스마트 TV에 취약성이? 금융 사기 해킹도구로 변신 '주의'
2014-09-02 14:57
커넥티드 홈 엔터테인먼트 디바이스 중 NAS에서 가장 심각한 취약점 발견
아주경제 장윤정 기자 = 가정에서 활용하고 있는 연결형 스마트 기기에서 다수의 취약성이 발견됐다.
특히 스마트TV로 결제를 진행하는 동안 금융사기 공격에 활용될 가능성이 높다는 점이 드러나 사용자들의 주의가 요망된다.
카스퍼스키랩(지사장 이창훈)은 유명 커넥티드 홈 엔터테인먼트 디바이스들이 소프트웨어 취약점과 기본 관리자 암호 및 인터넷 연결 암호화와 같은 기본 보안 시스템의 부족, 사이버보안 사각지대에 놓여있다고 2일 밝혔다.
데이비드 자코비(David Jacoby) 카스퍼스키랩 보안 분석가는 사이버 보안 측면에서 집이 얼마나 안전한지 알아보기 위해 자택 거실에서 실험한 결과를 공개했다. 그는 네트워크 연결 스토리지(NAS), 스마트 TV, 라우터, 블루레이 플레이어 등을 포함하는 홈 엔터테인먼트 디바이스가 사이버 공격에 취약한지 확인했다.
조사 결과, NAS에서 14개의 취약점을 발견했으며, 스마트 TV에서 1개, 라우터에서는 여러 개의 잠재적으로 숨겨진 원격 제어 기능을 찾아냈다.
가장 심각한 취약점은 NAS에서 발견됐다. 취약점 중 일부는 공격자가 원격으로 최고 관리자 권한의 시스템 명령을 실행할 수 있다. 또한, 연구 대상이 된 디바이스들은 낮은 수준의 기본 암호를 설정하고 많은 환경 설정 파일들이 잘못된 권한을 가지고 있으며 일반 텍스트 형태로 디바이스 암호를 관리하고 있는 것으로 나타났다.
또한, 카스퍼스키랩 연구자는 스마트 TV의 보안 수준을 조사하는 과정에서 TV와 TV 공급업체 서버간의 통신에 암호화가 돼 있지 않다는 점을 발견했다. 이를 통해 잠재적으로 사용자는 TV를 통해 콘텐츠를 구입하는 동안 사기꾼들에게 돈을 송금시키는 중간자 공격(Man-in-the-Middle attack)을 허용하게 된다.
DSL 라우터는 다른 홈 디바이스를 위한 무선 인터넷 액세스를 제공, 타인이 우리 집 무선 인터넷을 마구 사용할 수 있도록 하는 취약성을 지녔다는 점이 지적됐다.
데이비드 자코비 보안 분석가는 "이번 조사를 통해 디바이스 제품 내의 취약점을 발견하고 확인하는데 20분도 채 안 되는 시간이 소요됐다. 만약 동일할 실험이 집안의 거실보다 더 넓은 규모에서 진행됐다면 더 큰 위험이 발견 됐을 것"이라며 "모든 디바이스는 최신 보안 및 펌웨어 업데이트로 업데이트해야하고 기본 사용자명과 암호를 반드시 변경해야한다"고 조언했다.