2020-09-27 00:50 (일)
[NETSEC-KR] 스마트가전 해킹 현실화…보안대책 있나?
상태바
[NETSEC-KR] 스마트가전 해킹 현실화…보안대책 있나?
  • 길민권
  • 승인 2013.04.18 01:27
이 기사를 공유합니다

스마트TV, 로봇청소기 등 모든 스마트가전 해킹 가능
스마트가전에 대한 보안성평가 제도 마련 준비해야
스마트TV 등 네트워크와 연결되는 모든 전자제품이 이제는 해킹의 대상이 되고 있고 PC를 해킹하는 것 보다 우리 생활에 더 실질적 위협을 가할 수 있는 상황이 오고 있다.
 
17일 열린, 한국인터넷진흥원 주최, 한국정보보호학회 주관 제19회 정보통신망 정보보호 워크샵 NETSEC-KR 2013에서 스마트기기 보안에 대한 발표가 있었다. 해당 트랙 발표에는 이미 글로벌 해커의 반열에 올라선 그레이해쉬 이승진 수석과 고려대 김승주 교수의 발표가 관심을 끌었다.


<이미지. 그레이해쉬 이승진>
 
◇스마트TV, PC에 할 수 있는 모든 사이버공격 가능=이승진(Beist) 수석은 ‘스마트TV 시큐리티’라는 주제로 발표를 했다. 이 주제는 얼마전 캐나다 해킹보안 컨퍼런스인 CANSECWEST에서 발표가 된 주제다. 하지만 국내에서는 처음 공개된 내용인 만큼 많은 청중들의 관심 대상이었다.
 
이승진 수석은 “스마트 TV는 전세계적으로 8,000만대 이상이 판매됐고 앞으로 계속 더 보급될 예정인 만큼 이에 대한 보안 문제 논의가 이루어져야 한다는 생각에 연구를 하게 됐다”며 “스마트TV는 PC에 TV를 볼 수 있게 만든 기기로 생각하면 된다. 그래서 PC에 가할 수 있는 보안위협과 동일한 공격들이 가능하다”고 설명했다.
 
특히 그는 “연구 도중에 설문을 실시했다. 설면조사 결과 스마트TV 해킹으로 가장 우려하는 부분이 바로 프라이버시 침해문제라는 것을 알게 됐다”며 “스마트TV에는 사용자 편의를 위해 카메라와 마이크 기능이 내장돼 있는데 이를 악용해 도청, 도촬 등 심각한 프라이버시 침해를 가할 수 있다는 것이 연구결과 밝혀졌다”고 말했다.

 
이날 발표에서 거론된 내용으로는 해커가 스마트TV에 PC를 공격하는 것과 같이 웹브라우저 취약점이 있으면 이를 공격할 수도 있고 맨인더미들어텍도 가능한 상황이다. 악성코드 공격도 가능해 원격에서 해커에게 장악 당할 수 있는 취약점들이 존재하는 것으로 드러났다.
 
이 수석은 “스마트TV는 스마트폰 보다 물리적 공격에도 취약하다. 스마트TV 뒷면에 여러 개의 포트가 있다. 이를 이용해 손쉽게 해킹을 할 수 있는 상황이며 스마트TV에 대한 쉘 획득으로 원격 제어도 가능하다는 것이 밝혀졌다”고 공개했다.
 
보다 자세한 사항은 그가 운영하는 그레이해쉬 사이트에서 슬라드이드를 다운로드 할 수 있다. 또한 데일리시큐 자료실에서도 다운로드 가능하다.
-그레이해쉬: grayhash.com/2013/04/01/smart-tv-security-slides
 
◇스마트기기에 대한 보안성평가 제도 마련돼야=한편 고려대 김승주 교수는 “스마트가전 해킹 사례 및 보안성 평가·인증 방안”이란 주제로 발표를 이어갔다.
 
김승주 교수는 “스마트TV를 해킹해 카메라와 마이크를 이용한 도청과 도촬문제는 그레이해쉬에서 이미 구현에 성공한 현실상황이다. 이와 더불어 스마트TV를 악용한 피싱도 중요한 문제”라고 지적하고 “예를 들어 홈쇼핑 프로그램에서 주문전화 등을 해커가 위조해 시청자들의 전화를 해커가 받도록 할 수도 있다. 이 또한 연구결과 구현이 가능하다는 것이 입증됐다. 이를 통해 해커는 손쉽게 시청자의 민감한 개인정보, 금융정보들을 빼내올 수 있다. 진보된 피싱기술이다”라고 경고했다.
 
한편 그는 “모든 스마트기기들이 해킹의 대상이 될 수 있다. 실제로 구현도 가능한 상황이다. 로봇 청소기도 해킹이 가능하다. TV는 고정돼 있지만 로봇청소기는 해커가 원하는 위치로 이동해 도촬이나 도청이 가능하다”며 “삼성이나 LG 등 제조사들은 고유 AP를 사용하고 있는데 해커가 이를 장악하면 가정내의 네트워크에 물려있는 에어컨, 냉장고, 청소기 등 모든 가전제품의 해킹이 가능하다. 제조사들의 AP설계가 이런 것도 염두에 두고 보안성을 평가받은 후 설계해야 향후 보안 문제를 해결할 수 있을 것”이라고 조언했다.
 
특히 김교수는 “국내 정부기관이나 공공에 보안제품이 들어가기 위해서는 국내 보안성평가 제도를 통과 해야 한다. 암호모듈, CC인증, 보안적합성 검증 등이 필요하다. 하지만 가전제품에는 이를 적용할 수 있는 제도적 장치가 마련돼 있지 않다”며 “가전 제품은 주요 기관 혹은 대통령의 집무실에도 들어간다. 고위 공무원들의 집에도 가전제품은 들어간다. 그렇다고 해서 이들 제품에 대한 보안성평가를 하자고 할 수 있을까. 또 스마트 기전들은 스마트폰과는 달리 아주 오래 사용한다. 현재 스마트 가전들에 대한 보안위험성이 대두되고 있는 만큼 더 보급이 활성화 되기 이전에 보안성평가 기준이나 제도가 마련돼야 할 것”이라고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com