Home > 전체기사
삼성 스마트씽에서 네 가지 공격 가능성 발견돼
  |  입력 : 2016-05-03 11:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인증 시스템에서 발견된 오류로 ‘사용자인 척’
안드로이드 앱 스토어에 있는 앱과 피싱 통해 다수 공격도 가능


[보안뉴스 문가용] 사물인터넷의 위험성에 대한 이야기가 사그라지지 않는 가운데 미시건대학교와 마이크로소프트의 연구원들이 ‘스마트홈’ 시스템의 보안연구를 실시했다. 특히 구글 안드로이드 앱 다운로드 수를 기준으로 사용자가 가장 많은 것으로 알려져 있는 삼성의 스마트씽(SmartThings) 플랫폼을 집중 탐구했다.

그 결과 앱 설계 오류를 통한 네 가지 종류의 공격이 가능했으며, 인증 시스템에도 취약점이 발견돼 해커가 ‘실제 사용자’인 것처럼 로그인 해 스마트씽 클라우드 플랫폼에 접근하는 게 가능하다는 사실이 발견되었다.

그중 가장 심각한 건 가장 유명한 인증 프로토콜 중 하나인 오오스(OAuth)를 스마트씽에 구현하다 발생한 오류로, 연구원들은 스마트씽을 통제하는 앱 중 하나를 공격, 원래는 보이지 않아야 할 특정 코드를 읽어 들이는 데 성공했다고 한다. 그리고 이를 통해 스마트씽의 웹 서버로 접근할 수도 있었다. 해당 앱이나 웹 서버의 이름은 공개하지 않았다.

그래서 어떤 공격을 할 수 있었을까? 와이어드(Wired)에 의하면 “단순히 도어락 시스템을 해제시켜 공격자가 원하는 때에, 원하는 대로 집에 들락날락 할 수 있을 뿐만 아니라 백도어를 심을 수 있게 된다”고 한다. 이 백도어를 통해 집안을 사실상 자기 통제 하에 둘 수 있다는 것. “또한 한 명의 피해자만을 노리는 게 아니라 다수를 한 번에 공격하는 것도 가능하다”고 미시건대학의 아툴 프라카시(Atul Prakash) 교수는 말한다.

연구원들은 이 사실을 삼성 측에 알렸고, 현재 삼성은 수주 째 이 문제들을 해결 중에 있다고 밝혔다. 하지만 삼성은 “공격은 악성 스마트앱을 사용자가 설치하거나 스마트씽 가이드라인을 지키지 않은 개발자의 실수가 있어야만 성립된다”며 사실상 자사의 문제는 아니라고 책임을 회피했다고 와이어드지는 보도했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향