Breaking
사이버 보안(Cybersecurity)
아마존의 도어벨 링 취약점, 해커가 가짜 이미지 제공 가능
2019-05-13 17:51:55
김주현
▲아마존이 자체 도어벨인 링에 취약점이 있다고 밝혔다(사진=ⓒ위키미디어 커먼즈)

[라이헨바흐=김주현 기자] 아마존 소유의 가정 보안 회사인 링이 최근 해커가 가짜 이미지를 비디오 피드에 넣을 수 있는 취약점을 발견했다고 밝혔다. 

이 취약점은 곧 프로그램을 수정하는 패치 작업이 진행됐다. 이 소식을 인터넷 보안 업체인 도조의 보안 전문가 팀이 전했다. 

도조의 보안 전문가들이 발표한 보고서에 따르면, 해당 가정 보안 장치는 양방향 통신 기능이 가능하도록 설계돼 있다. 일반적인 초인종과 달리 링의 초인종은 소유자가 스마트폰 앱을 이용해 벨을 누른 사람이 누구인지 확인할 수 있다. 

예를 들어 집주인이 집에 없을 때 누군가가 초인종을 울리면 초인종을 누른 사람의 얼굴을 확인할 수 있고, 아마존의 가상 비서인 알렉사)를 이용해 원격으로 문을 열어줄 수 있다. 즉, 집주인이 집에 없어도 방문객이 집 안으로 들어갈 수 있는 것이다.

스마트 초인종의 특성상 가장 중요한 것은 보안이다. 그러나 연구에 따르면 만약 링 도어벨이 이런 취약점을 발견하지 못하고 패치를 진행하지 않았다면 해커가 가짜 이미지를 피드에 업로드하는 방식으로 집주인을 속여 집 안으로 들어가거나 집 안의 스마트 기기를 해킹할 수 있었다.

정말 지인이 벨을 눌렀을까?

연구진은 링의 보안 결함 때문에 범죄자들이 거주자의 생활 습관 및 가족 구성원의 세부 사항, 이름 등 해당 가정의 민감한 정보를 수집할 수 있다고 설명했다. 특히 어린 자녀가 표적이 되기 쉽다.

도조의 연구원은 "부모가 없는 동안 해커가 초인종을 누르고 가짜 이미지를 보내 현관문을 열도록 만들 우려가 있다. 과연 집의 초인종을 누른 사람이 진짜 지인인지 확인해야 한다"고 전했다.

▲이 취약점이 알려지지 않았다면 범죄자들이 이를 악용할 수 있다(사진=ⓒ플리커)

링 초인종의 취약성 발견

연구진은 처음에 링 초인종의 워크 트래픽을 조사해 이상한 징후가 발견되는지 확인했다. 링에서 사용되는 네트워크 토폴로지는 아마존의 클라우드 컴퓨팅 플랫폼인 아마존 웹 서비스(AWS)였다.

이런 네트워크 토폴로지는 중계 서버 역할을 해 초인종 장치와 모바일 앱이 클라우드를 통해 통신할 수 있도록 만든다. 링의 초인종은 모바일 앱 프로그래밍 인터페이스를 활성화한 다음 AWS로 전화를 건다. 그러면 사용자의 모바일 장치로 메시지 또는 알림이 전달된다. 사용자가 메시지나 알림을 받으면 오디오 스트림이 초인종의 스피커로 다시 전송해 벨소리를 재생한다.

이 기술의 콜 셋업을 조사한 결과, 보안 전문가들은 링이 더 이상 표준화된 SRTP 및 SIP/TLS 프로토콜을 사용하지 않는다는 사실을 발견했다. 대신 회사는 SIP 메시지에 트리플렛 보안을 추가했다. 또한 응용 프로그램을 스니핑해 네트워크를 통과하는 패킷을 캡처 및 모니터링했다. 이것은 일종의 전화선을 도청하는 기술이다. 들어오는 패킷에 액세스하는 모든 사람이 비디오 및 오디오 피드를 추출할 수 있다.

앱 트래픽 

보안 전문가는 앱 트래픽에 접근하는 것이 어려운 일은 아니라고 강조했다. 와이파이만 있으면 누구나 링 초인종에서 데이터 트래픽을 캡쳐할 수 있었다. 또 자신이 원하는 피드를 삽입할 수 있다.

보안 전문가들은 모바일 월드 콩그레스 2019에서 공격자가 베이비시터의 사진을 입수해 집주인이 현관문을 열도록 만드는 장면을 시연했다. 이 방법으로 강도들이 손쉽게 물건을 훔칠 수 있다.

▲초인종 앱 트래픽에는 와이파이만 있으면 침투할 수 있다(사진=ⓒ위키미디어 커먼즈)

업데이트 필요

링 애플리케이션의 취약점은 이미 패치됐지만 패치 노트를 확인하지 못한 사용자들이 업그레이드를 하지 않을 경우 초인종이 취약한 상태로 남아 있게 된다. 이에 따라 보안 전문가들은 새로운 버전으로 업그레이드할 것을 권장했다.

B2B 기술 공급 업체이자 데이터 기반 마케팅 서비스를 제공하는 미국 기업인 테크 타깃은 "이전 버전의 시스템에서 가져온 데이터 및 인터페이스를 사용하는 소프트웨어 또는 하드웨어 시스템으로 역호환이 가능하다"고 설명했다. 만약 소프트웨어 및 하드웨어가 이전 버전을 고려하지 않고 설계된 경우 호환성 문제 때문에 설치 시 충돌이나 오류가 일어날 가능성이 있다.

[라이헨바흐=김주현 기자]