시큐인사이드 2013이 7월 3일 개최됐다. 이날 해커스쿨 소속 신정훈 연구원은 ‘Hacking Smart Devices’라는 주제로 발표를 진행했다. 많은 참관객이 몰린 세션이었다. 그는 지난해 발표에서도 전광판 해킹으로 주목을 끌었으며 이번에는 네트워크 CCTV와 포스기를 대상으로 재미있는 연구결과를 발표했다.

 
신정훈 연구원(위 사진)은 데일리시큐와 인터뷰에서 “CCTV는 이제 네트워크에 물려 작동하고 있다. IP 기반으로 작동하기 때문에 아이디와 패스워드를 알게 되면 누구나 접근할 수 있다”며 “현재 모 CCTV 제품은 디폴트로 제공되는 아이디와 패스워드가 그대로 사용되고 있다. 사용자들은 대부분 설치 후 패스워드 변경을 하지 않는다. 이를 업체에서 강제로 패스워드를 교체할 수 있도록 해 줘야 안전하다”고 강조했다.
 
예를 들어 CCTV가 설치된 커피점에서는 대부분 와이파이 아이디와 패스워드를 매장 고객들에게 알려준다. 이때 아이디와 패스워드만 알면 매장에 설치된 CCTV에 접근해 화면을 볼 수 있게 되는 것이다.
 
신 연구원은 “CCTV 제품 카탈로그나 제품 설명서에 기본 아이디와 패스워드가 박혀 있는 경우가 있다. 이는 제조사에서 사용자들의 안전을 위해 설치후 패스워드 변경을 할 수 있도록 조치해야 한다”고 조언했다.
 
한편 매장에서 사용하고 있는 포스기에 대한 취약성도 공개됐다. 그는 “포스기에서 카드번호는 암호화돼서 알아내기는 어렵고 조작이 가능한 것은 상품 가격이나 매장 정보 등을 쉽게 변경할 수 있다”며 “이 또한 포스기 설치시 제공되는 아이디와 패스워드가 그대로 사용되면서 발생하는 취약성이다. 모든 포스기가 그런 것이 아니라 확인된 한 곳의 포스기에서 이런 문제가 발생하고 있다는 것을 알게 됐다”고 밝혔다.
 
그는 “웹에서 다운받을 수 있는 클라이언트를 분석해서 아이디와 패스워드를 알 수 있었다”며 “소프트웨어 해킹은 할 수 있는 사람들이 많다. 하지만 임베디드 기계들에서 발생할 수 있는 다양한 취약성에 대한 연구가 앞으로 더욱 필요하다고 생각한다. 이 분야에 대한 연구를 계속 해 나갈 것”이라고 말했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com