사물인터넷 산업이 발전하면서 관련 보안성 문제도 많은 사람들의 관심사이다. 최근, 펜테스트 파트너스(PenTest Partners)사에서 IoT 초인종을 이용해 와이파이(WiFi)패스워드를 획득하는 방법을 공개해 사람들을 놀라게 한 바 있다.
 
일반적으로 IoT 초인종을 설치하면 관련 앱을 통해 집밖의 상황을 관찰할 수 있다. 그러나 여기에 WiFi 패스워드 유출이 가능한 취약점이 존재한다.
 
PenTest Partners 연구원은 “모든 초인종은 집밖에 설치되어 있으며, 몇 분이면 쉽게 뜯어낸 후 뒷부분에 있는 오렌지색상의 버튼을 이용해 초인종의 무선 부품을 AP형식으로 교체할 수 있다”고 설명했다.

 
IoT 초인종을 사용하려면 무선 공유기와의 연결이 필요하며, 초인종을 무선 공유기와 연결하려면 반드시 무선 공유기의 패스워드가 필요하다. 초인종을 뜯어보면 회로, 전자부품과 리튬 배터리 그리고 USB 충전 포트와 설정버튼으로 구성되었다.
 
또한 초인종은 4개의 T4나사를 이용해 고정시킬 수 있으며, 초인종 뒷부분을 보면 오렌지색상의 버튼이 존재한다.
 
이 무선 모듈은 Gainspan에서 제조되었으며, 하나의 웹서버 모듈이 포함되었다. 공격자는 스마트폰을 이용해 해당 서버에 연결이 가능하며, 웹브라우저를 통해 액세스할 때 해당 URL 링크를 이용해 무선 모듈의 설정파일 권한을 획득할 수 있다. 이 무선 모듈의 설정파일 중 와이파이 네트워크의 SSD와 PSK패스워드가 포함되어 있다.
 
이렇게 되면 공격자는 네트워크 액세스 권한을 획득 후 무선으로 연결된 장비를 공격할 수 있다.
 
현재 PenTest Partners에서 관련 업체에 통보했으며, 관련 업체는 펌웨어 업데이트를 발표했다. (뉴스제공. 씨엔시큐리티)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com