여름철 대형 건물에서 사용하는 냉방 시스템인 시스템에어컨을 외부 해커가 원격에서 마음대로 조작할 수 있다면 어떤 일이 발생할까. LG전자 시스템에어컨을 사용하는 모 지방대학 중앙제어  사이트가 구글 검색만으로 노출되고 있는 것이 확인됐다.
 
심지어 중앙제어 사이트에 접속은 공개된 매뉴얼에 있는 비밀번호를 찾아 입력하면 그대로 접속이 가능한 것으로 확인돼 악의적인 마음만 먹으면 해당 대학의 에어컨 시스템을 조작해 심각한 피해를 발생시킬 수 있는 상황이다.

 
해당 취약점을 발견하고 데일리시큐에 조치를 당부한 최성환(상동고) 학생은 “LG-acp 에어컨 중앙제어 사이트가 구글 검색으로 인해 페이지가 그대로 노출되고 있고 접속도 가능하다는 것을 발견했다”며 “대학내 학생들이 수업하는 강의실과 여러 건물의 에어컨 시스템을 조작할 수 있어 위험하다는 것을 알게 됐다. 제보를 통해 신속히 조치가 이루어지길 희망한다”고 밝혔다. 
 
제보를 받고 실제 구글 검색을 통해 확인 결과, 모 대학 LG전자 시스템에어컨 중앙통제 사이트가 그대로 노출되고 있었으며 슈퍼유저 자격으로 통제 사이트에 그대로 접속이 가능하다는 것을 확인했다. 

 
LG전자 시스템에어컨 문제는 지난해 8월 데일리시큐에서 최초 지적한 바 있다. 당시에도 LG전자 시스템에어컨 컨트롤러의 관리자 계정 및 패스워드가 구글 검색을 통해 그대로 노출되었고 서울 소재 모 대학에서 사용하는 LG전자 시스템에어컨 컨트롤 페이지에 접속이 가능해 문제가 불거졌다. 
 
당시 LG전자 측은 “ACP 매뉴얼 상에 공장 초기 설정된 사용자 ID/PASS를 ACP 설치 후 변경하도록 권고하는 문구를 삽입토록 할 것이며 설치자 교육을 통해 설치시점에 사용자가 ID/PASSWORD를 변경토록 조치할 예정”이라고 답변을 해 온 바 있다.
-관련기사: www.dailysecu.com/news_view.php?article_id=5105
 
대학 측은 구글 검색에 시스템에어컨 관리자 페이지가 노출되지 않도록 조치를 해야 하고 LG전자 측은 관리자 페이지가 노출되더라도 중요한 시스템 관리 페이지에 접속이 불가능하도록 매뉴얼에 공개된 디폴트 비밀번호를 사용하지 못하도록 고객 관리와 교육을 더욱 강화해야 할 것이며 해당 대학 이외 다른 곳에서도 이와 같은 문제가 발생할 수 있기 때문에 철저한 점검이 이루어져야 할 것이다. 한편 슈퍼유저로 접속이 가능한 것에 대해 LG전자 측의 시스템 변경이 있어야 할 것으로 보인다.

데일리시큐는 해당 취약성에 대한 상세 정보를 한국인터넷진흥원(KISA) 취약점 담당자에게 전달해 조치를 요청했다.  
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com