2019-12-16 09:15 (월)
[영상] 스마트 주전자 이용해 와이파이 패스워드 해킹 시연
상태바
[영상] 스마트 주전자 이용해 와이파이 패스워드 해킹 시연
  • 길민권
  • 승인 2015.10.23 01:07
이 기사를 공유합니다

“해커, 스마트 주전자 통해 사용자 내부망에 침입할 수 있어”
영국보안업체 펜테스트 파트너스(Pen test partners) 연구원 캔 먼로(Ken Munro)는 스마트 주전자를 통해 와이파이(WIFI) 패스워드 절취 과정을 시연해 보였다.
 

이 실험을 통해 사물인터넷에 보안위협이 존재한다는 사실을 다시 한번 증명했다고 외신들은 보도하고 있다. 실험대상은 특정 스마트폰에서 원격 조종이 가능한 가정용 스마트 주전자 ‘아이케틀(ikettle)’이었다.
 
그는 “사회공학으로 획득한 데이터, 지향성 안테나, 네트워크 장비만 있으면 아이케틀이 접속한 와이파이 패스워드를 절취할 수 있다”고 설명했다.  
 
사용자는 트위터를 통해 아이케틀과 통신하며, 스마트 주전자를 사용하는 사용자가 타깃이면 우선 이 사용자의 트위터 계정을 알아야 한다.
 
만약 특정 주전자 설정에 결함이 존재하면, 해커는 wiggle.net의 데이터베이스를 통해 관련 정보를 검색할 수 있다. 이 사이트는 ‘Wireless Geographic Logging Engine’이라고 불리우며, 전세계 무선 핫스팟 정보를 수집한다. 또한 사용자가 서비스를 신청 후 관련 정보 핫스팟(예를 들어 GPS좌표, 이름, MAC주소, 인코딩 유형)을 제출할 수 있다.

 
해커가 타깃을 공격하려면 목표 사용자는 트위터에서 스마트 주전자와 정보를 주고받아야 하며, Wireless Geographic Logging Engine 서비스를 사용하는 과정이 있어야 한다. 따라서 조건을 만족시켰다면 해커는 192.com 데이터베이스를 통해 데이터 검색 후 필요한 좌표와 IP정보를 획득한다. 이렇게 되면 해커는 타깃의 내부망에 침입할 수 있다는 것이다.
 
캔 먼로는 “만약 사용자의 스마트 주전자 설정에 결함이 있다면 해커는 스마트 주전자를 통해 쉽게 사용자의 내부망에 침입할 수 있다. 해커는 스마트 주전자가 연결한 무선 인터넷과 같은 이름의 무선 인터넷을 만든 후 신호가 높은 핫스팟을 사용하면 스마트 주전자는 자동으로 해당 무선 인터넷에 연결된다. 다음 지향성 안테나를 통해 사용자의 위치를 파악할 수 있으며, 내부망에 침입 후 스마트 주전자에 명령을 전송하면 암호화되지 않은 와이파이 패스워드가 유출될 수 있다”고 설명했다.
 
캔 먼로는 이미 이런 상황을 관련 당국에 보고했다고 밝혔다. 그는 “트위터에 대한 분석을 통해 해당 기법으로 아이케틀 사용자를 찾을 수 있으며, WPA PSK코드도 검색할 수 있다. 따라서 가정용 공유기를 제어 후 다양한 공격을 펼칠 수 있다”고 밝혔다. 또한 “해커는 사용자를 악의적 웹사이트에 하이재킹이 가능하며, 악성 소프트웨어를 삽입 후 피싱 또는 스니핑도 가능하다”고 경고했다.

뉴스제공. 씨엔시큐리티 / www.cnsec.co.kr
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com