아파트 단지에서 사용되는 IoT 연결 인터콤 시스템, 특히 Hirsch Enterphone Mesh 시스템에서 심각한 보안 취약점이 발견되었습니다. 이 시스템은 안전한 접근을 위해 설계되었지만, 기본 자격 증명으로 여전히 운영되고 있어 온라인에서 사용자 매뉴얼을 찾을 수 있는 누구에게나 쉽게 접근할 수 있습니다. 프로그래머 에릭 다이글(Eric Daigle)은 이 취약점을 시연하며 건물 관리 시스템에 침입하고 몇 분 만에 아파트 문을 원격으로 잠금 해제하는 데 성공했습니다.
Hirsch Mesh 시스템은 온라인 포털을 통해 접근 지점을 원격으로 모니터링하고 제어할 수 있도록 합니다. 그러나 기본 로그인 정보는 제품의 설명서에 쉽게 접근할 수 있으며, 이는 구글 검색을 통해 쉽게 찾을 수 있습니다. 다이글의 발견에 따르면, 주로 캐나다에 위치한 거의 100개의 아파트 단지가 이 취약점으로 인해 위험에 처해 있습니다.
이 취약점은 국가 취약점 데이터베이스(National Vulnerability Database)에서 10/10으로 평가될 만큼 심각하지만, Hirsch는 이 문제를 해결하지 않겠다고 밝혔으며, 기본 자격 증명을 변경할 책임은 최종 사용자에게 있다고 강조했습니다. 불행히도 사용자 매뉴얼에는 이 필수 보안 단계를 수행하는 방법에 대한 지침이 없어 많은 사용자가 위험을 인식하지 못하고 있습니다.
무단 사용자가 시스템에 접근하게 되면, 거주자의 이름, 방 번호, 전화번호와 같은 민감한 정보를 볼 수 있으며, 키 폽(key fob) 활성화 로그도 확인할 수 있습니다. 이 데이터는 거주자의 움직임을 추적하고 문을 원격으로 잠금 해제하는 데 악용될 수 있습니다. Hirsch MESH 시스템 사용자들은 기본 자격 증명이 변경되었는지 확인하기 위해 건물 관리자에게 연락할 것을 권장하며, IoT 애플리케이션에서 더 나은 보안 관행의 필요성을 강조합니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.