Home > 전체기사
치매 환자 위해 만들어진 앱의 취약점, 환자들을 오히려 위험하게 해
  |  입력 : 2020-07-13 11:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보호자가 쉽게 환자의 위치를 파악하고 약 먹을 시간 알려주도록 해주는 앱
소스코드 공개하며 기본적인 취약점이 노출돼...그 동안 사고 발생 안 한 것이 이상할 지경


[보안뉴스 문가용 기자] 치매성 노인 등 인지 능력에 문제를 가진 환자들을 위해 만들어진 스마트워치용 애플리케이션인 셋트래커(SETracker)에서 심각한 오류들이 발견됐다. 보안 업체 펜테스트파트너즈(Pen Test Partners)가 셋트래커의 개발사인 3G 일렉트로닉스(3G Electronics)가 공개한 소스코드를 분석해 발견한 내용이다.

[이미지 = utoimage]


3G 일렉트로닉스는 중국의 앱 개발사다. 그렇기 때문에 ‘또 중국 개발사가 음흉한 목적으로 취약점을 심어 두었다’거나 ‘중국 개발사를 신뢰하기 힘들다’는 결론으로 치달을 수 있는데, 이번 사건의 결론을 그런 식으로 내려서는 안 된다고 펜테스트파트너즈의 켄 문로(Ken Munro)는 강조한다. 3G 일렉트로닉스는 패치를 개발해 배포한 상태다.

넷트래커는 1천만 번 이상 다운로드 된 앱으로, 스마트워치에서 작동하며, 이번에 발견된 취약점은 최소한 3년 동안 존재해온 것으로 밝혀졌다. “아직까지 이 취약점을 통한 사고가 발생하지 않았던 것이 놀라울 정도입니다. 개인적으로는 중국의 개발사가 취약점 보고서를 접수해 수일 만에 패치했다는 것도 놀라웠습니다. 보통은 답장도 없거든요.” 오히려 이는 IoT 생태계 전체가 가진 문제점을 드러내는 사건이라는 것이다.

문로에 의하면 넷트래커에서 발견된 문제는 다음과 같다. “넷트래커는 스마트워치를 착용한 환자가 산책을 나갔다가 길을 잃어버렸을 때, 보호자가 위치를 파악해 찾아낼 수 있게 해주는 것을 목적으로 하고 있습니다. 또한 보호자가 넷트래커를 통해서 환자가 약을 먹도록 알릴 수도 있습니다. 코로나 때문에 보호자의 방문이 어려울 경우 유용한 기능입니다. 인지 문제를 겪는 환자들은 약 먹을 시간을 잘 챙기지 못하기도 하고요.”

문제는 취약점 때문에 기본적인 해킹 기술만을 가지고도 넷트래커가 설치된 스마트워치 착용자를 누구나 추적하고 도청할 수 있다는 것이다. 또한 약 시간 알람도 공격자 마음대로 발동시켜 환자가 필요 이상으로 혹은 이하로 약을 먹도록 유도하는 것도 가능했다. 3G 일렉트로닉스가 개발한 아동용 스마트워치 트래커에도 ‘약 먹을 시간’ 알람을 전송하는 게 가능한 것으로 분석됐는데, 실제 어떤 질병 때문에 약을 먹는 아동이 이 알람을 보고 과다 복용의 위험에 빠질 수도 있다.

문로는 “셋트래커의 취약점들이 가진 가장 큰 문제는, 익스플로잇이 쉽다는 것입니다. 인증 시스템이 있긴 하지만, 장비 내 저장된 토큰을 사용하면 쉽게 풀리기도 합니다. 결국 네트워크 트래픽을 캡쳐하거나 소프트웨어를 장비에서부터 곧바로 추출함으로써 API 엔드포인트에 대한 URL을 발견하기만 한다면 누구나 접근 가능하다는 것이죠.”라고 설명한다. 그러면서 “사물인터넷 장비의 설계 단계에서부터 보안이 고려되지 않았다는 것이 문제”라고 덧붙였다.

펜테스트파트너즈가 실험실에서 익스플로잇에 성공한 후 할 수 있었던 공격은 다음과 같다.
1) 침투한 장비를 통해 다른 전화기로 전화 걸기
2) 다른 전화기로 문자 메시지 보내기
3) 아무 장비에 전화 걸기
4) 셋트래커와 같은 기능을 가진 앱이 유통 금지된 독일 등의 국가에서도, 셋트래커를 사용해 다른 장비를 추적하기
5) 환자로 가짜 메시지 보내기
6) 환자의 것인 냥 가짜 메시지 만들어 전송하기
7) ‘약 먹을 시간’이라는 내용의 알람을 보내기

셋트래커는 소스코드가 공개되어 있는 앱이기도 하다. 개발사가 공개했기 때문인데, 이 과정에서 다음과 같은 자원들이 노출되어 있다는 것을 펜테스트파트너즈가 추가로 발견하기도 했다.
1) 모든 데이터베이스들에 대한 Mysql 비밀번호
2) 파일 버킷 크리덴셜
3) 이메일 크리덴셜
4) SMS 크리덴셜
5) 레디스(Redis) 크리덴셜
6) 16개 서버들의 IP 주소와 서비스 목록
7) 셋트래커의 서버사이드 소스코드 전체
8) 디폴트 비밀번호인 123456

펜테스트파트너즈의 보다 상세한 연구 보고서는 이 페이지(https://www.pentestpartners.com/security-blog/hacking-smart-devices-to-convince-dementia-sufferers-to-overdose/)를 통해 열람이 가능하다.

3줄 요약
1. 치매성 환자들을 돕기 위해 만들어진 중국산 스마트워치용 앱에서 취약점 발견됨.
2. 간단한 익스플로잇 만으로 환자를 추적하고 약을 과다복용하게 만들 수 있음.
3. 중국 회사치고 놀랍게도 보고 후 수일 만에 취약점을 패치함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)