정부는 추석 연휴를 앞두고 공공기관이나 명절 선물 발송처를 사칭한 문자 메시지 사기(스미싱)가 기승을 부릴 것으로 보고 각별한 주의를 당부했다.
정부가 집계한 2022년부터 올해 상반기 문자 사기 현황에 따르면 공공기관 사칭 스미싱이 116만여건(71%), 청첩장·부고장 등 지인 사칭형 27만여건(16.8%), 투자·상품권 사칭형 2만여건(1.3%)이었다.
정부는 유포된 미끼 문자를 통해 원격조종이 가능한 악성 앱이 설치되면 거액이 인출되는 등 재산상 피해가 발생할 수 있다고 경고했다.
챗GPT로 도어락 해킹 현실화…피해 막으려면
2021년 대한민국은 아파트 월패드 해킹 사건으로 발칵 뒤집혔다. 가정집 내부를 비추고 있는 월패드가 해킹 당해 사생활 영상이 해커의 손에 넘어간 사건이다. 이후 사물인터넷(IoT) 보안이 강화되며 일단락되는가 싶더니 최근 보안 전시회에서 챗GPT를 악용해 디지털 도어락을 해킹하는 상황을 시연해냈다.
휴가철이 되면서 집을 오래 비웠을 때 해커가 디지털 도어락 신호를 탈취해 문을 열고 집안으로 침입할 수 있다는 우려가 나온다
한 가정집에 설치된 디지털 도어락 모습/ IT조선DB
3월 국내 최대 통합보안 전시회 SECON & eGISEC 2023 행사장에서는 챗GPT를 악용한 도어락 해킹 시연이 진행됐다. 당시 현장에 연결된 도어록이 물리적 접촉 없이 해커의 공격만으로 열리고 닫혔다.
디지털 도어락은 기본적으로 근거리 무선통신에 널리 사용되는 RF(Radio Frequency) 신호를 통해 작동하기 때문에 무선 신호를 가로채는 방식으로 해킹이 가능하다.
무선주파수 신호를 탈취한 뒤 신호를 조작하는 형태로 해킹이 이뤄질 수 있는데, 신호를 탈취하고 위조할 수 없도록 암호화 기능을 제공하는 제품을 사용하는 것이 가장 좋은 방법이다.
정부는 국민의 일상생활과 밀접한 IoT 제품이나 앱이 일정 수준 이상의 보안 요구조건을 갖추도록 해 국민의 사생활을 보호하기 위해 IoT 보안인증을 운영하고 있다.
보안인증을 받은 도어락은 암호화 기능이 포함돼 있는데, 보안 인증 여부는 정보보호산업진흥 포털에서 ‘IoT 보안인증 현황’을 통해 확인할 수 있다.
IoT 보안인증을 받은 제품을 사용하는 게 가장 쉬운 보안 강화 방법이지만 당장 도어락을 바꾸기 어렵다면 도어락 내부의 무선주파수 신호 수신기를 꺼도 된다.
다만 월패드와 연동이 되지 않은 도어락의 경우는 무선주파수 신호 수신기가 없어 해킹 우려가 낮다. 월패드를 통해 조작을 할 수 있냐 없냐의 차이다. 기능이 많을수록 해킹 우려가 높아진다는 말이 나오는 이유다.
기기 종류별로 다르지만 수신 칩을 제거하거나,
버튼을 눌러 신호 수신 기능을 끄면 된다.
그렇게 되면 원격으로 도어락을 작동할 수는 없다.
하지만 IoT 보안인증을 받지 않은 도어락이라면 보안을 위해서 추천되는 방법이다.
특히 IoT 보안인증 여부를 확인하기 위해 정보보호산업진흥 포털에서 제품을 조회하려고 해도 올해 7월부터 신규로 인증을 받은 제품들의 경우 포털 리스트에 제품명이 명확하게 표시되고 사진도 함께 뜨지만 이전 인증 제품들은 일반인들이 알아보기 어렵게 돼있다.
예를들면
제품명: 월패드(HNS-I1073)(제품버전 : V1.0, HW버전 ; MAIN PCB : HNS-I1073 V03 2021.05.13, KEY PCB : HNS-I1073_KEY_V011 2020.10.16, SW버전 : NMF27D.1.10.1.12)’ 식이다.
보안업계 한 관계자는 "도어락 해킹 사례가 많지는 않지만 불가능한 일이 아니다"며 "IoT 보안인증을 받지 못한 제품은 판매가 아예 불가능한것도 아니라 스스로 잘 확인하는 수밖에 없다"고 말했다.
이인애 기자 22nae@chosunbiz.com
■■■■
https://v.daum.net/v/20201005070106292
[취재후] 1분 만에 "문이 열렸습니다"..우리 집 도어록 안전할까
이미지 크게 보기
[ 취재후 ] 1분 만에 "문이 열렸습니다"..우리 집 도어록 안전할까
문예슬2020. 10. 5. 07:01
요즘 가정집에 사용되고 있는 디지털 도어록. 비밀번호를 입력하거나 스마트 키를 갖다 대 문을 열 수 있습니다. 그뿐만 아니라 리모컨을 이용해서도 문을 열 수 있을 정도로 편리합니다. 그런데 이런 디지털 도어록 상당수가 단순한 해킹에도 취약한 것으로 드러났습니다. 어떤 원리일까요. KBS는 한 가정집에서 직접 실험을 해 봤습니다.
■ 단 1분 만에…"문이 열렸습니다"
유사 범죄를 우려해 구체적으로 묘사하기는 어렵지만, 해킹 과정은 놀라울 만큼 간단했습니다. 해킹 기계와 휴대전화를 연결하고 특정 앱을 내려받아 몇 가지 설정을 합니다. 기사에서 편의상 '해킹 기계'라고 말했지만, 사실은 다른 연구에서도 사용하는 기계입니다.
이 기계를 켜서 근처에 두고, 리모컨이나 집 안에 설치된 홈넷 시스템으로 문을 엽니다. 이후 해킹 기계에서 버튼 하나만 누르니, 꿈쩍도 않던 문이 불과 몇 분 만에 열렸습니다. 특정 부품을 파손하거나 제거하지도 않았고 경보음이 울리지도 않았습니다. 아무런 흔적을 남기지 않고 문이 열렸습니다
■ 원리는 '신호 낚아채기'
해킹 원리는 이렇습니다. 디지털도어록은 리모컨이나 홈넷 시스템이 구축된 홈넷 패널을 이용해 원격으로 문을 열 수 있습니다. 원격으로 연다는 것은 어떤 신호를 이용한다는 건데요. 쉽게 말해 이때 나오는 신호를 해킹 기계를 이용해 낚아채는 겁니다.
이미지 크게 보기
물론 기계가 주변에 떠다니는 모든 신호를 낚아채는 건 아니고, 특정 주파수에 해당하는 신호만 낚아챕니다. 그런데 대부분의 도어록은 같은 범위의 주파수를 공유합니다. 결국, 해당 주파수 대역만 알면 기계가 도어록의 신호를 금세 복사할 수 있는 겁니다. 복사한 신호는 스마트폰에 저장할 수 있고 이후 스마트폰에 저장된 신호를 기계를 통해 다시 쏘면 문은 열립니다.
■ 해킹 방지 기능 없다면 리모컨·홈넷 시스템 이용 말아야
해킹 과정이 간단한 만큼 해킹을 막는 법도 간단합니다. 도어록이 주고받는 신호를 암호화하면 됩니다. 그러면 해킹 기계가 신호를 낚아채더라도 복사할 수 없게 되는 겁니다.
김창우 경희대 전자공학과 교수는 "이 같은 기술은 매우 간단한 수준"이라며, 각 업체에서 이를 마련하지 않았다면 이는 비용이나 기술의 문제라기보다 보안에 대한 이해가 부족한 것이라고 말했습니다. 조금만 관심을 가지면 충분히 마련할 수 있는 조치라는 겁니다.
염흥열 순천향대 정보보안학과 교수도 "도어록에 위조된 RF 신호를 탐지할 수 있는 기능이 있고, 위조된 RF 신호를 없앨 수 있는 기능이 있다면 해킹을 막을 수 있다"며 "기술적으로 굉장히 쉬운 해킹이고 기술적으로 비교적 쉽게 방지할 수 있다"라고 말했습니다.
하지만 내 집 도어록이 이미 해킹에 취약하도록 설계된 제품이라면 소비자들로서는 자구책을 마련할 수밖에 없습니다.
앞서 말씀드렸듯 해킹은 도어록 제품 자체가 아니라 무선 신호를 이용해 이뤄집니다. 그리고 이 무선 신호는 리모컨과 홈넷시스템에서 나옵니다. 따라서 임시방편이긴 하지만 리모컨과 홈넷 시스템을 사용하지 않는 방법으로 해킹을 막을 수 있습니다.
그럼 신호를 복제할 수 없게 되겠죠.
이미지 크게 보기
홈넷 시스템에 사용되는 홈넷 패널
우리 집 도어록이 이미 뚫린 건 아닐지 걱정될 경우, 아예 도어록의 신호 수신기를 빼 두는 방법이 있습니다. 도어록의 원래 기능 중 일부를 포기해야 하지만, 이번 추석 연휴처럼 집을 오래 비우신다면 임시방편으로나마 이 같은 대비가 필요합니다.
도어록 수신기
집 안쪽에 달린 도어록 뒷부분을 열면 손가락 두 개 만한 칩이나 팩이 있습니다. 손으로 간단히 뺄 수 있습니다. 단, 혹시 모르니 손을 대기 전에 건전지를 빼서 전원을 차단하는 게 좋습니다.
■ 제조사 5곳 중 3곳, "전부 혹은 일부 제품 해킹에 뚫려"
하지만 이는 임시방편일 뿐입니다. 디지털 도어록 제품 자체에 해킹을 막을 수 있는 기능을 포함하는 게 궁극적인 해답입니다. 국내 시장에서 많이 팔리는 디지털 도어록 업체 5곳 중 2곳은 해킹을 막을 수 있는 기술을 적용해 둔 것으로 파악됐습니다.
지금은 아직 해킹 방지 기술을 제품에 포함하지 않은 업체 중에도, 이같은 사실을 이미 인지하고 현재 기술적인 보완을 진행하는 곳이 있습니다. 이 업체는 이미 판매된 5천여 개 제품의 경우 부품 교체나 업그레이드를 할 것이라고 답했습니다. 만약 불법 해킹 등으로 소비자가 직접적인 피해를 보았다면 규정에 따라 보상 책임을 다하겠다고 밝혔습니다.
나머지 업체는 자사 제품이 해킹에 취약하다는 점을 인정하면서도 자발적 리콜이나 수리 등에 대해서는 명확한 답변을 하지 않았습니다. 어떤 회사는 사용 고객 수를 파악하기 어렵다며 해킹 취약 모델과 판매 수량도 밝히지 않았습니다.
■ 도어록제조사협회, "대책 마련할 것"
한국도어록제조사협회 측은 제조사들의 협의를 거쳐 고객이 불편하지 않도록 적극적으로 대응하겠다고 밝혔습니다. 이미 시중에 판매된 제품들에 대해서는 자발적 수리 등 여러 방안을 검토하고 있고, 앞으로 판매될 제품에 대해서는 보안 인증을 받겠다는 입장입니다.
한국 인터넷 진흥원(KISA)은 무선통신 해킹에 대한 보안성 강화를 위해 'IoT 보안인증'을 받은 도어록을 이용해 달라고 당부했습니다. 내가 쓰는 제품이 KISA 인증을 받았는지 알아보려면 정보보호산업진흥포털 누리집(kisis.or.kr)의 'IoT 보안인증 현황' 탭에서 확인할 수 있습니다.