2019. 7. 23. 17:54ㆍ보안 공부/보안뉴스
# 기사 정리
2019년 7월 15일 보안뉴스 기사를 통해 키로 등록되지 않은 스마트 워치에 의해 디지털 도어록이 열리는 문제가 알려졌다. 최초 알려진 문제는 RF키를 '키'로 사용하는 삼성SDS 스마트도어락에 티머니 앱을 설치한 삼성전자 갤럭시워치를 '키'로 등록할 경우 다른 등록하지 않은 갤럭시워치에 의해 도어락이 열린다는 것이었다.
(기사에서 테스트에 사용한 제품은 디지털 도어록 1종과 스마트워치 2종이었고, 다른 블로그의 글에서 동일한 문제 내용을 확인할 수 있었다고 언급됐다.)
이후 최초 테스트와 동일한 환경(디지털 도어록 1종과 스마트워치 2종)에 갤럭시 기어S3 2종을 추가해 두번째 테스트를 진행한 결과, 갤럭시 기어S3의 NFC 기능만 활성화되어 있는 경우에는 디지털 도어록과 갤럭시 기어S3가 통신하지 않지만, 티머니 앱을 설치하고 다시 NFC 기능을 활성화하면 디지털 도어록과의 통신이 가능해지고, 등록된 키가 아님에도 디지털 도어록이 열리는 것이 확인되었다. (스마트워치를 키로 등록한 상태에서 갤럭시 기어S3도 키로 인식)
산업통상자원부 국가기술표준원에서 해당 보안 취약점에 대해 실험을 진행 중이고, 아직까지는 국표원이나 보안뉴스 차원에서의 취약점의 원인은 밝혀지지 않은 상태이다.
(( 디지털 도어록 제조사 / 스마트워치 제조사 / 교통카드 제작업체 ))
남의 집 디지털 도어록까지 ‘띠리릭’... 만능키 된 ‘갤럭시워치’
[단독] 남의 집 디지털 도어록까지 ‘띠리릭’... 만능키 된 ‘갤럭시워치’
이젠 가정집에 보편화된 디지털 도어록은 편리와 안전, 두 마리 토끼를 모두 잡은 생활밀착형 ICT 장비다. 특히, 최근에는 네트워크 연결을 통한 IoT 기기의 선두주자로 손꼽히면서 그 위상이 올라가고 있다. 그런데 최근 디지털 도어록과 스마트워치와 관련된 치명적 취약점이 발견되면서 사용자들의 불안감이 커지고 있다.
www.boannews.com
디지털 도어록 여는 데 갤럭시워치 사용한다면? 바로 키 등록 해제 필요
[긴급] 디지털 도어록 여는 데 갤럭시워치 사용한다면? 바로 키 등록 해제 필요
본지가 등록하지 않은 갤럭시워치로 디지털 도어록을 열었다는 단독 기사([단독] 남의 집 디지털 도어록까지 ‘띠리릭’... 만능키 된 ‘갤럭시워치’)를 보도한 후, 갤럭시워치 혹은 디지털 도어록에 대한 불안감을 토로하는 사람들이 늘고 있다. 이와 관련해서 현재 갤럭시워치를 디지털 도어록의 키로 등록해 사용하는 사람들은 갤럭시워치 등록을 지금 즉시 리셋해 키 등록을 취소해야 한다.
www.boannews.com
‘뻥’ 뚫린 도어록 보안... 네티즌 “워치+도어록=잘못된 만남”
‘뻥’ 뚫린 도어록 보안... 네티즌 “워치+도어록=잘못된 만남”
15일 본지의 갤럭시워치 및 디지털 도어록 취약점 기사를 접한 네티즌들은 대부분 “황당하다”는 입장을 나타냈다. 취약점 검증에 사용된 스마트워치와 도어록 제조사인 삼성전자, 삼성SDS를 비판하는 목소리도 눈에 띄었다. “기사 보고 처음 알았다”며 가슴을 쓸어내리는 반응도 많았다.
www.boannews.com
열려라 워치? 갤럭시 기어S3도 남의 집 ‘디지털 도어록’ 연다
[단독] 열려라 워치? 갤럭시 기어S3도 남의 집 ‘디지털 도어록’ 연다
본지가 지난 7월 15일 보도한 ‘[단독] 남의 집 디지털도어록까지 띠리릭...만능키 된 갤럭시워치’ 기사 이후 삼성SDS 디지털 도어록과 갤럭시워치를 사용하는 사람들은 물론 다른 브랜드의 디지털 도어록과 스마트워치 사용자까지 불안함을 호소했다. 이에 본지는 갤럭시워치 이전 버전의 삼성전자 스마트워치인 ‘갤럭시 기어S3 프론티어(이하 갤럭시 기어S3)’ 제품 2종을 준비해 또 다른 테스트를 진행했다.
www.boannews.com
디지털 도어록+갤럭시워치 보안 취약점 문제, 정부기관 나섰다
[단독] 디지털 도어록+갤럭시워치 보안 취약점 문제, 정부기관 나섰다
본지가 15일 단독 보도한 갤럭시워치 및 디지털 도어록 보안 취약점 기사를 접한 정부기관에서도 대응에 나서고 있다. 산업통상자원부 국가기술표준원(국표원, 원장 이승우)은 19일 본지 전화 취재를 통해 “<보안뉴스>의 보도 내용을 실험기관에 전달, 모든 갤럭시워치로 디지털 도어록이 열리는지에 대한 실험을 진행중”이라며 “실험후 타당성 유무에 따라 회의를 통해 조치에 나설 것”이라는 입장을 전했다.
www.boannews.com
디지털 도어록 취약점 논란의 당사자들, 명확한 해법 못 찾았나
디지털 도어록 취약점 논란의 당사자들, 명확한 해법 못 찾았나
<보안뉴스>가 삼성전자의 갤럭시워치 모델에서 디지털 도어록 해제 권한이 없어도 도어록을 열 수 있는 취약점을 발견하자, 삼성SDS가 “안전한 도어록 사용을 위해 교통카드 앱이 설치된 스마트워치의 키 등록을 해제해달라”는 공지를 올렸다. 삼성SDS는 본지의 취약점 테스트에 사용된 디지털 도어록의 제조사다.
www.boannews.com
갤럭시워치 제조사 삼성전자, 디지털 도어록 이슈 무대응 일관
갤럭시워치 제조사 삼성전자, 디지털 도어록 이슈 무대응 일관
지난 15일 본지 보도로 촉발된 디지털 도어록 취약점 논란의 핵심은 ‘키’다. 일부 사용자들이 디지털 도어록의 무선주파수(RF) 기능을 활용해 RF의 한 종류인 근거리 무선통신(NFC) 기능이 탑재된 갤럭시워치를 도어록 열쇠(키)처럼 사용했는데, 알고 보니 이 열쇠가 우리 집도, 남의 집 도어록도 여는 만능 키였던 것이다. 이러한 가운데 이번 취약점이 발표되고 원인 분석이 진행되는 과정에서 갤럭시워치 제조사인 삼성전자의 무대응에 대한 논란이 커지고 있다.
www.boannews.com
[기자수첩] IoT 기기 간의 잘못된 만남, ‘초연결사회’ 민낯 드러내다
[기자수첩] IoT 기기 간의 잘못된 만남, ‘초연결사회’ 민낯 드러내다
디지털 도어록 취약점에 대한 본지의 단독 보도(남의 집 디지털 도어록까지 ‘띠리릭’... 만능키 된 ‘갤럭시워치’)는 본격적으로 도래하고 있는 초연결사회에서의 부작용과 민낯을 여실히 보여준 사례가 되고 있다.
www.boannews.com
# 용어/기술 정리
1. RF (Radio Frequency)
: 무선 주파수
2. RFID (Radio Frequency IDentification)
: 전파 식별
: 전파 신호를 통해 비접촉식으로 사물에 부착된 얇은 평면 형태의 태그를 식별해 정보를 처리하는 시스템.
: 정보를 제공하는 태그(Tag)와 해당 정보를 판독/해독하는 판독기(Reader)로 구성
: RFID 태그와 판독기를 도어록에 응용=> 키를 RF키, 도어록을 RF락 이라고 하는 것으로 추정됨
: 최대 100m 판독 거리를 갖는 능동형 RFID 태그 / 자체 전원이 없는 수동형 RFID 태그
: 수동형 RFID 태그는 작동하는 주파수 범위에 따라 Low/High/Ultra High Frequency로 구분됨
→ LF RFID / HF RFID / UHF RFID
3. NFC (Near Field Communication)
: 근거리 무선 통신
: 고주파(HF) RFID 리더 및 태그와 동일한 주파수에서 작동.
: RFID 장치와 NFC 구분 기준은 "상호 간 통신". NFC 장치는 리더 및 태그로 모두 작동 가능.
(RFID는 NFC보다 광범위한 기술)
: 전자 장치 간 양방향 상호작용을 수행하는 단거리 무선 연결 기술. (약 4~5cm 거리)
'보안 공부 > 보안뉴스' 카테고리의 다른 글
| 뉴스정리_다크웹에서 한국 CP 데이터 수요 증가 (0) | 2019.08.08 |
|---|---|
| Shellshock (0) | 2019.04.16 |