Home > 전체기사
집에 ‘스마트 고데기’ 있다면, 화목한 인간 관계에 더 신경 써야
  |  입력 : 2019-07-15 16:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
모바일과 연동되는 헤어 스트레이트너, 모바일 앱 통한 접근 너무 쉬워
페어링 절차도 거치지 않고 바로 연결...인증 절차 한 개도 없어


[보안뉴스 문가용 기자] 보안 전문 업체 펜테스트파트너즈(Pen Test Partners)가 해킹 공격을 통해 ‘스마트 헤어 스트레이트너’를 장악하고, 열을 최고치로 올려 화재를 발생시킬 수 있다는 사실을 밝혀냈다. 펜테스트파트너즈가 실험한 건 글래모라이저(Glamoriser)라는 제품으로, 모바일 앱과의 연동을 위한 블루투스 통신 기능을 탑재하고 있다. 사용자들은 모바일 앱을 통해 제품의 온도를 멀리서도 변경할 수 있고, 자동으로 기계가 꺼지는 시간을 설정할 수도 있다.

[이미지 = iclickart]


펜테스트파트너즈의 스튜어트 케네디(Stuart Kennedy)는 “지난 몇 년 동안 스마트 가전 기기를 통해 불을 지를 수 있는 방법을 연구해왔다”며 “아이케틀(iKettle)이라는 제품 이후 가능성을 엿보인 건 글래모라이저 헤어 스트레이트너가 처음”이라고 설명했다. “누군가 해킹으로 불 같은 보복을 하고 싶을 때, 헤어 스트레이트너가 최고의 장비인 것으로 보입니다.”

헤어 스트레이트너의 최고 온도는 보통 종이의 인화점이라고 알려진 233C보다 높다. 그러므로 적절한 장소에 사람의 감시 없이 방치되어 있을 경우, 화재를 일으킬 가능성을 가지고 있다. 사실 헤어 스트레이트너에 의한 화재 사고는 종종 일어나는 편이기도 하다. 케네디는 “영국 화재청에 의하면 연간 65만 건의 화재가 액세서리형 가전 기구 때문에 발생한다고 한다”고 설명을 덧붙였다(해킹 사고 아님).

펜테스트파트너즈는 헤어 스트레이트너의 앱을 구글 플레이 스토어에서 다운로드 받고, 리버스 엔지니어링을 실시했다. 그런 후 장비를 공격자가 쥐고 흔들 수 있게 해줄 수 있는 자바스크립트 코드를 작성하는 데 성공했다. 이 때의 전제 조건은 장비가 켜져 있어야 한다는 것이다. 하지만 이러한 복잡한 절차를 거친 노력은 사실 처음부터 필요가 없었던 것으로 나타났다.

“앱을 통해 전화기와 헤어 스트레이트너를 연결시키는데, 페어링 절차가 필요 없었습니다. 즉 블루투스 범위 내라면 아무나 앱을 설치함으로써 헤어 스트레이트너를 조정할 수 있었습니다.” 즉 스트레이트너와 앱을 연동하는 데에 필요한 인증 장치가 하나도 없었다는 것. “블루투스 범위 내에 있고, 앱이 설치만 되어 있다면 누구라도 온도를 최대치로 올릴 수 있었습니다.”

물론 블루투스의 범위라는 게 그리 크지 않기 때문에 ‘블루투스 범위 내에 있어야 한다’는 전제 조건을 성립시킨다는 건 꽤나 까다로울 수 있다. 하지만 케네디는 “그렇다고 하더라도 페어링 옵션을 장비에 추가하는 게 생산 업체로서는 매우 쉬운 일이라는 것에는 변함이 없다”고 주장한다. “페어링만 추가했어도 이 장비는 훨씬 안전해졌을 겁니다. 그 쉬운 걸 하나 설치하지 않았기 때문에 불이 날 가능성이 하나 더 추가됐습니다.”

그러면서 케네디는 “다행히도 한 번에 한 모바일만 연결될 수 있다”며 “이것이 그나마의 안전 장치”라고 말한다. 또한 “아직까지 실생활에서 헤어 스트레이트너를 모바일과 굳이 연결해 사용하는 사람도 극히 희박하다”며 “이 역시 의도치 않은 안전 장치”라고 설명한다. “다만 원 주인이 블루투스 범위에서 금방이라도 벗어나면 곧바로 다른 사람이 연결하고 원 주인의 연결을 막을 수 있어, 완전한 안전 장치라고 보기 힘듭니다.”

블루투스 범위는 10~20m다. 이론 상으로는 100m 정도 되지만, 실생활에서는 그렇지 않다. 그러니 실제 누군가 불을 지르려 한다면 헤어 스트레이트너가 있는 집 안으로 들어가야 한다. 아니면 헤어 스트레이트너가 보관되어 있는 공간의 외벽과 가까이 붙어있는 외부자도 공격할 수 있다.

“그렇기 때문에 실제 공격 가능성이 매우 높다고 볼 수는 없습니다. 어린 동생이나 이웃의 누군가와 심각한 불화를 일으키지 않는 이상 말이죠.” 보안 업체 트립와이어(Tripwire)의 수석 연구 책임자인 라마 베일리(Lamar Bailey)의 설명이다. “스마트 헤어 스트레이트너가 집에 있다면, 주변 사람들에게 잘 하는 게 최선의 방어법입니다.”

3줄 요약
1. 모바일과 연결되는 스마트 헤어 스트레이트너, 접근이 너무나 간편함.
2. 접근 후에는 각종 설정 내용 마음대로 변경 가능. 즉, 화재 유발 도구로서 사용할 수 있음.
3. 최소한의 인증 절차 하나만 넣어도 해결될 문제. 사물인터넷 장비 제조사들의 보안 인식 수준 참담하게 낮음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)