태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
  •MAC.i.Life | ⓩABOUT.me | RSS FEED
Digital & Analogue LifeStyle Webzine
 
🄲 • CATEGORY • 카테고리
ZOOM IN @LL (1840)N
🅘•INFORMATION•IMPROVEMENT (69)
🅝•NEWS•NOTICE (1380)N
🅢•STYLE•STORY (8)
🅘•IMAGINE•INSPIRE (19)
🅖•GOODNESS•GENUINE (6)
🅗•HEART•HEALING (15)
🅣•TREND•TECHNOLOGY (341)N
🅱 • Buyer's Guide • 구매 가이드
🆃 • TODAY's PHOTO • 오늘의 사진
🅁 • RECENT ARTICLE • 최근 기사


🄿 • POPULAR ARTICLE • 인기 기사



[기획] 처음 사용자를 위한 '애플워치 구매 가이드'...5가지만 알면 한결 수월하다!
애플, 오버이어 무선헤드폰 에어팟 맥스 발표...잡음 제거, 공간 음향, 적응형 EQ 지원
먼지, 바이러스, 체온 감지하는 스마트 마스크…’소셜 마스크’, 컨셉 디자인으로 마스크 진화방향 제시
[BrandStory]시리얼 1, 할리데이비슨의 DNA 물려받은 프리미엄 전기 자전거
새로운 맥 OS 빅 서(Big Sur) 정식 출시..11월 13일부터 다운로드 및 업그레이드 가능
202더 강력하고 더 빠르고 더 오래간다...애플, M1 칩 탑재 맥북 에어/프로 & 맥미니 발표
애플, 4가지 아이폰 12 시리즈 발표...A14 바이오닉, 맥세이프, 돌비 비전으로 혁신
완전 무선이어폰도 슬립테크 시장 가세…보스, 수면전용 ‘슬립버즈 II’ 발표
배터리로 최대 2년 사용하는 스마트홈 보안 카메라 ...아마존,  '블링크 인도어 & 아웃도어' 발표
마스크? No! 웨어러블 공기청정기...LG전자, 퓨리케어 웨어러블 IFA 2020에서 공개
갈수록 똑똑해지는 스마트 스피커…아마존, 알렉사에 그룹대화 등 4가지 기능 추가
LTE 지원 윈도10 2-in-1 노트북…레노버, '요가 듀엣 7i' 및 '아이디어패드 듀엣 3i'
애플, '아이폰 SE' 128GB 62만원에 출시...성능은 높아지고 가격은 내려가고
아이패드, 노트북이 되다?!... 애플, '더 진화한 아이패드 프로와 스마트 키보드' 출시
'8GB 메모리+256GB SSD'부터 시작...애플, '성능은 업 가격은 다운' 신형 맥북 에어 출시
스마트폰, 태블릿, 노트북 충전기를 하나로...사테치, 108W PRO 데스크톱 충전기
20초면 손목에서 체성분 분석!...아우라 스트랩, 애플워치와 체성분분석기의 만남
순찰용 인공지능 & 자율비행 드론...선플라워 랩, 보안용 드론 시스템

2019. 9. 14. 16:05

어베스트(Avast)가 인터넷을 통해 쉽게 구매할 수 있는 GPS 트래커에서 다양하고 광범위한 보안 결함을 발견했다고 경고했다. 어베스트는 인터넷 온라인 쇼핑몰에서 판매하는 30여 개의 GPS 트래커 모델에서 보안 취약점을 발견했다고 밝히고, 고객들에게 이러한 위험을 알리는 경고 메시지를 블로그를 통해 공개했다. 특히 아마존과 같은 대규모 온라인 쇼핑몰에서 판매하는 약 60만 개의 어린이용 GPS 트래커에서 심각한 보안 위험을 발견했다고 밝혔다. 

 

GPS를 이용한 다양한 솔루션과 제품이 등장하면서, 일상생활에서 이를 활용하는 사례가 빠르게 확산되고 있다. 작고 가벼우면서 휴대하기 편리하면서 가격까지 저렴한 GPS 트래커는, 특히 어린 아이, 애완동물, 치매 환자 등이 있는 가정에서 인기다. 때로는 자동차, 바이크, 여행 가방 등에 장착해 혹시 모를 도난에 대비하기도 한다. 이러한 이유로 수요가 많은 만큼, 판매하는 업체도 그만큼 많다.

 

GPS 트래커를 통해 위치 좌표가 전송되고 공유되는 경로(위). GPS 트래커의 내부 작동 구조(아래).(화면:decoded.avast.io)

 

GPS 트래커의 주요 유통 채널은 온라인 쇼핑몰이다. 중소규모의 온라인 몰을 통해서도 판매되지만, 아마존(Amazon), 이베이(eBay), 알리바바(Alibaba)와 같은 대형 온라인 쇼핑 사이트에서 25~50$만 주면 누구라도 구매할 수 있다. 이들 제품 중에서는 단순하게 위치만 전송하는 것만이 아니라, 마이크를 내장해 오디오 데이터를 함께 보낼 수 있는 제품도 포함되어 있다. 

 

어베스트는 GPS 트래커에서 위치나 음성 정보를 클라우드 서버로 전송할 때, 악의적인 목적을 가진 누군가로부터, 실시간으로 전송되는 GPS 좌표가 손쉽게 탈취당할 수 있다고 경고한다. 쉽게 말해, 우리 아이의 안전을 위해 구입하고 소지하게 하는 GPS 위치 추적기가, 오히려 아이의 안전을 위협하는 치명적인 도구가 될 수 있다는 뜻이다. 

 

어베스트 중국 제조업체인 쉔젠(Shenzhen) i365가 판매하고, 이를 다시 29개의 브랜드로 재판매된 모델에 취약점이 있다고 블로그를 통해 공개했다. 어베스트의 위협탐지팀인 ATL(Avast Threat Lab)은 GPS 추적기와 함께 제공되는 모바일 앱이, 안전하지 않은 앱 사이트에서 다운로드 받아야 하고, 이를 통해 사용자의 정보를 노출하는 것을 발견했다.

 

GPS 트래커에서 전송된 위치좌표를 로그 서버를 통해 트래픽을 우회 시킨 후 해커가 이를 탈취할 수 있다.(화면:decoded.avast.io)

 

사용자 계정에는 모두 ‘123456’이라는 기본 암호가 설정되어 있어, 해커가 아무런 어려움 없이 접근할 수 있다. 또한 다른 업체가 사용자의 위치를 위조하거나 마이크에 접근할 수 있도록 설계되어 있다. 어베스트는 "이러한 취약점을 6월 24일 제조업체에 알렸지만, 시간이 지나도 해당 업체로부터 아무런 답변이 없었다. 그래서 소비들을 대상으로 경고 메시지를 전달하고, 해당 GPS 추적기 사용을 중단할 것을 강력하게 권고한다"고 밝혔다.

 

아울러 비슷한 기능을 제공하는 스마트 디바이스를 사용하는 사람들은, 구입할 때 설정되어 있는 기본 관리자 번호를 복잡한 것으로 변경할 것을 권고했다. 비밀번호를 복잡하게 변경하는 것만으로도, 암호화되지 않은 데이터를 전송할 때, 해커가 데이터를 가로채는 위협을 조금이라도 줄일 수 있기때문이다. 아울러 GPS 트래커를 사용해야 한다면 신뢰할 수 있는 업체의 제품을 선택하라고 조언한다. 

 

특히 이번 테스트에서 GPS 트래커의 웹 응용프로그램에서 생성되는 모든 요청이 암호화되지 않은 일반 텍스트로 전송되는 것을 발견했다. 게다가 전화 번호로 전화를 걸어 트래커의 마이크를 통해 도청을 하고, 해커가 장치의 전화 번호를 식별하여 인바운드 SMS 공격에 사용할 수 있는 SMS를 보내고, SMS를 이용해 클라우드 서버로 가야할 데이터를 가짜 서바로 라우팅하고, 트래커에 펌웨어를 설치해 기능을 바꾸거나 백도어를 설치할 수 있는 것으로 드러났다.

 

이번에 보안 테스트를 진행한 모델은 ’T8 Mini GPS Tracker’라는 모델이다. 어베스트는 열쇠고리에 달기에 적합하면서, SOS 버튼을 탑재하고, 마이크와 스피커를 내장해 양방향 통신이 있는 제품으로 선택했다고 테스트 제품 선정 기준을 밝혔다. 이번 테스트에 대한 자세한 방법과 과정 그리고 결과에 대한 정보는 어베스트의 어베스트 디코디드에서 확인할 수 있다.