스웨덴 자물쇠 제조업체인 A사가 제작한 전자잠금 시스템은 166개 국가의 4만2천개 이상의 지역에서 사용되고 있으며, 수백만 개의 호텔 객실은 물론 차고 및 보관실에도 사용되고 있다.
이러한 전자 잠금 시스템은 호텔에서 흔히 볼 수 있는 기능으로 호텔에 들어갈 수 있는 곳에 대해 제어할 수 있는 기능을 제공하고, 엘리베이터가 멈추는 층을 제한하는 등에 사용된다. 손님이 체크아웃할 때 키를 지우고 다시 사용할 수 있게도 한다.
그런데 이 카드가 생각보다 안전하지 않다는 것이다.
F-Secure(에프시큐어)의 토미 튜오미넨(TomiTuominen)과 티모 히르보넨(TimoHirvonen)은 좁은 간격으로 동작할 수 있는 마스터키를 만들 수 있었다고 밝혔다.
어떤 카드도 이용 가능하다. 오래되거나 만료된, 심지어 폐기된 카드 조차도 공격에 사용될 잔여 데이터를 충분히 보유하고 있다. 연구원들은 사용자 정의 소프트웨어를 실행하는 장치를 사용해 무선 라디오 주파수 식별(RFID) 또는 자기 스프라이프를 사용하는 카드의 데이터를 훔쳐낼 수 있다. 그런 후 호텔을 식별하는 도난당한 키 데이터를 조작하여 최고 수준의 권한을 가진 액세스 토큰을 생성하고 건물 모든 공간에 대한 마스터 키로 동작할 수 있게 된다.
연구원들은 10년에 걸친 연구를 통해 이와같은 결과물을 만들 수 있었다. 2003년 동료의 노트북이 호텔방에서 도난당했을 때 그들은 호텔키에 대한 우회연구를 시작했다. 특별한 외부압력이나 무단 접근의 흔적이 없어 호텔 직원이 이 사건을 인정하지 않았다고 한다. 그래서 그들은 스마트 잠금장치의 주요 브랜드들을 조사했고 시행착오 끝에 이런 결과물을 만들어 내었다고 한다.
연구원들은 "2015년에 RFID 데모 환경을 구축했고, 2017년 3월에 실제 호텔을 대상으로 첫 마스터키를 만들어 낼 수 있었다. 이 모든 과정은 상당한 시간과 노력이 필요했다. 아마 누군가가 이와 같은 공격을 해내기 위해서는 상당한 시간이 필요할 것이고, 우리는 지금 이 공격을 실제 수행하고 있는 이가 있는지는 알지 못한다”라고 설명했다.
이 발견으로 A사는 결함을 수정하기 위한 보안패치를 발표해야만 했다. 그들의 공개일정에 따르면 이 회사는 2017년 4월에 취약점에 대해 보고를 받았고, 이후 몇 달 동안 결함 수정을 위해 미팅을 가졌다.
그러나 패치에 관한 세부정보는 거의 없고, 앗사 아블로이의 대변인은 아직 답을 하지 않고 있다. 이 회사는 2018년 초 패치를 제공했으나 얼마나 많은 호텔이 패치를 받은 건지는 알려지지 않았다.
소프트웨어는 중앙 서버에서 패치되지만, 펌웨어의 경우는 각 사용자가 업데이트해야 만 한다.
★정보보안 대표 미디어 데일리시큐!★