Home > 전체기사
디지털 도어록 취약점 논란의 당사자들, 명확한 해법 못 찾았나
  |  입력 : 2019-07-19 11:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
삼성SDS, 본지 보도 후 17일 홈페이지에 “교통카드 앱 설치된 스마트워치 키 등록 해제해 달라”는 공지
티머니 등 교통카드 업체들 반발... “삼성SDS가 우리 정보 임의로 사용했다”
삼성전자, “갤럭시워치는 (공식적으로) 도어록 해제 기능 지원 안해”


[보안뉴스 양원모 기자] <보안뉴스>가 삼성전자의 갤럭시워치 모델에서 디지털 도어록 해제 권한이 없어도 도어록을 열 수 있는 취약점을 발견하자, 삼성SDS가 “안전한 도어록 사용을 위해 교통카드 앱이 설치된 스마트워치의 키 등록을 해제해달라”는 공지를 올렸다. 삼성SDS는 본지의 취약점 테스트에 사용된 디지털 도어록의 제조사다.

난데 없이 ‘문제의 원인’처럼 지목된 교통카드 업체들은 반발하고 있다. 특히, 티머니가 “삼성SDS가 자사의 특정정보를 임의로 사용한 사실을 확인했다”는 입장을 내놓으면서 논란이 더 커지는 모양새다.

▲취약점 테스트에 활용된 삼성SDS 디지털 도어록과 삼성전자 갤럭시기어S3[사진=보안뉴스]


삼성SDS는 지난 17일 홈페이지에 “교통카드 앱이 설치된 스마트워치 등 인증되지 않은 키를 등록 해제해 달라”며 “삼성SDS 인증이 완료된 카드/키태그, 블루투스 앱을 키로 등록해 사용할 것을 당부한다”는 글을 올렸다. 다만, 스마트워치는 ‘갤럭시워치’로 특정하지 않았고, 문제의 정확한 원인에 대한 언급도 없었다.

이번 논란은 2012년 대규모 디지털 도어록 리콜사태를 연상시킨다. 당시 기술표준원(현 국가기술표준원)은 “디지털 도어록을 비롯한 카드식 출입문 잠금장치에서 등록하지 않은 교통카드 및 휴대전화로 잠금이 해제되는 보안상 허점이 발견됐다”며 15개 업체에서 도어록에 110만 대에 대한 자발적 리콜을 신청받았다. 원인은 고유식별번호(UID)였다. 일부 교통카드와 휴대전화 유심칩의 UID가 다르게 지정되지 않으면서 도어록에 등록되지 않은 디바이스까지 등록된 디바이스로 인식했다. 교통카드, 휴대전화 업체 잘못이 더 크다는 데 무게가 실렸지만, 디지털 도어록 업체들은 소비자 신뢰 하락을 우려해 ‘선제적 리콜’에 나섰다.

그러나 이번 사안은 교통카드 앱과는 전혀 무관하다는 게 관련 업체들 입장이다. ‘캐시비’ 교통카드를 발행하는 이비카드 관계자는 18일 “2012년 UID 문제 이후, 현재는 모두 번호가 다르게 발행되는 교통카드 넘버를 사용 중”이라며 “교통카드와는 전혀 관계가 없다”고 말했다. 그는 “삼성SDS가 ‘교통카드 앱’ 표현을 쓰면서 우리 쪽에 문제가 있는 것처럼 (묘사했다)”며 “삼성SDS에 공식적으로 수정을 요청할 것”이라고 덧붙였다.

특히, 논란의 당사자로 볼 수 있는 티머니 측은 “삼성SDS에서 티머니의 특정정보를 임의로 사용하고 있는 사실을 확인했다”고 밝혀 파장이 예상된다. 앞서 본지는 취약점 테스트에서 NFC 기능 활성화를 위해 갤럭시워치에 티머니 앱을 설치했다. 삼성SDS가 공지에서 ‘교통카드 앱’을 콕 짚어 언급한 이유다.

티머니 관계자는 19일 “자체 확인 결과, 삼성SDS가 과거 일부 (도어록) 제품에서 티머니 특정정보를 도어록 개폐 과정에 협의 없이 사용하고 있었다”고 말했다. 그는 “티머니와 삼성SDS는 도어록과 관련해 계약 관계가 없다”며 “이에 대해 정식으로 사용 중지 등을 요청할 예정”이라고 했다.

삼성전자 관계자는 “워치는 (공식적으로) 도어록 해제 기능을 지원하지 않는다”며 “말씀드리기 곤란한 사안”이라고 말했다.

이렇듯 이번 디지털 도어록 취약점 이슈의 당사자들이라고 할 수 있는 디지털 도어록 업체 삼성SDS, 티머니 등 교통카드 제작업체, 그리고 갤럭시워치 제조사인 삼성전자 측 모두 문제의 근본적인 원인과 해법을 제시하기 보다 임시적 처방에 그치면서 국표원의 테스트 및 본지의 분석 결과에 관심이 모아지고 있다.
[양원모 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)