집 안에 인터넷과 연결되는 스마트홈 기기가 늘어나면서 보안 위협이 증가한다. 로봇청소기와 에어콘, 냉장고, 식기세척기 등이 해커 조정을 받아 사용자 사생활을 침해하고 원치 않는 방향으로 작동하는 사례가 속속 나타난다.
올해 초 미국 정보기관인 NSA가 삼성전자 스마트 TV에 악성코드를 감염시켜 도감청 장비로 사용한 사실이 드러난데 이어 LG전자 스마트홈 기기에서도 해커가 원격으로 접속할 수 있는 취약점이 발견됐다. 기업과 기관에 집중됐던 해킹이 가정까지 파고든다.
체크포인트는 최근 LG전자 로봇청소기 등 스마트홈 기기와 연동하는 앱에서 고객 사생활을 유출할 수 있는 보안 취약점을 발견했다.
LG전자는 스마트홈 기기를 스마트폰으로 연동하는 '스마트씽큐(LG SmartThinQ)' 앱을 제공한다. 체크포인트는 해커가 LG 스마트씽큐 모바일 앱과 클라우드 애플리케이션 취약성을 활용해 스마트씽큐 앱에 로그인할 수 있다고 분석했다. 사용자 LG계정을 탈취해 로봇청소기와 비디오 카메라를 제어한다.
사용자 LG 계정 제어권을 확보한 공격자는 해당 계정에 연결된 모든 LG기기를 조정할 수 있다. 해당제품은 로봇청소기, 냉장고, 오븐, 식기 세척기, 세탁기, 에어컨 등이다.
오데드 바누누 체크포인트 제품 취약성 연구 책임자는 “집에서 사용하는 스마트 기기가 늘어나면서 해커는 스마트홈 기기 자체보다 연결되는 모바일 앱을 해킹하려 한다”면서 “사이버 범죄자는 SW 결함을 공격해 가전 사용자 집을 혼란시키려 한다”고 설명했다. 그는 “사물인터넷(IoT) 기기를 사용할 때 보안과 개인정보보호 위험을 인지해야 한다”면서 “제조사는 SW와 기기 설계 시 보안을 구현하고 공격에서 보호하는데 집중해야 한다”고 말했다.
체크포인트는 7월 31일 LG전자에 취약성을 알렸다. LG는 9월 말 스마트씽크 취약성을 개선했다.
이군석 LG 전자 스마트 솔루션 사업부 스마트 개발팀 매니저는 “LG전자는 지난 8월 체크포인트와 협력해 보안 취약점을 해결하게 프로그램을 업데이트했다”면서 “소프트웨어 보안 시스템을 강화하고 체크포인트 등 사이버 보안 기업과 협력해 안전하고 편리한 가전을 개발할 것”이라고 말했다.
피해를 줄이려면 LG 스마트씽큐 앱을 최신 버전(V1.9.23)으로 업데이트한다. 스마트홈 가전 역시 최신 버전으로 업데이트한다. 스마트씽큐 애플리케이션 대시보드 스마트홈 제품을 클릭하면 업데이트 시 팝업 알림창이 나온다.
김인순 보안 전문기자 insoon@etnews.com
