• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이번 주, IP 카메라 제품군에서만 중대 오류 두 개 발견! 2016.12.09

고가의 소니 IP 카메라에서 개발자들의 실험용 계정 발견...펌웨어 업데이트 완료
저렴한 카메라 제품군, 업데이트 불가능...“버리는 게 유일한 해결”

[보안뉴스 문가용 기자] 이번 주 사물인터넷과 관련된 취약점 경보가 두 번이나 울렸다. 둘 다 IP 카메라였고, 이 취약점들은 오스트리아의 보안 회사인 SEC 컨설트(SEC Consult)와 미국의 ‘보안업체인 사이버리즌(Cybereason)에서 각각 발견했다.


소니 카메라의 백도어...펌웨어 업데이트 완료
먼저 SEC 컨설트의 경우, 소니의 IPELA Engine IP 카메라 모델 80대에서 백도어를 찾아냈다고 이번 주 화요일 밝혔다. 이 백도어를 통해 공격자가 기기를 완전히 장악해 스파잉 및 도스 공격은 물론 봇넷의 일부로 활용하는 게 가능하다. 해당 카메라 제품군은 500달러에서 6000달러에 이르며, 상업 구역이나 산업 시설에서 주로 활용된다.

SEC 컨설트는 이 문제를 소니에 보고했고, 소니는 지난 11월 28일 펌웨어 업데이트를 통해 해당 문제를 해결했다. 보안 전문업체인 아크틱 울프 네트웍스(Arctic Wolf Networks)의 CEO인 브라이언 네스미스(Brian NeSmith)는 “사물인터넷 기기 해킹 문제가 크게 대두되어도 보통의 가정에서 일어나는 일이라면 생각보다 큰 일이 아니지만 산업 시설에서 일어난다면 얘기가 완전히 달라진다”고 설명한다.

SEC 컨설트는 백도어 및 제품 분석을 통해 펌웨어에서 하드코딩 된 암호 두 개를 발견했다. 하나는 사용자 관리를 위한 것이고 다른 하나는 루트 권한을 취득하는 데에 필요한 것이었다. 수사를 더 진행하자 두 개의 사용자 계정도 등장했다. primana와 debug라는 이름의 계정이었다. 즉 공격자는 이 두 가지 계정을 통해 로그인을 해 여러 가지 공격을 실행할 수 있게 되는 것이다.

SEC 컨설트는 “이 두 계정이 외부자에 의해 만들어진 것 같지는 않다”며 “소니의 개발자들이 디버깅이나 여러 가지 실험을 위해 해당 계정을 만들어 놓고 지우지 않은 듯 하다”고 분석했다. SEC 컨설트의 취약점 실험실장인 요하네스 그레일(Johannes Greil)은 “원격에서 이렇게 카메라의 주요 ID에 접속하게 되면, 네트워크의 다른 부분까지 침투할 수 있다”며 그 위험성에 대해 추가로 설명했다.

저가형 카메라의 두 가지 제로데이
또, 사이버리즌은 저가형 IP 카메라 수천~수만 대에서 두 개의 제로데이 버그를 발견했다고 이번 주 보도했다. 첫 번째 제로데이는 정보 공개 및 인증 절차 우회를 가능하게 해준다. 그러므로 공격자가 이를 익스플로잇 하면 모든 파일에 접근이 가능하게 된다. 당연히 암호가 저장된 파일도 여기에 포함된다. 사용자가 아무리 암호를 어렵게 만들어도 소용이 없다는 뜻이 된다. 이 암호를 가지고 로그인을 하면 루트 권한을 주는 게 바로 두 번째 제로데이다.

이 버그는 카메라 부품을 조립해서 독자적인 브랜드를 붙여 판매하는, 일명 화이트 박스(white box) 회사에서 만든 소프트웨어에서 발견됐다. 사이버리즌은 아직 해당 오류들에 대한 기술적인 세부사항을 공개하지 않은 상태다. 그러므로 익스플로잇 방식, 피해 규모, 실제 공격 가능성, 관련 업체들의 업데이트 계획 등도 아직은 비공개다. 하지만 다른 전문가에 의하면 해당 카메라들은 업데이트가 아예 불가능한 구조로 설계되어 있다고 한다.

사이버리즌의 보안 수석 전문가인 아밋 서퍼(Amit Serper) 역시 “이 취약점을 해결하는 유일한 방법은 쓰레기통에 버리고 새 카메라를 사는 것”이라고 말할 정도니 업데이트가 안 된다는 게 사실일 가능성이 높아 보인다.

또한 아밋 서퍼는 외신과의 인터뷰를 통해 “사물인터넷과 관련된 보안 사고가 사용자의 부주의나 낮은 보안 의식에서 오는 것이라고 말하는 사람들이 많은데, 이번 사건들을 통해서 그런 사람들이 현실을 제대로 깨달았으면 좋겠다”고 토로했다. “문제는 오히려 생산업체 측에 더 많습니다. 암호를 아무리 강하게 걸어놔도 소용이 없도록 만들었는데, 어떻게 사물인터넷 기기를 안전하게 사용합니까?”

물론 일반 소비자들이 완전히 결백한 것만은 아니다. 아밋은 “소비자들도 값싼 제품만 선호하는 걸 좀 바꿀 필요가 있다”고 주장했다. “업데이트도 안 되도록 만드는 게 저가 상품들의 현 주소입니다. 그렇게 해도 팔리거든요. 소비자들이 싸구려는 싸구려일뿐이라는 걸 기억했으면 좋겠습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>