Home > 전체기사

칼앰프 자동차 알람 시스템 서버에서 취약점 발견

  |  입력 : 2018-05-21 17:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
서버 통해 각종 차량 보고서 취득하는 것 가능
계정 탈취해 차량뿐만 아니라 네트워크에 연결된 IoT 기기도 탈취


[보안뉴스 문가용 기자] 자동차 알람 시스템을 만드는 회사 칼앰프(CalAmp)가 운영하는 서버에서 설정 오류가 발견됐다. 이 때문에 서버를 통해 민감한 정보에 아무나 접근 가능하게 되었고, 심지어 계정과 차량의 제어권도 가져갈 수 있다고 한다.

[이미지 = iclickart]


이러한 문제점을 발견한 건 보안 전문가 반젤리스 스티카스(Vangelis Stykas)와 조지 라브다니스(George Lavdanis)로, 이 둘은 바이퍼 스마트스타트(Viper SmartStart) 시스템에서의 취약점을 연구하다가 칼앰프 서버에서의 문제점을 발견했다고 한다. 바이퍼 스마트스타트는 스마트폰으로 멀리서부터 차량 시동을 걸고 잠그고, 차량의 위치를 파악하게 해주는 시스템이다.

“칼앰프의 애플리케이션이 SSL 연결을 사용하고 있더군요. 또한 SSL 피닝(SSL Pinning)을 활용해 침해와 공격을 막고 있었고요.” 더 나아가 연구원들은 해당 애플리케이션이 Calamp.com Lender Outlook 서비스와 연결이 되어 있다는 것 또한 발견할 수 있었다. 바이퍼 앱에 로그인할 때 사용하는 크리덴셜을 사용하면 이 서비스에도 로그인이 가능했다.

“아마도 다량의 차량과 계정을 보유하고 있는 고객사들의 용이한 관리를 위해 만들어진 패널 서비스로 보입니다.” 스티카스의 설명이다. “도메인에서는 보안 문제점을 찾을 수 없었습니다. 그런데 보고가 다른 서버에서부터 전달되어 오더군요. 그 서버는 tipco jasperreports라는 소프트웨어를 사용하고 있었고요. 매개변수를 다 없애자 권한이 어느 정도 제한된 사용자인 것처럼 로그인 되어 있었습니다. 다양한 보고서에 접근하는 것이 가능했습니다.”

보고서에 접근할 수 있게 되었다는 건 모든 차량들의 민감한 정보에 다가갈 수 있다는 뜻이다. 여기에는 위치 히스토리 정보, 사용자 이름 등이 포함된다. 다행히 비밀번호 정보는 없었다. 또한 서버 내에서 보고서의 복제와 편집도 가능했다. 공격자가 임의의 XSS를 추가해 정보를 훔쳐갈 수 있다는 뜻이라고 스티카스는 설명한다.

“또한 모바일 애플리케이션을 통해 사용자 계정을 탈취하는 것도 가능합니다. 이전 비밀번호를 파악해낸다면 말이죠. 계정 탈취까지 해낸다면 연결된 장비를 조작하는 것도 가능해지는데, 여기서 연결된 장비란 바로 차량이죠.”

정리하자면 오래된 비밀번호를 아는 공격자가 새로운 비밀번호를 자기가 아는 비밀번호로 교체하는 것이 가능하고, 그런 후에는 차에 접근해서 잠금을 해제하고 엔진 시동을 건 다음에 훔쳐낼 수 있다는 뜻이 된다.

“이것만이 아닙니다. 데이터베이스에 연결된 모든 IoT 기기들에도 접근이 가능하고, 비밀번호를 재설정하는 것도 가능합니다. 즉 이 취약한 서버와 연결된 모든 장비들이 위험에 처한다는 뜻이 됩니다.”

두 전문가는 이 같은 사실을 칼앰프 사에 알렸다. 올해 5월초의 일이었고 칼앰프는 이 취약점을 열흘 후에 수정했다. 뿐만 아니라 보안 전문가들이 취약점을 발견해 보고하는 것이 더 용이하도록 웹사이트를 개편하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)