오늘은 월패드 해킹으로 인해 다크웹에 개인 사생활 영상이 유출된 사례에 대해 말씀드릴까 합니다. 지은지 얼마 되지 않은 신축 아파트나 오피스텔에서는 대부분 가정 내 도어락이나 가전, 조명 등의 IoT(Internet of Things, 사물인터넷) 기기를 제어할 수 있는 월패드가 설치되어 있죠. 저는 구축 오피스텔에 살고 있기 때문에 아직 직접 사용하지 못했습니다만, IoT 기기들이 이 월패드에 연결되어 있고, 이를 외부에서 스마트폰에 설치되어 있는 월패드 제어 앱으로 조작할 수 있다는 건 대부분 익히 알고 계실거라 생각합니다.
그런데 최근 이 월패드에 설치된 전면 카메라 렌즈로 촬영되는 동영상을 외부로 유출되서 다크웹에 거래되고 있다는 정황을 포착했다고 하는데요. 결국 이 월패드 자체도 인터넷에 연결되어 있기 때문에, 우리가 알고 있는 웹 해킹처럼 해커가 월패드를 해킹해서 제어권을 장악할 수 있겠죠. 사실 월패드 해킹 자체는 새로운 유형의 해킹은 아닙니다. 우리가 공유기라고 알고 있는 무선 AP에 불법 접근해서 연결된 시스템을 해킹하는 사례는 이전부터 있었죠. 단지 무선 AP 해킹이 IoT 해킹으로 발전한 것이라고 생각하시면 될 것 같습니다.
단순히 생각해보면 월패드도 인터넷에 접근으로 접근이 가능하기 때문에 IP가 부여되어 있을 것이고, 외부에서 접근이 가능하다면 이 월패드의 계정 정보만 안다면 접근할 수 있겠죠. 저희가 네이버에 접속하기 위에 아이디와 비밀번호를 입력하는 것처럼 월패드 제어 앱에서도 사용자 인증을 거치게 될겁니다. 그런데 이때 접근 통제나 계정 관리가 제대로 이루어지지 않는다면 해커가 쉽게 접근할 것이고, 이 월패드를 해킹해서 가정 내의 IoT 기기들을 장악할 수 있겠죠.
조금만 더 자세하게 설명드리면 월패드 해킹.. 즉, IoT 해킹은 리눅스 해킹과 동일하다고 생각하시면 됩니다. 이전에도 말씀드린 바 있지만 리눅스 서버를 원격 접속할 때, root 계정으로 접속할 수 있도록 해둔다면 해커가 root 계정으로 접속했을 때 모든 파일 시스템을 장악할 수 있고 내부 정보를 빼돌릴 수 있다고 했었죠. 이 월패드도 마찬가지로 해커가 내부 시스템에 접속해서 전면 카메라 영상을 외부로 유출해서 다크웹에 올려놨다고 볼 수 있습니다.
보통 월패드는 아파트나 오피스텔 전 세대에 설치되기 때문에, 한 세대가 뚫리면 바로 옆 세대도 같이 뚫릴 가능성이 크다는 문제도 가지고 있는데요. 물론 세대마다 네트워크 분리를 잘 해놓았다면 문제가 없겠지만, 현실적으로 기업에서도 망분리가 제대로 적용되지 않기 때문에 아파트에서 이를 적용하기엔 어려움이 있을 것이라고 생각합니다. 이후에는 IoT 보안관제와 같은 서비스를 통해서 대응을 할 수 있겠지만, 지금으로써는 월패드의 전면 카메라를 가리고, 세대별로 계정 관리를 해서 외부에서 불법 접근을 막는 것이 유일한 해결책이라고 볼 수 있을 듯 합니다. 그럼 오늘은 여기까지 설명드리도록 하고 줄이도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
사상 최악의 보안 사고, 로그4j 보안 취약점 사례 (0) | 2021.12.13 |
---|---|
경찰청 사칭 과태료 고지서 스미싱 사례 (0) | 2021.12.10 |
우체국 사칭 예약 물품 조회 문자 스미싱 사례 (0) | 2021.12.07 |
도박 게임 사이트 접속 시 악성 파일 다운로드 사례 (0) | 2021.12.06 |
피해자가 직접 전화하게 만드는 피싱 공격 사례 (0) | 2021.12.05 |
댓글