'중간자 공격' 가능해 G메일 계정 접속시 사생활 등 개인정보 줄줄이 유출
삼성전자측 “해당 취약점에 대한 긴급 보안 패치 업데이트이미 완료했다”
|
삼성전자의 ‘스마트 냉장고’가 온라인 해킹 공격에 취약하다는 연구결과가 나와 삼성의 자존심을 건드리고 있다. 이 같은 사실은 영국의 보안업체사에 의해 밝혀졌다.
이 업체에 따르면 삼성의 스마트 냉장고 가운데 제품명 RF28HMELBSR에 있는 보안 취약점으로 인해 중간자 공격(man-in-the-middle)이 가능해 사용자의 지메일(gmail) 계정으로 접속이 가능해지고 이는 결국 개인정보 유출로 이어진다는 것.
스마트 냉장고는 네트워크에 연결된 가전을 뜻하며, 모바일 앱(응용 프로그램)으로 제어가 가능하다. 이 냉장고는 이용자의 구글 캘린더를 스크린에 띄우는 기능을 제공하는데, 이를 해킹할 경우 개인의 스케줄을 비롯한 사생활이 줄줄이 밖으로 새어나갈 수 있다는 것을 의미한다.
펜테스트파트너스 측은 최근 “삼성전자의 스마트 냉장고를 통해 지메일 개인정보를 탈취했다”고 밝히면서 ‘데프콘’ 해킹 컨퍼런스((DEF CON Hacking Conference))에서 사물인터넷의 ‘중간자 공격’을 통해 이를 시연까지 했다. ‘중간자 공격’이란 통신이 연결된 두 대의 기기 사이에 중간자가 침입해 대화 내용을 훔쳐보는 해킹 기법이다.
페드로 벤다 펜테스트 파트너스 연구원은 “지메일 서비스 중 하나인 달력에 중간자 공격을 실행해 구글 계정 로그인 정보를 훔치는 것이 가능하다”고 주장하며 “USB 포트나 JTAG 인터페이스 등 물리적 접근을 통해서도 해킹이 가능한지 알아보려고 했지만 시간이 없었다. 하지만 앞으로도 계속 취약점을 찾아볼 것이다”라고 말했다.
|
그렇다면 이 같은 ‘중간자 해킹’이 가능한 이유는 뭘까? 인터넷 보안언론 <보안뉴스> 8월25일자 보도에 따르면, 삼성은 무선 인터넷(Wi-Fi)을 사용해야 하는 스마트 냉장고를 위해 SSL을 구축해 놓았는데 여기에 들어가는 일부의 SSL 프로토콜에 결함이 있다는 것. SSL이 제대로 작동하기 위해서는 브라우저가 호스트 사이트로부터 가능한 코드를 받아야만 하는데 삼성이 이 부분의 보안에 취약점을 드러냈다는 것이다.
펜테스트파트너스는 지난 2월 2012년에 출시돼 여전히 판매 중인 삼성전자 스마트TV의 부실한 사생활 보호 대책을 지적해 삼성전자를 곤혹스럽게 만들었던 바로 그 보안업체다. 이 업체는 당시 이 제품으로 음성검색을 하면, 관련 정보가 암호화되지 않은 채 음성인식 서비스 업체 ‘뉘앙스 커뮤니케이션즈’로 전송된 것으로 나타났다며 삼성전자 스마트TV의 취약점을 파고들어 가전업체의 주목을 받기도 했다.
삼성전자 측은 한 매체가 이 같은 문제점을 제기하자 “해당 취약점에 대한 긴급 보안 패치 업데이트를 완료했다”고 밝혔다.
원본 기사 보기:lovesamsung
