삼성은 사물 인터넷 기반의 스마트홈 분야를 강화하기 위해 사물 인터넷 전문 업체 스마트싱스(SmartThings)를 2014년 8월에 인수한 뒤 스마트 홈 허브와 스마트 전구, 온도 조절기, 보안 시스템 등 다채로운 관련 제품을 생산해 오고 있다. 그런데 삼성 스마트싱스로 연동되는 현관문의 비밀번호를 해커가 알아낼 수 있는 취약점이 노출됐다고 아스테크니카가 3일 보도했다.
이 사실은 미시간 대학의 연구원들이 찾아낸 것으로 스마트싱스 프레임워크에 내재된 쉽게 고치기 힘든 두 가지 취약점으로 인해 발생한 것이라고 밝혔다. 이 취약점으로 인해 연구원들은 공격자의 문자 메시지로 사전 프로그래밍 된 휴가 모드 설정을 사용하지 않도록 하거나 가짜 화재 경보를 발생시킬 수 있었으며, 어떻게 해당 취약점으로 현관문의 비밀 번호를 알아낼 수 있는지 실제 시연 동영상을 공개했다.
이 동영상에서 공격자가 악의적인 앱을 미리 설치해 놓은 뒤 이용자가 스마트싱스 앱을 통해 현관 비밀번호를 변경하면 공격자에게 바뀐 비밀번호를 전달되어 이를 통해 현관문을 열 수 있다. 또한 좀더 권한을 가진 그루비 언어에서 프로그래밍을 통해 공격자가 비밀 번호를 직접 넣은 뒤 현관문을 열 수 있는 것도 함께 공개했다.
이 취약점이 공개된 이후 삼성은 공식 성명을 통해 “미시간 대학과 마이크로소프트 연구 보고서에 대해 충분히 인식했으며, 산업이 성장함에 따라 스마트 홈을 보다 오래 안전하게 이용할 수 있는 방법에 대해 지난 몇 주 동안 보고서의 저자와 함께 일해 왔다”고 밝히고, “SmartApp의 승인 절차를 개선하고 확인된 잠재적 취약성에 대해선 고객에 영향을 미치지 않도록 SmartApp의 배포에 대한 보안성 검토와 관련된 요구 사항을 추가했다”고 발표했다.
해당 취약점을 발견한 연구원들은 이달 말에 열리는 보안과 개인 정보를 논의하는 IEEE 심포지움에서 관련 논문을 발표할 예정으로 알려졌는데, 스마트홈의 확대될 수록 이같은 보안에 대한 잠재된 위험성에 대한 우려도 더 높아질 것으로 보인다.