[디지털데일리 최민지기자] 수백만명 사용자가 LG 스마트씽큐 가전용 기기를 통한 무단 원격제어 위험에 노출됐다. 현재 LG전자는 해당 보안 취약성에 대해 즉각적 조치를 완료한 상황이며, 사용자들은 최신 버전의 소프트웨어로 반드시 업데이트해야 한다. 

체크포인트의 조사결과에 따르면, LG 스마트씽큐 모바일 앱 및 클라우드 애플리케이션의 취약성을 활용해 해커는 스마트씽큐 클라우드 애플리케이션에 원격으로 로그인한 후 사용자의 LG 계정을 넘겨받아 진공청소기와 내장 비디오카메라를 제어할 수 있었다.

일단, 사용자의 LG 계정에 대한 제어권이 확보되면 공격자는 해당 계정에 연결된 모든 LG 디바이스 또는 어플라이언스를 제어할 수 있다. 로봇 진공청소기, 냉장고, 오븐, 식기 세척기, 세탁기, 드라이어, 에어컨 등이 포함된다.

이 취약성의 경우, 홈봇(Hom-Bot) 로봇 진공청소기 카메라를 통해 사용자가 자택에서의 활동을 엿볼 수 있다. 이 카메라는 홈가드(HomeGuard) 보안 기능에서 연결된 LG 스마트씽큐 앱으로 실시간 비디오를 전송할 수 있을 뿐 아니라 사용자의 자택에 보유한 LG 가전기기 종류에 따라 식기 세척기나 세탁기를 끄거나 켤 수 있었다.

지난 7월31일 체크포인트는 ‘책임 공개(Responsible Disclosure)’ 지침에 따라 LG전자에 취약성을 알렸으며 LG전자는 지난달 말 스마트씽큐 애플리케이션에 관한 보고된 문제를 시정했다.

오데드 바누누 체크포인트 제품 취약성 연구 책임자는 “LG전자가 고객에 대한 책임감을 가지고 문제를 빠르고 적절히 해결해 스마트씽큐 앱과 디바이스의 문제를 악용할 수 있는 가능성을 차단했다”고 말했다.

사용자가 디바이스를 보호하려면 LG 스마트씽큐 앱을 최신 버전(V1.9.23)으로 업데이트해야 한다. 스마트홈 가전기기도 스마트씽큐 애플리케이션 대시보드의 스마트홈 제품을 클릭해 최신버전을 설치해야 한다. 

이군석 LG전자 스마트 솔루션 사업부 스마트 개발팀 매니저는 “지난 8월 LG전자는 체크포인트와 협력해 보안 문제를 찾아내도록 설계된 고급 루팅 프로세스를 실행하고 즉시 패치 프로그램 업데이트했다”며 “9월29일 이후 보안 시스템은 업데이트된 1.9.20 버전으로 문제없이 원활하게 운영되고 있다”고 설명했다.

이어 “LG전자는 소프트웨어 보안 시스템을 지속적으로 강화하는 한편, 체크포인트와 같은 사이버 보안 솔루션 제공업체와 협력해 더욱 안전하고 편리한 가전제품을 개발할 것”이라고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr