인터넷은 우리를 이어주지만... 때로는 너무 많이 연결되게 한다
인터넷에 연결된 인터콤/출입 시스템을 사용하는 수많은 아파트 단지가 여전히 기본 자격 증명(default credentials)을 사용하고 있어, 해당 단지의 사용 설명서를 구글링만 한다면 누구나 접근할 수 있는 상태입니다. 실제로 프로그래머 에릭 데이글(Eric Daigle)은 건물 관리 시스템에 쉽게 침입하여 어떤 아파트 문이든 원격으로 잠금을 해제할 수 있었습니다. 데이글이 이 취약점을 발견한 곳은 캐나다에서 주로 사용되는 건물 안전용 보안 출입 단말기 제품군인 Hirsch Enterphone Mesh IoT 보안 시스템입니다.
사물 인터넷(Internet of Things)은 출입 통제 시스템에 깊숙이 자리 잡아, 현대 아파트 단지들이 전화선보다 더욱 안전하고 현대적인 출입 통제 방식을 도입하도록 만들었습니다. Hirsch 사의 Mesh 시스템의 경우, 온라인 포털을 통해 건물 전체에서 사용되는 모든 키 폴(key fob)을 모니터링하고 기록할 수 있으며, 이를 이용해 잠긴 문에 원격으로 접근하는 것이 가능합니다.
안타깝게도, 이 시스템의 사용 설명서에는 접속할 수 있는 웹사이트 주소와 기본 로그인 정보가 쉽게 명시되어 있으며, 이는 구글 검색만으로 찾는 것이 매우 용이합니다. 실제로 데이글은 버스 정류장에서 근처 아파트 보안 단말기의 제품명을 구글링하여 사용 설명서를 찾았고, 단 몇 분 만에 건물에 침입할 수 있는 방법을 알아냈습니다.
(헤드라인 요약: 사용자가 장치를 만지다가 실수로 6,700대 이상의 로봇 청소기 제어권을 획득하다 / 연구원들, 다수의 접속 지점에 영향을 미치는 대규모 Wi-Fi 취약점 발견)
Hirsch의 사용 설명서와 TechCrunch에 대한 공식 답변을 종합하면, 최종 사용자들이 시스템을 구축한 후 기본 자격 증명을 반드시 변경해야 한다고 권고하고 있습니다. 하지만 매뉴얼에는 이 방법을 안내하는 지침이 전혀 없어, 사용자들이 인터넷 보안 시대의 시작부터 존재해 온 이 핵심 보안 조치를 이행할 가능성은 매우 낮습니다. 간단히 모든 Identiv/Hirsch 보안 시스템에 사용되는 관리자 로그인 페이지 이름만 구글링하고 기본 로그인을 입력하면, 어떤 Hirsch 제품 시스템이든 침입을 시도할 기회를 얻게 됩니다.
인터넷에 노출된 보안 패널의 홈페이지에 접속하면 거주자의 전체 이름, 호실 번호, 전화번호를 한눈에 확인할 수 있습니다. 심지어 재미 삼아 건물 전체의 모든 키 폴 활성화 기록을 다년도 로그로 열람할 수 있어, 악의적인 행위자가 단지 거주자 개개인의 출입 및 퇴실 패턴을 파악할 수 있게 합니다. 이 정보만으로는 부족하며, 동일한 웹 포털을 통해 단지 내 연결된 어떤 문이든 잠금을 해제할 수 있습니다.
데이글은 신속한 ZoomEye 쿼리를 통해, 문제가 된 Hirsch 시스템을 사용하는 약 100개의 아파트 단지가 이 취약점에 노출되었으며, 이들 대부분이 캐나다에 위치한다고 추론했습니다. Hirsch는 이전 언론 대응에서 이 보안 취약점을 해결하지 않을 것이라고 명확히 밝혔으며, 이 시스템은 국립 취약점 데이터베이스(National Vulnerability Database)에서 10/10 심각도(Critical)로 평가받았습니다. Hirsch는 여전히 기본 로그인 변경은 최종 사용자의 책임이라고 주장하지만, 그 방법을 사용 설명서에 기재하고 있지는 않습니다.
한편, Hirsch는 해당 제품 사용자들에게도 이 결함에 대한 통지 의무를 이행하지 않을 것이라고 밝혔습니다. 따라서 Hirsch MESH 보안 시스템(모델에 따라 Viscount 또는 Enterphone으로도 불림)을 사용하는 직장, 학교, 또는 아파트에 거주하는 사람들은 관리 사무소에 연락하여 기본 자격 증명이 변경되었는지 여부를 반드시 확인해야 합니다. IoT의 발달 덕분에 우리는 물리적인 열쇠에서 벗어났고, 이제 우리 집이 단지 스마트폰과 구글링 능력을 가진 누구에게나 원격으로 개방될 수 있는 시대에 살게 된 것입니다.