실시간 뉴스



'뜨거운 물이 콸콸'…커피머신까지 노리는 사이버공격


IoT 기기 보안 무방비 …어베스트

[아이뉴스24 최은정 기자] "커피를 마시고 싶다면 돈을 지불하라."

어느날 갑자기 커피머신 화면에 이러한 문구가 나오면 어떨까. 갑자기 뜨거운 물이 계속 뿜어져 나오는 황당한 상황도 더이상 소설 속 이야기가 아니다. 사이버 공격자가 커피머신 취약점을 악용하면 충분히 가능하다.

25일(현지시간) 보안업체 어베스트는 연결된 네트워크나 라우터를 거치지 않고 스마트 사물인터넷(IoT) 커피머신을 해킹할 수 있는 이 같은 방법을 소개했다. 기기에 탑재된 펌웨어를 원격에서 바꿔치기 하는 수법을 통해서다.

펌웨어는 하드웨어 부품, 모터, 센서, 발열체 등을 제어·조종하는 프로세서 기반 프로그램이다. 커피머신에서는 커피 콩을 갈고, 뜨거운 물로 커피물을 내리는 등 동작을 모두 펌웨어가 관장한다고 보면 된다. 이 같은 기능이 있다면 정기 업데이트는 필수다.

어베스트가 이번 연구에 활용한 커피머신 [사진=캡처]
어베스트가 이번 연구에 활용한 커피머신 [사진=캡처]

최근에는 무선방식(OTA·Over-the-Air)으로도 펌웨어를 업데이트할 수 있어 사용자는 특정 애플리케이션을 통해 관리할 수 있다.

회사 측에 따르면 이번 실험에 활용한 커피머신은 앱을 통한 펌웨어 업데이트 시 관리자를 확인하는 보안인증 절차가 없다. 때문에 누구나 네트워크에 접속해 명령을 내릴 수 있다는 설명이다.

실제로 이번 연구를 실시한 마틴 흐론 어베스트 선임 보안연구원은 커피머신 화면에 돈을 요구하는 내용을 띄우거나, 사용자 동의 없이 뜨거운 물을 내뿜는 등 악성행위를 실행할 수 있었다.

이와 관련 한 보안 연구원은 "최근 IoT 등 장비 제작 시 보안에 신경을 덜 쓰다 보니 펌웨어 바꿔치기가 쉽고 흔하게 일어난다"고 지적했다.

이어 "(이번 커피머신의 경우) 업데이트 관리포트가 아무나 접속할 수 있도록 열려 있어 해커가 조작하기 쉽다"며 "해커가 직접 명령하고 자신의 펌웨어를 보내면 그것으로 업데이트 된다"고 설명했다.

이 과정에서 로그인 등 인증 절차가 필요한데, 어베스트가 실험한 커피머신은 이를 제공하지 않는다.

이 보안 연구원은 "관리자인지 확인하는 인증 절차가 빠져 있어 발생한 문제"라고 말했다.

흐론 보안연구원은 "다만 해당 커피머신은 현재 제조사에서 더이상 지원하지 않는 구형 모델"이라면서도 "안타깝게도 많은 공급 업체들이 보안을 뒷전으로 생각하면서 펌웨어 공격을 가능하도록 하고 있다"고 덧붙였다.

최은정 기자 ejc@inews24.com






alert

댓글 쓰기 제목 '뜨거운 물이 콸콸'…커피머신까지 노리는 사이버공격

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스