top of page

LG ‘스마트홈’보안 취약점 발견… 로봇 청소기로 엿보고 가전 제어


체크포인트가 LG 스마트씽큐 디바이스에서 홈핵(HomeHack)을 발견했다고 31일 밝혔다.

LG전자의 가전용 제품을 사용하는 수백만 명의 사용자가 스마트씽큐 가전용 기기를 무단 원격 제어되는 위험에 노출된 것. 체크포인트 조사에 따르면 LG 스마트씽큐 모바일 앱 및 클라우드 애플리케이션의 취약성을 활용,

해커는 스마트씽큐 클라우드 애플리케이션에 원격으로 로그인한 후 사용자의 LG 계정을 넘겨받아 진공 청소기와 내장 비디오 카메라를 제어할 수 있었다. 우선 사용자의 LG 계정에 대한 제어권이 확보되면 공격자는 해당 계정에 연결된 모든 LG 디바이스 또는 어플라이언스를 제어할 수 있다.

여기에 해당되는 제품으로는 로봇 진공 청소기·냉장고·오븐·식기 세척기·세탁기, 드라이어·에어컨 등이 포함된다. 또 홈-봇(Hom-Bot) 로봇 진공 청소기 카메라를 통해 사용자가 자택에서의 활동을 엿볼 수 있는 기회를 제공했다.

이 카메라는 홈가드 보안 기능에서 연결된 LG 스마트씽큐 앱으로 실시간 비디오를 전송할 수 있을 뿐 아니라

사용자의 자택에 보유한 LG 가전기기 종류에 따라, 식기 세척기나 세탁기를 끄거나 켤 수 있었다. 오데드 바누누 체크포인트 제품 취약성 연구 책임자는 "집에서 사용하는 스마트 디바이스가 점차 늘어남에 따라 해커들은 디바이스로 눈을 돌려

디바이스 네트워크를 제어하는 앱을 해킹하려 할 것"이라며 "사이버 범죄자들은 소프트웨어의 결함을 공격하고 가전제품 사용자의 집에

혼란을 일으킬 것"이라고 경고했다.

이어 그는 "IoT 제조사는 소프트웨어와 디바이스 설계 시 안정적인 보안을 구현해 스마트 디바이스를 공격으로부터 보호하는 데 초점을 맞춰야 한다"고 덧붙였다. 체크포인트 조사팀은 스마트씽큐 모바일 앱의 취약성을 활용해 거짓 LG 계정을 만든 후,

사용자의 LG 계정을 넘겨받아 LG의 스마트 가전기기에 대한 제어권을 확보할 수 있었다.

이어 LG전자는 9월 말에 스마트씽큐 애플리케이션에 관한 보고된 문제를 시정했다. 이군석 LG 전자 스마트 솔루션 사업부 스마트 개발팀 매니저는 "9월 29일 이후 보안 시스템은 업데이트된

1.9.20 버전으로 문제 없이 원활하게 운영되고 있다"며 " LG 전자는 소프트웨어 보안 시스템을 지속적으로 강화하는 한편,

체크포인트와 같은 사이버 보안 솔루션 제공업체와 합력하여 더욱 안전하고 편리한 가전제품을 개발할 것"이라고 말했다.


bottom of page