2024-03-29 04:05 (금)
LG전자, 보안위해 매뉴얼 수정…답변서 보내와
상태바
LG전자, 보안위해 매뉴얼 수정…답변서 보내와
  • 길민권
  • 승인 2012.08.10 10:08
이 기사를 공유합니다

LG전자, “ACP 매뉴얼에 ACP 설치 후 ID/PW변경 권고문 첨부할 것”
LG전자 시스템에어컨을 원격에서 PC로 컨트롤할 수 있는 LG ACP 관리자 계정이 구글검색을 통해 매뉴얼에 그대로 노출되고 노출된 계정정보를 이용해 악의적인 공격자가 LG 시스템에어컨을 마음대로 조작할 수 있다는 기사가 데일리시큐에 지난 8월 3일 게재됐다.
-관련기사: www.dailysecu.com/news_view.php?article_id=2691
 
LG ACP의 관리자 계정이 하드코딩돼 있어서 수정할 수 없고 그 계정이 구글에서 검색으로 찾을 수 있어 사회적 문제를 야기할 수 있다는 데일리시큐 기사에 대해 LG전자는 최초 “고객이 패스워드 변경을 요청하면 해주고 있지만 요청하는 곳이 없어서 안해줬다”고 답변했다.
 
구글 검색만으로도 서울 모 대학 LG전자 시스템에어컨 컨트롤 사이트에 접속이 가능하다는 것도 확인돼 KISA에서도 확인후 LG전자에 보안조치를 해줄 것을 권고한 바 있다.
 
이에 LG전자는 2차에 걸쳐 데일리시큐에 답변서를 보내왔다. 기사에서 팩트에 맞지 않는 부분과 향후 보안대응 방안에 대한 내용들이었다.
 
우선 LG전자 시스템에어컨측은 “ID와 PW는 인터넷에 공개된 매뉴얼에 기재된 것이 맞다. 네트워크 제품은 초기 관리자 ID와 PW를 매뉴얼에 기재하는 것이 일반적이다. 다만 사용자들에게 설치 초기에 네트워크 보안을 위해 ID와 PW를 변경할 것을 권고하는 내용이 누락된 것을 인정한다”고 밝혔다.
 
다만 “ID와 PW는 사용자가 변경을 할 수 없는 것이 아니라 기본 ID와 PW를 삭제후 신규 ID와 PW 생성이 가능하다”고 설명했다. 하지만 “관리자가 초기 ID와 PW를 변경하지 않을 경우 악의적 공격자가 접속해 조작이 가능하다”며 “향후에는 설치 초기에 사용자들로 하여금 초기 ID와 PW를 변경하도록 권고하고 매뉴얼에도 해당 문구를 첨부하겠다”고 밝혔다.
 
또한 “일반적으로 LG 시스템에어컨에서는 사설 고정 IP를 사용하도록 권유하고 있으며 특별한 사용자의 요구가 있을 경우에만 공인 IP를 사용한다”고 밝히고 “최초 기사에서 공격자가 에어컨 가동을 최대로 올려 정전을 유발할 수 있다고 했는데 대형 건물에는 에어컨 냉방 최대 용량을 고려해 전력 설계를 하기 때문에 에어컨을 풀가동한다고 해도 정전이 일어나거나 운영이 마비되는 경우는 없다”고 해명했다.
 
기사에서 모 대학의 LG ACP 관리자 페이지가 열린 것에 대해 “구글 검색으로 공개된 ACP URL은 없다. 다만 기사상의 대학교에 설치된 ACP 5대 중 1대의 ACP IP가 구글에서 검색되고 있다. 기사에서는 일반에게 공개되지 않는 ACP의 주소를 간단한 검색으로 다량 얻을 수 있는 것으로 언급되고 있지만 실제 그렇지 않다. 기사상의 ACP가 구글에서 검색되는 유일한 ACP다”라고 해명했다.
 
그리고 “기사 내용과는 달리 대학 건물 내 모든 에어컨을 조작할 수는 없다. 해당 ACP에 연결된 에어컨만 조작이 가능한 상황이었다”고 덧붙였다.
 
이러한 답변에 데일리시큐는 몇가지 추가 의문에 대해 질의서를 보냈다. 이에 대해 LG전자가 추가 답변을 보내왔다.
 
데일리시큐가 LG전자 시스템에어컨 측에 보낸 추가 질의서 내용은 이렇다.
1. 예를 들어 A라는 병원 IP를 알면 LG ACP가 기본적으로 같은 대역 IP를 사용한다. 그나마 사설IP로 인터넷과 분리해서 단일 네트워크로 폐쇄망 형식으로 ACP와 관리PC 전용 네트워크를 만들었다면 어느 정도 보호는 되겠지만 하지만 내부를 따로 분리했다 해도 접점은 있기 마련이다. 어떻게 생각하나?
2. 만약 A라는 병원이 111.222.X.XX라는 IP를 쓰는걸 알았다면 LG ACP가 단일 네트워크 구성이 아니고 인터넷에 연결된 상태라면 유추 가능한 IP를 사용할 가능성이 높다. 저 대역에서 80번 포트를 사용하는 단말기를 찾아보면 ACP도 나올 수 있을 것이다. 아닌가?
3. 즉 LG시스템에어컨을 설치한 건물에서 사용하는 IP만 확보하면 LG ACP관리자 페이지에 접근이 가능하다는 것이다. 어떻게 생각하나?
4. LG ACP 매뉴얼에 보면 분명히 하드락키라고 언급하면서 ID와 PW를 공개하고 있다. 제보자도 LG시스템에어컨측에 문의한 사항이며 변경하려면 SW를 변경하여야 한다는 답변만 돌아왔다고 한다. 또한 직접 변경해보려 했지만 변경이 불가했다고 한다. LG전자 시스템에어컨 지역 엔지니어는 해당 ID/PW는 관리자용이라 했었다. 이에 대한 해명이 필요하다.
5. 또한 모 건물 내부자가 LG ACP IP를 정확히 알고 있고 공개된 ID와 PW를 알고 있다면 악의적인 마음만 먹으면 얼마든지 내부자에 의한 공격도 가능하다. 어떤가?
6. LG전자 측의 향후 조치가 정확히 어떻게 이루어질 것인지 궁금하다.
 
이러한 추가 질의에 대해 LG전자 측은 다음과 같은 답변을 보내왔다.
 
LG전자 관계자는 추가 질의 내용에 대해 “보내준 사례 자체가 ACP에만 해당되기 보다는 다수의 웹 서비스(홈페이지 등 80포트를 사용하는 프로그램들) 관련 일반적인 네트워크 보안에 대한 부분으로 네트워크 운영을 담당하는 해당 기관의 보안 정책과 관련된 것이기 때문에 답변할 만한 사안이 아닌 것 같다”고 밝혔다.  
 
이어 “다만 향후 LG전자 ACP 구매/설치 고객을 대상으로 보안이 되는 사설 IP 망에 ACP를 설치 및 운영하도록 유도하고 해당 기관의 요구사항으로 반드시 외부에서 제어가 필요할 경우(공인 IP 를 사용할 경우에는) 네트워크/보안 담당자와 ACP 웹서비스 보안단계를 강화하도록 협의를 진행할 계획”이라고 밝혔다.   
 
또 하드락키 및 ID/PASS 변경 관련해서 LG전자 측은 “답변에 앞서 LG전자에는 AC 매니저(설치자 모드), ACP(사용자 모드)라는 2개의 제품이 있는 상황으로 2개 제품의 개념이 혼재되어 사용되고 있는 것으로 보인다”며 “하드락키 (hard Lock Key)라는 용어는 AC 매니저의 매뉴얼에 기재되어 있다. 이 하드락키는 AC 매니저라는 소프트웨어를 초기 구동하기 위한 인증번호를 의미한다”고 설명했다.  
 
더불어 LG전자 측은 “AC 매니저 구매시 AC 매니저 소프트웨어 CD와 별도로 인증번호를 가진 USB를 고객에게 전달한다. 윈도우 OS를 설치할 때 인증받기 위해 CD 라벨에 붙어있는 16개 난수를 넣는 것처럼 USB로 인증한다”며 “하드락키와 ID/PASSWORD는 별개로, AC 매니저 사용자 ID/PASSWORD는 사용자 임의로 변경 가능하다”고 해명했다.  
 
한편 “이후 ACP 매뉴얼 상에 공장 초기 설정된 사용자 ID/PASS를 ACP 설치 후 변경하도록 권고하는 문구를 삽입토록 할 것이며 설치자 교육을 통해 설치시점에 사용자가 ID/PASSWORD를 변경토록 조치할 예정”이라고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★