2024-03-29 07:10 (금)
[긴급] 아파트 스마트홈에 심각한 취약점 발견…수십만 입주민 위험에 노출
상태바
[긴급] 아파트 스마트홈에 심각한 취약점 발견…수십만 입주민 위험에 노출
  • 길민권 기자
  • 승인 2017.12.13 21:19
이 기사를 공유합니다

원격에서 차량개폐기, 로비도어, 현관 도어락 스마트홈 모든 기능 제어 가능해

최근 아파트는 최신 IT기술을 적용한 스마트홈으로 입주자들에게 편리함을 제공하고 있다. 하지만 이런 편리한 아파트 스마트홈에 치명적 취약점이 존재해 악의적 해커들에게 무방비로 해킹을 당할 수 있다는 연구 결과가 나왔다. 편리함만 생각하고 보안을 고려하지않고 프로그램을 개발한 것이 원인이다. 관련 업체의 신속한 조치가 필요하다.

▲ 사진 좌측부터 이번 스마트홈 취약점을 연구한 BoB 6기 박상현, 서동조, 최소혜, 오효근, 조성준, 정한솔.
▲ 사진 좌측부터 이번 스마트홈 취약점을 연구한 BoB 6기 박상현, 서동조, 최소혜, 오효근, 조성준, 정한솔.
이 취약점을 발견한 팀은 한국정보기술연구원 차세대보안리더양성프로그램(BoB) 6기 조성준, 정한솔, 최소혜, 박상현, 서동조 연구원 등으로 구성된 ‘팀 Emohtrams’다. 멘토는 이상섭, 이경문, 오효근 PL이 팀 지도를 맞고 있다. 이 팀은 관련 취약점을 활용한 공격시연을 영상으로 제작해 유튜브에 올리고 스마트홈 보안의 취약성을 알리면서 관련 기업의 적극적인 보안강화를 요구하고 있다.

이번 연구에서 밝혀진 스마트홈 보안취약점을 악용하면 악의적 해커가 아파트로 차량을 타고 자유롭게 차량개폐기를 통과해 주차장 로비도어는 물론이고 현관 도어락까지 열고 타깃의 집안까지 무방비로 출입할 수 있다는 것이다. 이 모든 공격이 원격에서 제어가 가능하다는 것도 위험하다.

팀 Emohtrams는 “지금까지 프로젝트를 진행하면서 스마트홈의 기능이 별도의 인증절차 없이 동작하고 있는 것을 알게 됐다. 이 취약점을 이용해 다양한 시연에 성공했고 그중 일부를 영상으로 공개했다”며 “이 취약점이 존재하는 스마트홈 시스템을 개발한 업체는 385개의 아파트 단지를 관리하고 있으며, 단지 당 500세대라고 가정하면 19만2천500세대가 해킹이 가능한 상태이고, 세대 당 3명이라고 가정하면 57만7천500명이 해당 취약점에 노출되어 있는 상태”라고 밝히고 업체 측의 신속한 취약점 제거를 촉구했다.

스마트홈 시스템의 취약점을 좀더 자세히 살펴보면 다음과 같다.

◇단지 내 차량 개폐기 원격 제어

먼저 입주자 차량은 번호판이 조회되어 개폐기가 자동으로 열린다. 반면 방문객의 경우 경비실 또는 해당 세대에 출입을 허가 받아야 한다. 하지만 이와같은 인증절차 없이도 개폐기 조정이 가능한 것이다. 해커는 차량 내부에서 개폐기 취약점을 이용해 개폐기를 원격에서 작동시킬 수 있다. 입주자 전용 개폐기가 열리고 유유히 아파트 주차장으로 향할 수 있다.

◇로비도어의 경우도 차량 개폐기와 같은 원리로 제어 가능

주차장에 도착한 해커는 취약점을 이용해 로비 도어도 원격 제어가 가능하다. 로비도어 원격 조정을 통해 로비도어를 열고 엘리베이터를 타고 타깃의 현관문 앞에 도착한다.

◇현관문 도어락을 원격에서 열 수도 있어

현관문 앞에 도착한 해커는 원격의 또 다른 해커에게 문자로 연락해 도어락을 열라고 지시한다. 원격에 있는 해커는 타깃의 현관문 도어락을 제어해 문을 열어주고 해커는 자유롭게 타깃의 집 안까지 침입할 수 있다.

◇아파트 조명 원격 조종도 가능

한편 조명조종 기능은 입주자가 자신의 집 조명을 조정할 수 있도록 구현해 놓은 기능이다. 하지만 이 또한 인증절차가 취약하다. 해커는 이 취약점을 이용해 조명을 원격으로 조종할 수 있다. 해커가 아파트 1층 공원에서 원하는 집의 조명을 껏다 켰다 할 수 있는 것이다.

팀 Emohtrams는 “이외에도 난방 조종, 방문자 기록 확인, 차량 출입기록확인, 입주민 공지사항 확인 등 해당 서비스에서 제공하는 모든 기능을 제어할 수 있다”며 “심지어 가정내 월패드 카메라도 제어가능하며 CCTV까지 제어할 수 있다. 해당 업체가 관리하는 모든 아파트의 스마트홈 시스템은 원격 해커가 자유자재로 악용할 수 있는 상황이다. 신속한 대처를 바란다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★