밀레 식기세척기 IoT 보안 취약점 발견 보도...보안 대비책 필요

[뉴스비전e 김호성 기자] 최근 IoT(사물인터넷) 기기에 대한 보안의 중요성이 대두되고 있는 데,  독일 대표가전업체 밀레(Miele)의 식기세척기에서 보안 취약점이 발견되었다는 보도로 인한 해프닝이 일어났다.

▲ 밀레 식기세척기 보안 문제에 대해 보도한 외신...밀레 반박

사이버스쿠프(cyberscoop) 등 해외 IT 전문 매체들은 밀레의 식기 세척기에 탑재된 웹 서버의 기능에 보안 취약점이 발견된 것 같다며, ‘디렉토리 접근공격(Directory Traversal)’을 통해 취약점이 악용되면 공개용 디렉토리 밖에 놓인 파일, 즉 공개를 허용하지 않는 파일도 외부에서 접근할 수 있게 될 위험이 있다고 보도했다.

특히, 해당 식기 세척기 모델이 병원이나 의료기관에서 많이 사용되고 있어 해커들이 이 취약점을 공격하여 병원 및 의료 기관의 네트워크에 침입한 후 환자의 의료 기록 등 중요한 정보를 훔쳐갈 우려 또한 있다는 점이 강하게 부각된 것으로 보인다.

이러한 외신의 보도에 대해 밀레는 강하게 반박했다. 취약점이 발견된 것은 사실이지만 해당 장비인 ‘PG 8528’은 식기 세척기가 아니라 의료용 소독기(disinfect medical products)라고 해명하였다. 또한, 해당 의료용 소독기가 네트워크에 연결되어 있기는 하지만, 인터넷에 직접 연결되어 있지는 않기 때문에 병원·의료기관의 네트워크 침입에 활용될 수는 없다고 반박했다. 

하지만 해당 기기가 연결된 네트워크에서 취약점을 공격 당하면 비밀번호 등을 도난당할 우려가 있고, 알아 낸 암호를 사용하면 해당 기기의 소프트웨어에 접근할 수 있으므로 제 3 자가 마음대로 소독 조작을 할 가능성은 있을 수 있다고 시인한 것으로 알려졌다,

▲ 밀레의 식기세척기는 해프닝으로 끝났지만 여전히 존재하는 IoT 보안 위협

스위스 유라의 커피 메이커 Impressa F90 모델은 별도의 인터넷 연결 키트가 있었으며, 이 부분에서 보안 취약점이 발견됐다. 연결 키트의 취약점을 이용하면 인터넷을 통해 커피의 농도와 양, 넣는 시간 등을 제 3 자가 마음대로 설정할 수 있게 되기 때문에, 옅은 커피를 좋아하는 사람이 매번 진한 커피를 먹게 되는 사고가 발생할 수도 있다.

또한 냉장고도 보안에 취약한데, 2015 년 열린 세계 최대 보안 이벤트 데프콘(DEFCON)의 IoT 해킹 대 회에서는 삼성전자의 스마트 냉장고에서 취약점이 발견되었다. 이 냉장고는 구글 캘린더에 접속한 후 냉장고의 전면 스크린에 스케줄 등을 표시해 주는 기능이 있는데, 보안 취약점을 공격하여 캘린더 정보를 위조해 보여주거나 구글 계정의 비밀번호를 훔치는 등의 일이 가능하다.

이 외에도 정보 가전(IoT)의 취약점은 계속해서 발견되고 있고, IoT의 용도가 확대되면 미래에는 심각한 상황이 전개될 가능성이 있기 때문에, 개발자나 가전업체, 그리고 사용자 모두 보안 문제에 대해 심각하게 인식하고 대응해야 한다.