Home > 전체기사
아마존에서 내놓은 스마트 초인종, 보안 고려 없이 제조돼
  |  입력 : 2019-11-11 18:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아마존 링 도어벨 프로, 최초 환경설정 시 민감한 정보 불안전하게 교환
아마존 측은 패치하는 데 5개월 넘게 걸려...이유 설명도 없이 패치 배포


[보안뉴스 문가용 기자] 보안 전문가들이 아마존의 링 비디오 도어벨 프로(Ring Video Doorbell Pro)라는 사물인터넷 장비에서 취약점을 발견했다. 링 비디오 도어벨은 일종의 ‘스마트 초인종’ 제품으로, 보안 카메라와 모션 탐지 기술을 합쳐놓은 것이라고 묘사할 수 있다. 누군가 불법적인 침투를 시도할 때, 이를 탐지해주는 것이다.

[이미지 = iclickart]


보안 업체 비트디펜더(BitDefender)가 발견한 바에 의하면 여기서 발견된 취약점을 성공적으로 익스플로잇 할 경우, 공격자는 물리적으로 접근해 와이파이 네트워크 크리덴셜을 가로챌 수 있게 된다.

문제의 근원은 장비를 사용하기 시작할 때의 환경설정. 스마트폰 앱을 사용해 무선망에 아마존 링을 연결하는 과정에서 네트워크 크리덴셜을 전송해야만 하기 때문이다. “크리덴셜을 입력하는 단계가 안전하지 못한 방법을 통해 실행됩니다. 보안 조치가 되지 않은 접근점을 통해 크리덴셜이 전송되고 접수되죠.”

비트디펜더에 의하면 “설정 모드에 들어가면 아마존 링이 접근점을 생성하는데, 이 접근점에는 비밀번호와 같은 보호 장치가 전혀 존재하지 않는다”고 한다. “맥 주소의 마지막 세 바이트에 해당하는 숫자가 SSID에 포함되어 있을 뿐입니다.”

그런 후 데이터가 교환되는데, 일반 HTTP를 통해 진행된다. 따라서 네트워크에 접근해 도청을 할 수 있는 자라면 누구나 이 크리덴셜을 획득할 수 있게 된다는 것이 비트디펜더의 설명이다. “이웃에서 이 초인종을 통해 당신의 와이파이 망을 몰래 사용할 수 있다는 뜻이 되죠.”

물론 옆집과 와이파이를 나눠 쓰는 게 그리 큰일 같아 보이지 않을 수 있다. 당연하지만 그렇게 훈훈하게만 끝나지 않는다는 게 진짜 문제다. “그 이웃이 꽤나 해킹 실력이 좋은 자라면 어떨까요? 네트워크에 접속함으로써, 연결된 각종 장비에 접근할 수 있게 됩니다. 그리고 각종 익스플로잇을 사용한다면 아마존 링의 환경설정 내용을 바꿀 수도 있게 됩니다.”

아마존 링의 환경설정 내용을 바꾼다는 건, “가장 간단히는 장비를 네트워크로부터 분리할 수 있다는 뜻”이 된다. “그렇다면 아마존 링과 연결된 모바일 앱과도 연동이 되지 않습니다. 피해자가 이를 알게 될 경우, 모바일 앱을 통해 설정을 다시 진행해야 합니다. 아니면 누군가 침투를 시도해도 아마존 링을 통해 어떤 경고도 받을 수 없게 됩니다.”

비트디펜더가 이 문제를 제일 처음 발견해 아마존 측에 알린 건 지난 6월 20일의 일이다. 그러나 아마존이 패치를 발표한 건 11월 7일이다. 취약점이 발견되고 패치가 등장하기까지 일반적이라고 할 수 없을 정도로 긴 시간이 흘렀다는 것이다. 그나마 다행이라면 아직까지 이 취약점 때문에 피해를 입은 사용자가 나타나지 않았다는 것이다.

아마존 링 사업부의 대변인은 해외 언론을 통해 “고객의 신뢰를 중요하게 여기며, 제품의 보안을 전혀 가볍지 않게 생각하고 있다”고 말하며 “해당 취약점에 대한 보안 업데이트가 자동으로 적용될 수 있도록 배포를 시작했다”고 발표했다. 패치가 늦은 이유에 대해서는 아무런 설명이 없었다.

비트디펜더는 “이번 사건으로 사물인터넷으로 분류되는 장비들이 내포한 위험성이 다시 한 번 드러났다”고 설명한다. “사물인터넷 장비로 분류되는 스마트홈 가전장비들은 제조 단계에서 보안이라는 요소가 전혀 고려되지 않은 것이 대부분입니다. 사용자들의 데이터와 프라이버시를 보호하는 데에 제조사가 관심을 갖지 않는다는 게 현 사물인터넷 장비들의 고질병입니다.”

3줄 요약
1. 아마존의 스마트 초인종 제품인 아마존 링 도어벨에서 취약점 발견됨.
2. 환경설정 시 민감한 정보가 교환될 때 보안 장치라고 할 만한 게 하나도 없음.
3. 누군가 네트워크에 접근해 장비 무력화시키거나 집안 모든 IoT 장비에접근 가능하게 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제