는 여러 다른 DMZ와 VLAN 지원을 통해 디바이스 액세스를 제한해야 한다. 그 예로 사용자가 TV의 액세스를 제한하고자 하면, 프린터와 같이 필요 없는 연결을 제외하고 네트워크 내의 특정한 부분만 액세스 가능하게 할 수 있다.

‘사물 인터넷: 어떻게 내 집이 해킹되나(Internet of Things: How I Hacked My Home)’ 연구 관련 전문은 웹페이지(https://securelist.com/analysis/publications/66207/iot-how-i-hacked-my-home/)를 통해 확인할 수 있다.

[김지언 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)