자이스마트홈 월패드에서 서버에서의 검증 미흡에 따른 인증 우회 취약점 발견

취약점 악용시 공격자는 세대주 권한 탈취해 홈 환경 모두 조작 또는 제어 가능해져

자이S&D의 S&D스마트홈 3.2.48 이전 버전 취약, 3.3.10 버전 이상으로 설치해야

[보안뉴스 권 준 기자] 대부분의 아파트에 기본으로 설치돼 있는 월패드의 해킹 위험 때문에 아파트 입주민들의 공포가 커지고 있는 가운데 최근 유명 아파트 브랜드 ‘자이’ 등에 설치되는 자이스마트홈 월패드에서 보안 취약점이 발견된 것으로 드러났다.

​

[이미지=utoimage]

이번에 발견된 자이스마트홈 월패드 취약점은 자이스마트홈 애플리케이션이 서버에서 검증을 수행하지 않아 발생하는 인증 우회 취약점(CVE-2021-26638)으로 심각도가 ‘High’이며, CVSS 점수는 7.3점에 이르는 것으로 분석됐다.

이번 취약점을 악용할 경우 자이스마트홈 앱을 통한 홈 거주자 인증 과정에서 검증 결과를 로컬 앱 환경 내에서 변조해 사용자 인증 우회가 가능하며, 공격자는 세대주 권한을 탈취해 실내 제어를 비롯한 홈 환경을 모두 조작하거나 제어할 수 있는 것으로 드러났다.

‘자이’의 계열사로 주택개발, 홈 네트워크 및 아파트 CS, 부동산 자산관리 분야를 주요 사업영역으로 하고 있는 자이S&D가 개발한 S&D스마트홈(스마트케어) 3.2.48 이전 버전이 해당 취약점에 영향을 받는 제품 및 버전이며, 취약한 버전의 제품 이용자는 S&D스마트홈(스마트케어) 버전 3.3.10 이상으로 설치해야 한다.

한편, 지난해 11월 국내 아파트에 설치된 월패드가 해킹돼 집 내부를 찍은 영상이 판매되고, 다크웹에 올라간 해킹 아파트 7백여 곳의 명단이 온라인을 통해 유포되면서 아파트 월패드 해킹 공포가 크게 확산되고 있다. 이에 따라 정부부처인 과기정통부를 비롯해 각 지자체와 아파트 단지를 중심으로 월패드 보안대책 마련에 적극 나서고 있다.

과기정통부에서 발표한 월패드 등 홈네트워크 기기 관리자 및 이용자 보안수칙에 따르면, 먼저 공동주택 관리자(일명 아파트 관리사무소)가 해킹 등 사이버위협으로부터 홈네트워크 기기들을 보다 안전하게 보호하기 위한 주요 보안수칙으로는 ①방화벽 등 보안장비 운영 ②주기적인 보안취약점 점검 및 조치 ③관리 서버에 불필요한 프로그램 및 서비스 제거 ④관리자 비밀번호 주기적 변경하기 ⑤침해사고 발생 시 인터넷침해대응센터(118)로 신고하기 등이 있다.

또한, 기기 이용자는 ⑥기기는 반드시 암호를 설정하고 ‘1234’, ‘ABC’ 등 유추하기 쉬운 암호 사용하지 않기 ⑦기기는 주기적으로 최신 보안업데이트 하기(매뉴얼 또는 제조 기업문의 등) ⑧카메라 기능 미이용시 카메라 렌즈 가리기 등을 실천해야 한다.

[권 준 기자(editor@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=107797&page=2&mkind=1&kind=1)]