우리집에 나 말고 집주인이 따로 있을 수 있다

스마트 홈 기능의 심장을 뚫고 우리집을 자유자재로 조절 가능?

알고 있지만 그대로 방치하는 이유는 일부러 그렇게 설계했기 때문

[보안뉴스 주소형] 스마트 폰과 스마트 카에 이어 이제 ‘스마트 홈(smart home)’이 대세다. 알아서 척척 집안일도 해주고 우리집을 안전하게 지켜주는 똑똑한 가전제품들과 기술들이 아우러져 조성된 집이니 간편함과 편리함을 추구하는 현시대에서 인기가 높을 수밖에 없다. 그런데 이게 아직은 위험하다고 한다. 각박한 세상에서 집에서만은 내가 왕이어야 하는데 그 자리마저 위협을 받을 수 있다는 것. 그것도 매우 쉽고 허무하게 말이다.

▲ “여기는 우리집이야”

실제로 지난 2013년에 해커가 홍콩의 베라 스마트 홈(Vera Smart Home)에 사이트 간 요청변조(CSRF, Cross-Site Request Forgery) 방식만을 사용하여 해당 집안 기기들의 완벽한 통제권을 손에 넣은 바 있다. 가정자동화 제어기(Home automation controller)의 통신 흐름을 손에 넣음으로써 연결되어 있는 가정 네트워크 기기를 전반적으로 제어하는 게 가능해진 사건이었다.

“사용자가 집에서 인터넷 서핑을 함으로서 피해자가 될 수 있다. 방문한 웹 사이트에 심어져 있던 멀버타이징에 감염되면, 해당 흐름이 해커의 서버로 연결되고 아무도 몰래 집안 기기의 가정자동화 제어기 안에 있는 펌웨어(firmware)에 악성코드가 심어지게 된다.” 보안 서비스기업인 라코니클리(Laconicly LLC)의 창립자 리오(Rios)가 말했다.

여기서 가정자동화 제어기란 모든 스마트 홈 기기의 심장과 같은 존재다. 이를 해킹하면 집안의 난방, 환기, 공기, 현관 및 차고 출입 통제 등 모든 것의 조정이 가능하다. 기기나 성능에 따라서 원격 조정이 가능해지는 것도 상당수다. “펌웨어는 기기의 뇌에 해당된다. 이를 통해 집안의 모든 것을 통제할 수 있다. 이처럼 중요한 펌웨어가 뚫리면 집은 이미 내 손을 떠난 것으로 보면 된다. 한 마디로 게임오버다”라고 리오는 설명했다.

2013년에 이미 그 위험성이 발견 및 증명됐음에도 불구하고 왜 아직까지 같은 취약점이 유효한 상태로 남아있는 것일까? 당시 베라 스마트 홈 측은 이에 대해 “일부러 그렇게 설계한 것이다. 이 문제를 바로 잡을 계획이 없다”라는 입장을 밝혔다. 이유인 즉슨 고객들이 커스터마이징을 위해 네트워크를 오픈시켜 놓기를 원하기 때문이란다. 게이트웨이에 제재를 가하게되면 스마트 홈이라는 이름에 걸맞지 않게 되어버린다고 것. 스마트 홈은 간편하게 어디서든 휴대폰 등으로 집안 기기들을 조절하는 것이 핵심인데 접속이 용이하지 않으면 아무 소용이 없어지기 때문에 취약해도 어쩔 수 없고, 그래서 애초에 일부러 그렇게 만들었다는 것이다.

그런데 이 같은 대응은 비단 베라 사만의 특징이 아니다. 다른 사물인터넷(IoT) 판매업체들도 마찬가지다. 취약한 것을 알지만 일부러 그렇게 설계했다는 다소 뻔뻔할 수 있는 입장 말이다. 교통 시스템 센서를 설계한 센시스 네트웍스(Sensys Networks)에서도 가정자동화 센서와 동일한 암호화되지 않은 통신 흐름이 발견됐다. 이에 따라 해커가 얼마든지 중간에 권한을 가로챌 수 있다는 것이 밝혀졌지만 그 통신은 고객들의 니즈에 따라 일부러 그렇게 만들어진 것이어서 그대로 유지하겠다는 입장을 고수했다.

최근 베라 사는 새로운 버전으로 “시큐어 투 클릭(Secure to click)"이라는 종전대비 공격을 완화시키는 펌웨어를 내놨다. 그런데 리오에 따르면 그 최신 펌웨어도 여전히 현실적으로 안전에 실효성이 없다. 또한 펌웨어 분야는 다른 취약한 부분들 대비 알려지지 않으며 제조사 외에는 손을 대려고 하지 않는 업계의 불문율 같은 것이 있어 방치되고 있다는 점도 지적했다.

그는 가정자동화 제어기에 한번 침투했다는 것은 해커가 모든 홈 네트워크에 접근할 수 있다는 것을 의미한다고 강조했다. 지금 공개적으로 알려진 가정자동화 제어기 회사가 베라 사기 때문에 베라 사만 언급했지만 다른 가정자동화 제어기 회사들도 사실 비슷한 상황이라고 설명했다.

“사실 사물인터넷을 기반으로 하는 많은 업체들이 이와 연관이 있다. 문제는 그들은 이를 지속적으로 사소하고 당연한 것으로 취급하며 사태의 심각성을 인지하지 않고 있다는 점이다. 이는 상당히 심각한 취약점이다. 펌웨어와 애플리케이션 코드 승인 절차를 추가적으로 도입하는 것도 공격을 막는 데 도움이 될 수 있다. 메타스플로잇(Metasploit) 모듈을 만드는 것도 추천한다.”

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)