체크포인트는 자사 보안 조사팀에서 ‘홈핵(HomeHack)’을 발견했다고 발표했다.
이는 LG전자의 사물인터넷(IoT) 플랫폼 ‘스마트씽큐(SmartThinQ)’ 디바이스에서 발견되는 것으로 수백만 명의 사용자가 스마트씽큐 가전기기를 무단 원격제어 되는 위험에 노출될 수 있는 위험성을 내포하고 있다.
조사결과에 따르면, ‘스마트씽큐’ 모바일 앱 및 클라우드 애플리케이션의 취약성을 활용해 해커가 원격으로 로그인한 후 사용자의 LG 계정을 넘겨받아 진공청소기와 내장 비디오 카메라를 제어할 수 있었다.
일단, 사용자의 LG 계정에 대한 제어권이 확보되면 공격자는 해당 계정에 연결된 모든 LG 디바이스 또는 어플라이언스를 제어할 수 있었다. 해당되는 제품으로는 로봇청소기, 냉장고, 오븐, 식기 세척기, 세탁기, 드라이어, 에어컨 등이 포함된다.
이러한 취약성은 또한, 로봇청소기 카메라를 통해 사용자가 자택에서의 활동을 엿볼 수 있는 기회를 제공했다. 실시간 비디오를 전송할 수 있을 뿐 아니라 사용자의 자택에 보유한 LG 가전기기 종류에 따라, 식기세척기나 세탁기를 끄거나 켤 수 있었다.
체크포인트는 지난 7월, ‘책임 공개(Responsible Disclosure)’ 지침에 따라 LG전자에 취약성을 알렸으며 LG전자는 9월말에 ‘스마트씽큐’ 애플리케이션에 관한 보고된 문제를 시정했다.
LG 측은 체크포인트와 협력해 보안 문제를 찾아내도록 설계된 고급 루팅 프로세스를 실행하고 즉시 패치 프로그램 업데이트했다.
‘스마트씽큐’ 사용자가 디바이스를 보호하려면 LG 웹사이트에서 최신 소프트웨어 버전으로 업데이트해야 한다.
