세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
1억대 사물인터넷의 위기? Z-웨이브에서 취약점 나와
  |  입력 : 2018-05-25 10:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
1억대가 넘는 장비에서 사용 중인 무선 통신 프로토콜, 공략 가능
일부 보안 전문가들은 “공격 실현 가능성 매우 낮아 리스크 없다” 주장


[보안뉴스 문가용 기자] Z-웨이브(Z-Wave)라는 무선 통신 프로토콜에서 취약점이 발견됐다. 이 프로토콜은 사물인터넷 1억대에서 사용되고 있는 것으로 가정 자동화 관련 장비에서의 도입 비율이 높은 것으로 알려져 있다. 최대 100m까지의 근거리 통신을 가능하게 해주며 젠시스(Zensys)가 2001년 개발해 2008년 시그마 디자인즈(Sigma Designs)에 팔았다. 보다 최근에는 실리콘 랩스(Silicon Labs)가 2억 4천만 달러에 기술을 사들이기도 했다.

[이미지 = iclickart]


또한 Z-웨이브의 기술 발전 및 향상을 위한 조직도 있는데, 이름은 Z-웨이브 연맹(Z-Wave Alliance, ZWA)이다. ZWA에 의하면 Z-웨이브 프로토콜을 도입한 기업은 700개 정도이며, 가정 자동화 장비 2400종에 적용되어 있다고 한다. 스마트 온도계나 잠금장치, 가정용 모니터링 시스템 등이 여기에 포함된다.

그런데 영국의 보안 업체인 펜 테스트 파트너즈(Pen Test Partners)가 최근 Z-웨이브를 분석하다가 해킹 가능성을 발견해냈다. 일정 거리 내에 있는 해커가 페어링 과정에 개입함으로써 통신을 크래킹할 수 있다는 것이다. 그러면서 가정 자동화 장비로 잠긴 문을 여는 데에 성공했다. 이 공격법을 Z-쉐이브(Z-Shave)라고 명명했다. “Z-웨이브에 기반을 둔 모든 장비에 적용 가능합니다.”

Z-웨이브는 통제 장치와 클라이언트 장비 사이의 통신을 안전하게 보호하기 위해 공유된 네트워크 키를 사용해 페어링을 한다. 페어링 과정의 최초 버전은 S0이라고 하는데, 지난 2013년에 스니핑 공격에 당할 수 있음이 증명된 바 있다. 그래서 등장한 것이 S2다.

S0의 문제는 네트워크 키를 보호하는 데에 있어 이미 알려진 암호화 키(0000000000000000)를 사용한다는 것에 있었다. 공격자가 충분한 거리만 확보할 수 있다면 얼마든지 통신을 가로챌 수 있게 해주는 부분이었다. S2에서는 보다 강력한 암호화 알고리즘이 사용되면서 이 부분이 해결됐다. 하지만 펜 테스트 파트너즈가 S2 연결 방식을 S0으로 다운그레이드 함으로써 공격이 가능하다는 걸 밝혀낸 것이다.

물론 다운그레이드가 쉬운 것은 아니다. 최초 페어링이 발생할 때 해커가 그 자리에 있어야만 한다. 이에 펜 테스트 파트너즈 측은 “배터리로 가동되는 해킹 기기를 공격 표적이 되는 장비 근처에 놔두기만 해도 그 문제는 해결된다”고 말한다. 즉 해커가 한 자리에 내내 있을 필요가 없다는 것이다.

사이버 보안 업체인 센스포스트(SensePost)는 “이러한 다운그레이드 공격 기법은 이미 작년에 발견된 것”이라고 말한다. 다만 당시에는 “실제 공격 가능성이 극히 낮다고 판단됐기 때문에 대대적으로 발표하지는 않았었다”고 한다.

현재 Z-웨이브 프로토콜을 보유하고 있는 실리콘 랩스 측 역시 “이번에 발견된 공격 기법으로 인한 리스크 수준은 낮은 것으로 판단된다”며 “아직 한 번도 비슷한 사고 사례가 발견된 바가 없다”고 발표했다. “최초 페어링 및 장치 재설치 순간에 그 근처에 있는 공격자가 공격을 실행할 수 있어야만 성공하는 방법인데, 그 확률이 얼마나 높을까 의문이 듭니다.”

게다가 Z-웨이브 기반의 장비들은 배터리 절전 모드에 도입해 무선 주파수 옵션을 꺼두는 것도 가능하고, 실제 그런 식으로 운영하는 사용자들도 많다고 실리콘 랩스는 주장했다. “때문에 공격의 실현 가능성은 굉장히 낮다고밖에 볼 수가 없습니다. 또한 S2 통제기는 페어링 과정에서 사용자에게 경고를 주기 때문에 사용자가 모를 수가 없습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)