세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[10월 4주 뉴스쌈] 스파이 로봇의 탄생, LG 홈봇으로 집안을 해킹하다
  |  입력 : 2017-10-28 10:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
LG 홈봇과 프라이버시, 유럽연합 집행위원회의 백도어 반대
도미노 피자와 스팸 메일, CEO의 비밀번호, 제이쿼리 디페이스


[보안뉴스 오다인 기자] “연결될수록 취약하다.” 몇 달 전, 어느 취재원이 지나가듯 남긴 말입니다. 오래도록 기억에 남았습니다. 모든 것을 연결하는 사물인터넷은 편리하고도 발전한 세상의 표상 같이 느껴지지만, 밝은 만큼 그림자도 짙기 마련이겠지요. 로봇 청소기의 눈으로 다른 누군가의 집안을 들여다보고 나니 그 그림자가 더 짙게 다가왔습니다.

10월 넷째 주 뉴스쌈은 LG 로봇 청소기 ‘홈봇’ 해킹과 함께 유럽연합 집행위원회의 백도어에 대한 입장 표명, 도미노 피자 고객들이 스팸 메일을 받게 된 배경, CEO들의 비밀번호 유출 통계, 그리고 제이쿼리 디페이스 소식을 묶었습니다. 이번 주말도 편안하고 즐겁게 보내시길 바랍니다.

[이미지=iclickart]


LG 로봇 청소기 해킹으로 타인의 집안을 엿보다
집을 청소하는 로봇이 어느 날 스파이로 변신해 집안 곳곳을 누비며 해커의 눈이 된다면 어떤 일이 벌어질까요? 보안 업체 체크포인트(Check Point)가 이를 시연했습니다. 26일 체크포인트는 블로그를 통해, LG가 제조한 스마트홈 기기에서 취약점을 발견한 뒤 이를 통해 누군가의 프라이버시가 어떻게 어디까지 침해될 수 있는지 밝혔습니다. 먼저, 아래 영상을 참조해주세요.



영상에서 보시듯, 체크포인트 연구진은 보안 카메라와 움직임 탐지 센서가 장착된 LG 홈봇을 해킹해 집안 곳곳을 제 집처럼 누빌 수 있었습니다. LG 홈봇은 100만 명 가량이 사용하고 있는 로봇 청소기입니다. 체크포인트는 해당 취약점에 대해 지난 7월 31일 LG 측에 공지했으며, 이에 LG는 9월 말부터 패치된 버전의 스마트씽큐(SmartThinQ) 애플리케이션과 기기를 출시했다고 설명했습니다.

유럽연합 집행위원회가 백도어에 반대를 표명했다
유럽연합 집행위원회(European Commission)가 암호화를 우회하기 위해 백도어를 심는 방안에 대해 반대를 표명했습니다. 유럽연합 집행위원회는 “사법 및 수사당국이 범죄 수사 시 암호화에 직면하게 될 때, 암호화를 약하게 만들어서 무분별하게 많은 사람들에게 피해를 입히는 것을 제하고 다른 방법을 제안한다”고 말했습니다. 그 방법이란 해독화 기술을 더 향상하고 공유하는 것을 가리킵니다.

해외 보안 매체 인포시큐리티(InfoSecurity)는 경찰이 아이폰이나 왓츠앱처럼 강력한 암호화 기기 및 서비스를 해독할 능력이 없다는 사실을 고려할 때 이 같은 결정이 매우 희귀한 것이라고 설명했습니다. 또한, 자국의 해독화 기술과 전문성을 다른 국가와 공유하려는 국가는 찾기 어려울 것이라고도 덧붙였습니다.

도미노 피자 고객들이 스팸 메일 폭탄을 받은 이유는?
도미노 피자 호주지사가 전 공급업체에 고객정보 유출 책임을 묻고 나섰습니다. 도미노 피자 CEO 돈 메이지(Don Meij)는 19일 도미노 홈페이지를 통해 "지난 몇 주 동안 수많은 고객들이 서드파티로부터 원치 않는 이메일, 즉 스팸 메일을 받았다고 보고해왔다"며 "해당 이메일에서 고객의 이름과 거주지가 그대로 적시됐다"고 말했습니다. 메이지는 "이런 정보는 도미노의 전 공급업체가 관리하던 온라인 평점 시스템에 포함된 것들이었다"며 이 업체가 정보 유출에 책임이 있을 것으로 보인다고 설명했습니다.

도미노 피자는 서드파티에 의해 유출된 정보에는 금융 정보가 포함돼 있지 않으며 도미노 지점명, 고객 주문명, 고객 이메일 주소 등이 포함돼 있다고 말했습니다. 도미노는 고객들에게 스팸 메일을 받으면 링크를 클릭해선 안 된다고 경고했으며, 첨부된 파일도 열어서는 안 된다고 조언했습니다.

CEO 세 명 중 한 명, 회사 이메일 비밀번호 유출
보안 업체 F-시큐어(F-Secure)가 새롭게 발표한 연구에 따르면, 세계 정상급 기업 CEO들의 30%가 비밀번호를 유출당한 것으로 나타났습니다. 온라인 서비스 이용 시, 회사 이메일 주소로 등록하는 경우가 많은데요. 등록한 서비스 사이트가 해킹당할 경우 기업 CEO들의 비밀번호도 동시에 유출된다는 겁니다. F-시큐어는 이런 수법으로 CEO와 그 기업이 사이버 공격의 타깃이 될 가능성이 높다고 지적했습니다.

F-시큐어는 10개 국가의 200여개 대기업 CEO를 대상으로 회사 이메일 주소를 조사했습니다. 그 결과, CEO의 81%가 스팸 이메일이나 유출된 마케팅 데이터베이스를 통해 이메일 주소, 전화번호, 주소, 생년월일 등의 개인정보를 유출당한 것으로 나타났습니다. F-시큐어는 CEO들이 회사 이메일과 관련한 정보 침해를 가장 많이 겪게 된 서비스는 링크드인과 드롭박스였다고 지적했습니다.

제이쿼리 공식 블로그, 해킹된 뒤 디페이스
제이쿼리(jQuery)의 공식 블로그가 신원 미상의 해커로부터 공격을 받아 디페이스 당했습니다. 이 해커는 ‘str0ng’과 ‘n3tr1x’라는 가명을 사용했습니다. 해외 보안 매체 해커뉴스(Hacker News)에 따르면, 제이쿼리 블로그는 워드프레스로 구축됐으며, 제이쿼리 파일을 호스트하는 서버가 침해됐다는 증거는 아직까지 드러난 바 없다고 합니다.

해커뉴스는 디페이스된 블로그 포스트가 리아 실버(Leah Silber)라는 제이쿼리 팀의 핵심 멤버에 의해 등록된 것으로 돼 있지만, 해커가 예전에 유출된 비밀번호를 재사용해서 실버의 계정을 침해한 뒤 포스트를 등록했거나 워드프레스 스크립트와 서버 취약점을 공략해 웹사이트에 접근한 것으로 보인다고 설명했습니다. 제이쿼리는 2014년에 메인 홈페이지가 해킹돼, 웹사이트 방문자가 악성 페이지로 리디렉션 되기도 했습니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)