데이비드 자코비(David Jacoby) 카스퍼스키랩 보안 분석가는 사이버 보안 측면에서 집이 얼마나 안전한지 알아보기 위해 자택 거실에서 연구 실험을 실시했다. 그는 네트워크 연결 스토리지(NAS), 스마트 TV, 라우터, 블루레이 플레이어 등을 포함하는 홈 엔터테인먼트 디바이스가 사이버 공격에 취약한지 확인했다.

카스퍼스키랩 전문가는 다른 공급업체의 NAS 모델 2대, 스마트 TV 1대, 위성 수신기 1대 및 커넥티드 프린터 1대를 조사했다. 조사 결과, NAS에서 14개의 취약점을 발견했으며, 스마트 TV에서 1개, 라우터에서는 여러 개의 잠재적으로 숨겨진 원격 제어 기능을 찾아냈다.

원격 코드 실행 및 취약한 암호
가장 심각한 취약점은 NAS에서 발견됐다. 취약점 중 일부는 공격자가 원격으로 최고 관리자 권한의 시스템 명령을 실행할 수 있다. 또한, 연구 대상이 된 디바이스들은 낮은 수준의 기본 암호를 설정하고 많은 환경 설정 파일들이 잘못된 권한을 가지고 있으며 일반 텍스트 형태로 디바이스 암호를 관리하고 있는 것으로 나타났다.

특히, 어떤 디바이스는 기본 관리자 암호를 한 자리 숫자로 구성하고 심지어 다른 어떤 디바이스는 네트워크상의 모든 디바이스에 암호와 함께 전체 환경 설정 파일을 공유하기도 했다.

공격 실험에서 별도의 취약점을 이용해 일반 사용자가 접근할 수 없는 스토리지 메모리에 파일을 업로드 할 수 있었다. 이 파일이 악성파일일 경우, 손상된 디바이스는 NAS에 연결하는 홈 PC와 같은 다른 디바이스들을 감염시키는 근원이 되고, 봇넷에서 디도스(DDoS) 봇 역할을 할 수도 있다. 게다가 취약점은 디바이스 파일 시스템의 특별한 부분에 파일이 업로드 될 수 있게 하므로 이를 삭제할 수 있는 한 가지 방법은 동일한 취약점을 사용하는 방법뿐이다. 이는 홈 엔터테인먼트 장비 소유자는 물론, 기술 전문가에게도 어려운 작업이다.

스마트 TV를 통한 중간자 공격
또한, 카스퍼스키랩 연구자는 스마트 TV의 보안 수준을 조사하는 과정에서 TV와 TV 공급업체 서버간의 통신에 암호화가 돼 있지 않다는 점을 발견했다. 이를 통해 잠재적으로 사용자는 TV를 통해 콘텐츠를 구입하는 동안 사기꾼들에게 돈을 송금시키는 중간자 공격(Man-in-the-Middle attack)을 허용하게 된다.

공격 실험에서 스마트 TV 그래픽 인터페이스의 아이콘을 다른 그림으로 변경할 수 있었다. 일반적으로 위젯과 미리보기 이미지는 TV 업체의 서버로부터 다운로드 되며, 암호화된 연결의 부족으로 인해 정보는 제 3자에 의해 수정될 수 있다. 이와 함께 연구자는 스마트 TV가 TV와 인터넷 간의 트래픽의 교환을 차단하는 기능과 취약점 중심의 악의적인 공격을 발생시킬 수 있는 자바 코드를 결합해 실행할 수 있다는 점을 발견했다.

라우터의 숨겨진 감시 기능
DSL 라우터는 몇 가지 위험한 숨겨진 기능을 포함한 모든 다른 홈 디바이스를 위한 무선 인터넷 액세스를 제공하는데 사용된다. 이러한 숨겨진 기능 중 일부는 잠재적으로 ISP(인터넷 서비스 공급업체)에 사설 네트워크 내의 모든 디바이스에 대한 원격 액세스를 제공할 수 있다.

연구 결과에 따르면, 웹 카메라, 접근 제어, WAN-센싱 및 업데이트와 같은 라우터 웹 인터페이스 섹션은 숨겨져 있으며, 디바이스 소유자는 조정이 불가능하다. 라우터 웹 인터페이스 섹션은 오히려 주소 끝의 숫자를 무작위로 입력해 인터페이스 섹션 사이를 이동할 수 있게 하는 다소 일반적인 취약점만을 통해 액세스될 수 있다.

이러한 기능은 원래 디바이스 소유자의 편의를 위해 구현됐다. 원격 액세스 기능은 ISP가 발생할 수 있는 기술적 문제를 디바이스상에서 빠르고 쉽게 해결하도록 지원한다. 그러나 이와 같은 편리함이 악용되면 보안 취약점으로 작용할 수 있다.

데이비드 자코비 보안 분석가는 “개인과 기업은 커넥티드 디바이스를 둘러싼 보안 위험을 인식하고 있어야 한다. 정보는 강력한 암호 설정과 상관없이 결코 안전하지 않으며, 우리가 제어할 수 없는 많은 것들이 존재한다”며, “이번 조사를 통해 디바이스 제품 내의 취약점을 발견하고 확인하는데 20분도 채 안 되는 시간이 소요됐다. 만약 동일할 실험이 집안의 거실보다 더 넓은 규모에서 진행됐다면 어떻게 됐을까? 이에 대한 답은 앞으로 디바이스 공급업체, 보안 커뮤니티 및 디바이스 사용자들이 해결해야 할 문제일 것”이라고 밝혔다.

그는 이어 “또 다른 중요한 문제는 디바이스의 제품수명주기다. 디바이스 업체 중 일부는 디바이스의 제품수명주기가 끝나면 취약한 디바이스에 대한 보안 업데이트를 더 이상 개발하지 않는다. 일반적으로 디바이스의 제품수명주기는 1~2년에 불과한 반면, 실제 사용주기는 굉장히 길다”고 덧붙였다.

한편, 카스퍼스키랩은 정보 공개 방침에 따라 취약점의 보안 패치가 발표될 때까지 연구 대상이 된 제품의 업체 명은 공개하지 않는다. 모든 업체들이 취약점의 존재에 대한 정보를 얻고 있으며 카스퍼스키랩 전문가들은 발견하는 모든 취약점을 제거하기 위해 업체들과 긴밀한 협력 관계를 유지하고 있다.