태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
  •MAC.i.Life | ⓩABOUT.me | RSS FEED
ZOOMinLIFE.com
Digital & Analogue LifeStyle Webzine
ⓋⒾⒺⓌ•ⒶⓁⓁ•ⒶⓇⓉⒾⒸⓁⒺⓈ
 

🄲•CATEGORY
ZOOM IN @LL (1493)
🅘•INFORMATION•IMPROVEMENT (54)
🅝•NEWS•NOTICE (1256)
🅢•STYLE•STORY (8)
🅘•IMAGINE•INSPIRE (8)
🅖•GOODNESS•GENUINE (6)
🅗•HEART•HEALING (17)
🅣•TREND•TECHNOLOGY (144)

🅁•RECENT ARTICLE
마캣앤마켓, 산업용 웨어러블 시장 전망 발표....
연간 329MW 규모 추가 전력생산...아마조..
[AI 스피커 NUGU] #32 | 운전하는 시간이 많을..
최초의 워크맨(Walkman)을 추억하며...소니, 워..
글로벌 스마트폰시장 삼성 21%로 1위…카운터포..
컴퓨터 비전 리더로 구글, MS, AWS 선정…포레..
패션과 무용이 AI와 만나면?...구글, '런웨이..
코딩 학습을 더 쉽고 재미있게...애플, '에브리..
녹음된 아빠 목소리 구글 네스트가 재생..구글,..
[UiPath 세미나 #1] AI와 RPA의 만남은 필수.....
타이탄 보안 칩 기술 및 노하우 공유…구글, 파..
아이메시지 같은 안드로이드폰의 RCS 메시징…..
구글지도에 음성 번역기능 추가 예정…외국어 &..
교사 및 학부모가 제작한 콘텐츠 판매...아마존..
인텔, AI 전용 주문형 반도체 NNP와 VPU 공개....
[想] 분분한 낙화, 절절한 낙엽
마켓앤마켓, 2024년까지 문서 분석 시장 54.5%..
'단축키' 같은 '닷뉴(.new)' 도메인...12월 2일..
누구나 활용하는 웹기반 머신 러닝 툴…구글,..
초소형 초경량 8K 360 카메라…칸다오, 8K 30프..

🄿•POPULAR ARTICLE
마침내 아이패드에서 마우스 사용을!..iPadOS 1..
AI가 만든 10만 개의 얼굴 사진...제너레이티드..
누구나 활용하는 웹기반 머신 러닝 툴…구글,..
모니터 1대에 PC 2대 연결해 화면보고 제어하고..
iOS & ipadOS 13.1에서 17,000개 글꼴 사용.....
초소형 초경량 8K 360 카메라…칸다오, 8K 30프..
마침내 '리튬 이온 전지' 노벨 화학상 받다.....
성능・기능 향상된 10나노 CPU 시대 개막...인..
게임 및 영상 작업에 특화된 노트북....에이수..
[라이프 가이드] 'NUGU'는 누구인가? NUGU로 알..
4K '메인+보조' 듀얼 디스플레이 탑재 노트북....
차세대 DB와 첨단 메모리의 만남...오라클, X8M..
[알쓸전잡] 인텔 옵테인 DC 퍼시스턴트 메모리
총 무게 1톤 화물 운반용 활공 비행 드론…YEC,..
[알쓸전잡] 구글, 프로젝트 자카드(Project Jac..
옷 소매에서 스마트폰 제어...구글, 리바이스와..
최초의 워크맨(Walkman)을 추억하며...소니, 워..
6K 풀프레임 센서 탑재 캠코더...소니코리아,..
[UiPath 세미나 #1] AI와 RPA의 만남은 필수.....
코딩 학습을 더 쉽고 재미있게...애플, '에브리..





2019. 9. 14. 16:05

어베스트(Avast)가 인터넷을 통해 쉽게 구매할 수 있는 GPS 트래커에서 다양하고 광범위한 보안 결함을 발견했다고 경고했다. 어베스트는 인터넷 온라인 쇼핑몰에서 판매하는 30여 개의 GPS 트래커 모델에서 보안 취약점을 발견했다고 밝히고, 고객들에게 이러한 위험을 알리는 경고 메시지를 블로그를 통해 공개했다. 특히 아마존과 같은 대규모 온라인 쇼핑몰에서 판매하는 약 60만 개의 어린이용 GPS 트래커에서 심각한 보안 위험을 발견했다고 밝혔다. 

 

GPS를 이용한 다양한 솔루션과 제품이 등장하면서, 일상생활에서 이를 활용하는 사례가 빠르게 확산되고 있다. 작고 가벼우면서 휴대하기 편리하면서 가격까지 저렴한 GPS 트래커는, 특히 어린 아이, 애완동물, 치매 환자 등이 있는 가정에서 인기다. 때로는 자동차, 바이크, 여행 가방 등에 장착해 혹시 모를 도난에 대비하기도 한다. 이러한 이유로 수요가 많은 만큼, 판매하는 업체도 그만큼 많다.

 

GPS 트래커를 통해 위치 좌표가 전송되고 공유되는 경로(위). GPS 트래커의 내부 작동 구조(아래).(화면:decoded.avast.io)

 

GPS 트래커의 주요 유통 채널은 온라인 쇼핑몰이다. 중소규모의 온라인 몰을 통해서도 판매되지만, 아마존(Amazon), 이베이(eBay), 알리바바(Alibaba)와 같은 대형 온라인 쇼핑 사이트에서 25~50$만 주면 누구라도 구매할 수 있다. 이들 제품 중에서는 단순하게 위치만 전송하는 것만이 아니라, 마이크를 내장해 오디오 데이터를 함께 보낼 수 있는 제품도 포함되어 있다. 

 

어베스트는 GPS 트래커에서 위치나 음성 정보를 클라우드 서버로 전송할 때, 악의적인 목적을 가진 누군가로부터, 실시간으로 전송되는 GPS 좌표가 손쉽게 탈취당할 수 있다고 경고한다. 쉽게 말해, 우리 아이의 안전을 위해 구입하고 소지하게 하는 GPS 위치 추적기가, 오히려 아이의 안전을 위협하는 치명적인 도구가 될 수 있다는 뜻이다. 

 

어베스트 중국 제조업체인 쉔젠(Shenzhen) i365가 판매하고, 이를 다시 29개의 브랜드로 재판매된 모델에 취약점이 있다고 블로그를 통해 공개했다. 어베스트의 위협탐지팀인 ATL(Avast Threat Lab)은 GPS 추적기와 함께 제공되는 모바일 앱이, 안전하지 않은 앱 사이트에서 다운로드 받아야 하고, 이를 통해 사용자의 정보를 노출하는 것을 발견했다.

 

GPS 트래커에서 전송된 위치좌표를 로그 서버를 통해 트래픽을 우회 시킨 후 해커가 이를 탈취할 수 있다.(화면:decoded.avast.io)

 

사용자 계정에는 모두 ‘123456’이라는 기본 암호가 설정되어 있어, 해커가 아무런 어려움 없이 접근할 수 있다. 또한 다른 업체가 사용자의 위치를 위조하거나 마이크에 접근할 수 있도록 설계되어 있다. 어베스트는 "이러한 취약점을 6월 24일 제조업체에 알렸지만, 시간이 지나도 해당 업체로부터 아무런 답변이 없었다. 그래서 소비들을 대상으로 경고 메시지를 전달하고, 해당 GPS 추적기 사용을 중단할 것을 강력하게 권고한다"고 밝혔다.

 

아울러 비슷한 기능을 제공하는 스마트 디바이스를 사용하는 사람들은, 구입할 때 설정되어 있는 기본 관리자 번호를 복잡한 것으로 변경할 것을 권고했다. 비밀번호를 복잡하게 변경하는 것만으로도, 암호화되지 않은 데이터를 전송할 때, 해커가 데이터를 가로채는 위협을 조금이라도 줄일 수 있기때문이다. 아울러 GPS 트래커를 사용해야 한다면 신뢰할 수 있는 업체의 제품을 선택하라고 조언한다. 

 

특히 이번 테스트에서 GPS 트래커의 웹 응용프로그램에서 생성되는 모든 요청이 암호화되지 않은 일반 텍스트로 전송되는 것을 발견했다. 게다가 전화 번호로 전화를 걸어 트래커의 마이크를 통해 도청을 하고, 해커가 장치의 전화 번호를 식별하여 인바운드 SMS 공격에 사용할 수 있는 SMS를 보내고, SMS를 이용해 클라우드 서버로 가야할 데이터를 가짜 서바로 라우팅하고, 트래커에 펌웨어를 설치해 기능을 바꾸거나 백도어를 설치할 수 있는 것으로 드러났다.

 

이번에 보안 테스트를 진행한 모델은 ’T8 Mini GPS Tracker’라는 모델이다. 어베스트는 열쇠고리에 달기에 적합하면서, SOS 버튼을 탑재하고, 마이크와 스피커를 내장해 양방향 통신이 있는 제품으로 선택했다고 테스트 제품 선정 기준을 밝혔다. 이번 테스트에 대한 자세한 방법과 과정 그리고 결과에 대한 정보는 어베스트의 어베스트 디코디드에서 확인할 수 있다.