Home > 전체기사

자이스마트홈 월패드 취약점 발견, 자이S&D “조치 완료”

  |  입력 : 2022-06-27 00:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
자이스마트홈 월패드에서 서버에서의 검증 미흡에 따른 인증 우회 취약점 발견
취약점 악용시 공격자는 세대주 권한 탈취해 홈 환경 모두 조작 또는 제어 가능해져
자이S&D “업데이트 완료해 지금은 문제 없어, 아파트 보안관리 더 철저히 할 것”


[보안뉴스 권 준 기자] 대부분의 아파트에 기본으로 설치돼 있는 월패드의 해킹 위험 때문에 아파트 입주민들의 공포가 커지고 있는 가운데 최근 유명 아파트 브랜드 ‘자이’ 등에 설치되는 자이스마트홈 월패드에서 보안 취약점이 발견된 것으로 드러났다.

[이미지=utoimage]


이번에 발견된 자이스마트홈 월패드 취약점은 자이스마트홈 애플리케이션이 서버에서 검증을 수행하지 않아 발생하는 인증 우회 취약점(CVE-2021-26638)으로 심각도가 ‘High’이며, CVSS 점수는 7.3점에 이르는 것으로 분석됐다.

이번 취약점을 악용할 경우 자이스마트홈 앱을 통한 홈 거주자 인증 과정에서 검증 결과를 로컬 앱 환경 내에서 변조해 사용자 인증 우회가 가능하며, 공격자는 세대주 권한을 탈취해 실내 제어를 비롯한 홈 환경을 모두 조작하거나 제어할 수 있는 것으로 드러났다.

‘자이’의 계열사로 주택개발, 홈 네트워크 및 아파트 CS, 부동산 자산관리 분야를 주요 사업영역으로 하고 있는 자이S&D가 개발한 S&D스마트홈(스마트케어) 3.2.48 이전 버전이 해당 취약점에 영향을 받는 제품 및 버전이며, 취약한 버전의 제품 이용자는 S&D스마트홈(스마트케어) 버전 3.3.10 이상으로 설치해야 한다.

이와 관련 자이S&D 측은 지난 2월 KISA로부터 보안취약점에 대한 수정 권고를 받고 즉시 조치 완료해 지금은 문제없다고 밝혔다. 회사 관계자는 “기존 3.2.48 버전이 앱 인증방식으로 인한 보안 취약점이 발견돼 앱 접속 시 서버에서 인증 확인하도록 인증 방식을 변경한 3.3.10 버전으로 즉시 수정해 업데이트를 완료했다”며, “아파트 보안 관련 이슈가 발생하지 않도록 보안 관리를 더욱 철저히 하겠다”고 말했다.

한편, 지난해 11월 국내 아파트에 설치된 월패드가 해킹돼 집 내부를 찍은 영상이 판매되고, 다크웹에 올라간 해킹 아파트 7백여 곳의 명단이 온라인을 통해 유포되면서 아파트 월패드 해킹 공포가 크게 확산되고 있다. 이에 따라 정부부처인 과기정통부를 비롯해 각 지자체와 아파트 단지를 중심으로 월패드 보안대책 마련에 적극 나서고 있다.

과기정통부에서 발표한 월패드 등 홈네트워크 기기 관리자 및 이용자 보안수칙에 따르면, 먼저 공동주택 관리자(일명 아파트 관리사무소)가 해킹 등 사이버위협으로부터 홈네트워크 기기들을 보다 안전하게 보호하기 위한 주요 보안수칙으로는 ①방화벽 등 보안장비 운영 ②주기적인 보안취약점 점검 및 조치 ③관리 서버에 불필요한 프로그램 및 서비스 제거 ④관리자 비밀번호 주기적 변경하기 ⑤침해사고 발생 시 인터넷침해대응센터(118)로 신고하기 등이 있다.

또한, 기기 이용자는 ⑥기기는 반드시 암호를 설정하고 ‘1234’, ‘ABC’ 등 유추하기 쉬운 암호 사용하지 않기 ⑦기기는 주기적으로 최신 보안업데이트 하기(매뉴얼 또는 제조 기업문의 등) ⑧카메라 기능 미이용시 카메라 렌즈 가리기 등을 실천해야 한다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)