LG전자 시스템에어컨 컨트롤러의 관리자 계정 및 패스워드가 인터넷상에서 쉽게 구할 수 있는 매뉴얼에 공개돼 심각한 사회안전문제를 야기할 수 있는 것으로 드러났다. 보안불감증의 전형적인 케이스로 볼 수 있다. 시스템에어컨이란 대형 건물에 다양한 냉난방 및 환기 설비가 가능한 토탈 공조 시스템을 말한다. 즉 중요 건물의 토탈 공조시스템을 공격자가 마음만 먹으면 공격할 수 있는 상황이다.
 
◇구글로 쉽게 찾을 수 있는 LG ACP 관리자 계정=문제는 인터넷상에 누구나 다운로드 할 수 있는 LG ACP(Advanced Control Platform/LG전자 냉난방 공조시스템 컨트롤러) 매뉴얼 PDF 파일에 버젓이 공개된 ID와 패스워드는 하드코딩 된 상태라 사용자가 수정할 수도 없어 악의적 공격자가 이를 이용해 원격에서 얼마든지 대형건물이나 병원 등의 냉난방 공조시스템을 마음대로 조작할 수 있다는 점이다.

 
공격자는 LG ACP라는 지역 컨트롤러의 웹에 접속 후 JavaVM만 설치하면 매뉴얼에 공개된 ID와 패스워드를 통해 타깃 건물에 설치된 LG전자 냉난방기 온도 조작이 가능한 상황이다.
 
LG ACP는 지역센터보다 작은 개념의 컨트롤러로 보통 건물단위로 설치가 되어 건물 내 냉난방기 및 실외기 등을 컨트롤하고 있다. 다시말해 악의적 공격자가 공개된 정보를 통해 LG냉난방기와 실외기를 마음대로 조작할 수 있다는 것.
 
◇LG전자, “고객이 요청하면 변경가능…문제없다”식 반응=LG전자 시스템에어컨 관계자는 “LG ACP에 ID와 패스워드가 하드코딩돼 있지만 사용자 ID와 패스워드를 부여하고 있고 고정 IP도 지정하도록 하고 있다. 그리고 사용자가 요청할 경우 하드코딩된 ID와 패스워드도 변경해주고 있지만 거의 요청이 없어 교체된 경우는 없다”고 해명했다.  
 
하지만 확인결과, LG ACP가 웹서비스 및 FTP 등을 사용하고 있어 해당 ACP에 접속하면 접속정보 및 LGAirc4.jar 파일을 다운받아 접속이 가능한 아이콘이 생성된다. 그 후 공격자는 마음대로 LG시스템에어컨 기기를 마음대로 조작할 수 있게 된다.
 
이렇게 LG ACP 컨트롤 웹에 접속한 공격자는 지역별로 설치된 LG시스템에어컨 관리자 시스템에 접근해 냉난방 온도 조절과 냉난방기 전력차단까지도 가능하게 된다.
 
만약 이런 공격이 병원의 중환자실이나 학교, 공공건물, 대형 쇼핑몰, 극장 등을 대상으로 이루어진다면 큰 사회 혼란을 야기할 수 있고 특히 병원은 환자들의 생명까지도 위협할 수 있는 상황이 발생할 수 있다.
 
한편 공공시설물의 경우 실내온도를 28도로 유지하도록 하고 있는데 공격자가 마음만 먹으면 온도를 마음대로 조작할 수도 있다.
 
또 공격자는 에어컨 사용량을 최대로 해서 해당기관 전력량 초과로 정전을 일으키게 할 수도 있으며 더운 여름철 대형 건물 운영을 마비시킬 수도 있다. 
 
◇구글 정보만 가지고 모대학 LG시스템에어컨 컨트롤 페이지에 접근가능=실제로 가능한지 기자가 직접 테스트를 해봤다. 구글을 이용해 LG ACP와 관련된 내용을 검색해 보면 공개된 ID와 패스워드 문서를 쉽게 찾을 수 있었다. ID와 패스워드를 알아 낸 다음, 조금만 더 검색해 보면 LG ACP를 사용하는 서울 모 유명대학의 LG ACP 시스템에어컨 컨트롤러에 접속할 수 있는 URL이 공개돼 있다는 것도 확인했다.

 
해당 URL을 클릭하면 LG전자 시스템에어컨 컨트롤 페이지가 열리고 로그인창에 공개된 ID와 패스워드를 입력하면 대학건물내 모든 시스템에어컨을 조작할 수 있는 관리자 페이지가 열린다는 것을 확인했다. 만약 악의적 공격자였다면 얼마든지 해당 대학의 냉난방 시스템을 마음대로 조작할 수 있는 상황이었다.
 
이런 상황임에도 불구하고 LG전자 측은 “고객이 패스워드 변경을 요청하면 해주고 있지만 요청하는 곳이 없어서 안해줬다”는 말만 하고 있다. 타업체도 그런 상황인가 확인해 봤지만 기본 패스워드는 설정돼 있지만 설치시 바로 교체를 하도록 하고 있다고 밝혔다.  
 
◇LG전자 보안불감증 확인…신속한 조치 필요=시스템에어컨 분야 국내 1위 기업인 LG전자의 보안불감증이 어느 정도인지 확인할 수 있는 기회였다. 문제 해결방안은 간단하다. LG전자 시스템에어컨 측은 사용자가 기본 비밀번호 변경을 할 수 있도록 조치를 해야 한다. ID와 패스워드를 하드코딩하면 안된다. 그리고 사용자가 요청하지 않더라도 즉시 교체하는 것이 맞다. LG전자 시스템에어컨 관계자가 구글 검색만 해보면 얼마나 취약한 상황인지를 바로 알 수 있는 상황이다. 신속한 조치가 필요하다.
 
만약 LG전자 측이 이 문제에 미온적 반응을 보인다면 데일리시큐는 실제로 구글에 노출된 대학과 여러 건물 관계자를 찾아가 얼마나 위험한 상황인지를 확인시키고 그들의 반응을 계속 기사화할 예정이다.
 
KISA 관계자는 “관리자 ID와 패스워드가 하드코딩 돼 있다면 정보가 유출됐을 때 대책이 없다. 특히 인터넷에 공개된 매뉴얼에 하드코딩 된 ID와 패스워드가 박혀 있는 것은 문제”라며 “패스워드는 사용자가 주기적으로 교체할 수 있도록 시스템을 수정해야 할 것”이라고 말했다. 
 
한편 LG전자는 아시아 지역 에어컨 시장 공략에 힘쓰고 있다. 8월 1일에는 싱가폴 래플스 시티 컨벤션 센터에서 고효율 시스템에어컨과 친환경 빌딩 구축용 첨단 에너지 솔루션을 소개하는 ‘LG 글로벌 냉난방공조 컨퍼런스’도 개최하며 상업용 에어컨 시장에 입지를 넓혀가기 위해 노력하고 있다.
 
그럼에도 불구하고 인터넷에 공개되는 매뉴얼에 그대로 관리자 ID와 패스워드가 공개되고 이를 사용자가 수정 할 수도 없도록 만든 LG측은 사업확장 이전에 보안과 안전문제에 더욱 신경을 써야 할 것으로 보인다. 국내뿐만 아니라 해외에서 만약 이런 문제가 제기되고 실제 문제가 발생한다면 LG전자 입장에서도 큰 타격을 입을 것으로 보인다.
 
상업용 에어컨을 포함한 세계 냉동공조산업 규모는 약 1400억 달러에 달하고 있으며 한국은 세계 4위 냉동공조산업국이다.
 
LG전자 시스템에어컨은 국내 48% 정도의 점유율 1위를 차지하고 있으며 글로벌에서도 4위에 랭크돼 있는 대표기업이다. 현재 국내 많은 대형건물과 병원, 대학, 공공기관 등에 시스템에어컨을 설치해 놓은 상태인 만큼 책임감을 가지고 신속한 조치가 필요한 상황이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com