LG전자 로봇 청소기, 냉장고 등을 사용하는 사용자는 즉시 보안 패치를 업데이트해야 한다. 체크포인트는 LG전자 가정용 기기에 탑재되는 ‘스마트씽큐’에서 ‘홈핵’을 발견했으며, 이를 LG전자에 알려 패치할 수 있도록 조치했다고 31일 밝혔다.
이에 따라 사용자들은 스마트씽큐 앱을 최신 버전(V1.9.23)으로 업데이트하고, 스마트씽큐 애플리케이션 대시보드의 스마트 홈 제품을 클릭한 후 스마트 홈 가전기기를 최신 버전으로 업데이트 해야 한다.
이번에 발견된 홈핵은 스마트씽큐 모바일 앱과 클라우드 애플리케이션에 존재하는 것으로 이 취약점을 이용하면 클라우드 애플리케이션에 원격 로그인 한 후 사용자의 LG 계정을 탈취할 수 있다. 공격자는 해당 계정에 연결된 모든 LG 디바이스와 어플라이언스를 제어할 수 있다. 해당되는 제품으로는 로봇 진공 청소기, 냉장고, 오븐, 식기 세척기, 세탁기, 드라이어, 에어컨 등이 포함된다.
로봇 청소기 카메라 이용해 사생활 침해할 수도
홈핵은 로봇 진공 청소기 카메라를 통해 사용자의 사생활을 엿볼 수 있다. 이 카메라는 홈가드 보안 기능에서 연결된 LG 스마트씽큐 앱으로 실시간 비디오를 전송할 수 있을 뿐 아니라 사용자의 자택에 보유한 LG 가전기기 종류에 따라, 식기 세척기나 세탁기를 끄거나 켤 수 있었다.
오데드 바누누(Oded Vanunu) 체크포인트 제품 취약성 연구 책임자는 “가정용 스마트 디바이스가 점차 늘어남에 따라 해커들은 디바이스로 눈을 돌려 디바이스 네트워크를 제어하는 앱을 해킹하려 할 것이다. 사이버 범죄자들은 소프트웨어의 결함을 공격하고 가전제품 사용자의 집에 혼란을 일으킬 것이다. 이러한 시도가 증가함에 따라 민감한 사용자 데이터에 액세스할 수 있는 기회가 점점 더 증가하게 될 것”이라며 “사용자는 IoT 디바이스를 사용할 때 보안과 개인정보 보호 위험을 인지하고 있어야 한다. 이뿐 아니라 IoT 제조사는 소프트웨어와 디바이스 설계 시 안정적인 보안을 구현해 스마트 디바이스를 공격으로부터 보호하는 데 초점을 맞추어야 한다”고 말했다.
한편 LG전자는 체크포인트로부터 이 사실을 안내받은 후 패치를 배포하고 취약점 이용 공격 차단에 나섰다.
이군석 LG전자 스마트 솔루션 사업부 스마트 개발팀 매니저는 “LG전자는 체크포인트 소프트웨어와 협력해 보안 문제를 찾아내도록 설계된 고급 루팅 프로세스를 실행하고 즉시 패치 프로그램 업데이트했다. 9월 29일 이후 보안 시스템은 업데이트된 1.9.20 버전으로 문제없이 원활하게 운영되고 있다”며 “LG전자는 소프트웨어 보안 시스템을 지속적으로 강화하는 한편, 체크포인트와 같은 사이버 보안 솔루션 제공업체와 합력하여 더욱 안전하고 편리한 가전제품을 개발하겠다”고 밝혔다.
