체크포인트 소프트웨어 테크롤로지스가 자사 보안 조사팀에서 홈핵(HomeHack)을 발견했다고 발표했다. 이는 LG 스마트씽큐(LG SmartThinQ) 디바이스에서 발견되는 것으로 LG전자의 가전용 제품을 사용하는 수백만 명의 사용자가 스마트씽큐 가전용 기기를 무단 원격 제어되는 위험에 노출되어 있다.
LG의 스마트씽큐 스마트 어플라이언스 제품군 및 안전 솔루션은 스마트폰에서 집을 모니터링하고 관리할 수 있다. 체크포인트에 따르면, LG 스마트씽큐 모바일 앱 및 클라우드 애플리케이션의 취약성을 활용하여 해커는 스마트씽큐 클라우드 애플리케이션에 원격으로 로그인한 후 사용자의 LG 계정을 넘겨받아 진공 청소기와 내장 비디오 카메라를 제어할 수 있었다. 일단, 사용자의 LG 계정에 대한 제어권이 확보되면 공격자는 해당 계정에 연결된 모든 LG 디바이스 또는 어플라이언스를 제어할 수 있었다. 여기에 해당되는 제품으로는 로봇 진공 청소기, 냉장고, 오븐, 식기 세척기, 세탁기, 드라이어, 에어컨 등이 포함된다.
홈핵의 취약성은 또한, 홈-봇(Hom-Bot) 로봇 진공 청소기 카메라를 통해 사용자가 자택에서의 활동을 엿볼 수 있는 기회를 제공했다. 이 카메라는 홈가드(HomeGuard) 보안 기능에서 연결된 LG 스마트씽큐 앱으로 실시간 비디오를 전송할 수 있을 뿐 아니라 사용자의 자택에 보유한 LG 가전기기 종류에 따라, 식기 세척기나 세탁기를 끄거나 켤 수 있었다.
LG의 스마트씽큐 스마트 어플라이언스 제품군 및 안전 솔루션은 스마트폰에서 집을 모니터링하고 관리할 수 있다. 체크포인트에 따르면, LG 스마트씽큐 모바일 앱 및 클라우드 애플리케이션의 취약성을 활용하여 해커는 스마트씽큐 클라우드 애플리케이션에 원격으로 로그인한 후 사용자의 LG 계정을 넘겨받아 진공 청소기와 내장 비디오 카메라를 제어할 수 있었다. 일단, 사용자의 LG 계정에 대한 제어권이 확보되면 공격자는 해당 계정에 연결된 모든 LG 디바이스 또는 어플라이언스를 제어할 수 있었다. 여기에 해당되는 제품으로는 로봇 진공 청소기, 냉장고, 오븐, 식기 세척기, 세탁기, 드라이어, 에어컨 등이 포함된다.
홈핵의 취약성은 또한, 홈-봇(Hom-Bot) 로봇 진공 청소기 카메라를 통해 사용자가 자택에서의 활동을 엿볼 수 있는 기회를 제공했다. 이 카메라는 홈가드(HomeGuard) 보안 기능에서 연결된 LG 스마트씽큐 앱으로 실시간 비디오를 전송할 수 있을 뿐 아니라 사용자의 자택에 보유한 LG 가전기기 종류에 따라, 식기 세척기나 세탁기를 끄거나 켤 수 있었다.
체크포인트 제품 취약성 연구 책임자 오데드 바누누(Oded Vanunu)는 “집에서 사용하는 스마트 디바이스가 점차 늘어남에 따라 해커들은 디바이스로 눈을 돌려 디바이스 네트워크를 제어하는 앱을 해킹하려 할 것이다. 사이버 범죄자들은 소프트웨어의 결함을 공격하고 가전제품 사용자의 집에 혼란을 일으킬 것이다. 또한, 이러한 시도가 증가함에 따라 민감한 사용자 데이터에 액세스할 수 있는 기회가 점점 더 증가하게 될 것이다. 따라서 사용자는 IoT 디바이스를 사용할 때의 보안 및 개인정보 보호 위험을 인지하고 있어야 한다. 이뿐 아니라 IoT 제조사는 소프트웨어와 디바이스 설계 시 안정적인 보안을 구현하여 스마트 디바이스를 공격으로부터 보호하는 데 초점을 맞추어야 한다.”고 말했다.
체크포인트 조사팀은 스마트씽큐 모바일 앱의 취약성을 활용해 거짓 LG 계정을 만든 후, 사용자의 LG 계정을 넘겨받아 LG의 스마트 가전기기에 대한 제어권을 확보할 수 있었다. 2017년 7월 31일, 체크포인트는 ‘책임 공개(Responsible Disclosure)’ 지침에 따라 LG전자에 취약성을 알렸으며 LG전자는 9월 말에 스마트씽큐 애플리케이션에 관한 보고된 문제를 시정했다. 체크포인트의 오데드 바누누는 “LG전자가 고객에 대한 책임감을 가지고 문제를 빠르고 적절히 해결하여 스마트씽큐 앱과 디바이스의 문제를 악용할 수 있는 가능성을 차단했다.”고 말했다.
LG 전자 스마트 솔루션 사업부의 스마트 개발팀 이군석 매니저는 “지난 8월, LG 전자는 체크포인트 소프트웨어 테크놀로지스와 협력하여 보안 문제를 찾아내도록 설계된 고급 루팅 프로세스를 실행하고 즉시 패치 프로그램 업데이트했다. 9월 29일 이후 보안 시스템은 업데이트된 1.9.20 버전으로 문제 없이 원활하게 운영되고 있다. LG 전자는 소프트웨어 보안 시스템을 지속적으로 강화하는 한편, 체크포인트와 같은 사이버 보안 솔루션 제공업체와 합력하여 더욱 안전하고 편리한 가전제품을 개발할 것.”이라고 말했다.
LG 스마트씽큐 모바일 앱 및 어플라이언스 사용자가 디바이스를 보호하려면 LG 웹사이트에서 최신 소프트웨어 버전으로 업데이트해야 한다. LG전자 스마트 가전제품 사용자라면 하기의 절차를 따를 경우 스마트 가전제품과 홈 와이파이 네트워크를 사이버 침입으로부터 보호할 수 있으며, 원격에서 디바이스를 조정할 수 없도록 보호할 수 있다.
첫째, LG 스마트씽큐 앱을 최신 버전(V1.9.23)으로 업데이트 한다. – 구글 플레이스 스토어, 애플 앱스토어, LG스마트씽큐 앱 설정에서 업데이트 가능하다. 둘째, 스마트 홈 가전기기를 최신 버전으로 업데이트 한다. – 스마트씽큐 애플리케이션 대시보드의 스마트 홈 제품을 클릭하면 된다. (업데이트할 때 팝업 알림 창이 나타남)
이향선기자 hslee@nextdaily.co.kr