2024-08-14
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
최근 두 명의 보안 연구원이 데프콘(Def Con) 보안 컨퍼런스에서 에코백스의 청소 로봇 제품에 블루투스로 연결한 후 해커들이 제품에 내장된 WiFi 연결을 통해 원격 제어 및 방 접근이 가능해지면서 보안 문제를 발견했다고 밝혔습니다. 운영 체제 내의 지도, 카메라, 마이크 및 기타 기능과 정보.
위 문제에 대해 Ecovacs는 Southern Financial All-Media 기자와의 인터뷰에서 데이터 보안 및 사용자 개인 정보 보호가 Ecovacs가 가장 중요하게 생각하는 문제 중 하나라고 밝혔습니다. Ecovacs 로봇 안전 위원회는 네트워크 연결 및 문제와 같은 문제를 논의했습니다. 제품의 데이터 저장을 완료하려면 사용자의 일상적인 사용 환경에서 이러한 보안 위험이 발생할 확률이 극히 낮다는 결론에 도달했습니다. 그것에 대해 걱정할 필요가 없습니다. 그럼에도 불구하고 Ecovacs는 연구 및 검토 결과를 바탕으로 제품을 적극적으로 최적화할 것입니다.
Southern Finance의 모든 미디어 기자들은 사물인터넷과 스마트 가전제품이 빠르게 발전하고 있는 반면 청소 로봇 외에도 스마트 도어 잠금 장치, 홈 카메라와 같은 신흥 스마트 홈 장치도 최근 몇 년 동안 여러 가지 개인 정보 보호 및 보안 문제를 겪고 있음을 발견했습니다. 그러나 관련 업종의 세분 규정 및 기준은 아직 미비하다.
개인정보가 많이 포함된 가정 생활 시나리오에서 정보 보안을 어떻게 보호할 것인가는 스마트 홈 산업에서 여전히 해결해야 할 시급한 문제입니다.
원격 크래킹 위험
두 명의 보안 연구원인 Dennis Giese와 Braelynn에 따르면 Ecovacs의 보안 문제는 주로 Bluetooth 연결에 있습니다. 해커는 제어가 이루어지면 450피트(약 130미터) 범위 내에서 장치를 휴대폰과 연결하여 제어할 수 있습니다. , 로봇에 내장된 WiFi 네트워킹 기능을 통해 서버에 연결하여 원격 제어를 수행할 수 있습니다.
현재 에코백스의 청소로봇 장비가 취한 예방조치는 전원을 켠 후 20분 동안 블루투스를 활성화하고 하루에 한 번씩 자동으로 재시작하는 것이다. 동시에 장치는 사용자에게 장치가 켜져 있음을 상기시키기 위해 5분마다 오디오 파일을 재생하지만 Dennis Giese는 해커가 크랙된 장치의 은폐를 유지하기 위해 오디오 파일을 삭제할 수 있다고 말했습니다.
이에 에코백스는 기술적 수단을 동원해 2차 계정 로그인을 제한하고, 블루투스 기기 간 상호 연결에 대한 2차 검증을 강화하며, 블루투스 연결을 촉발하는 물리적 조작을 추가해 블루투스 연결 보안을 강화할 것이라고 밝혔다.
"블루투스 보안은 항상 일반적인 보안 문제였습니다." Bangbang Security Laboratory 소장 Wu Jianping은 Southern Financial All-Media 기자와의 인터뷰에서 블루투스 페어링 키가 순전히 디지털 4자리 또는 6자리이기 때문에 지적했습니다. 비밀번호, 가능성이 10,000~1,000,000개에 불과한 상황에서 최신 컴퓨터는 몇 초 안에 비밀번호를 성공적으로 해독할 수 있습니다.
두 연구원은 블루투스 관련 취약점 외에도 에코백스 제품에서 다른 보안 문제도 발견했다. 사용자 계정이 삭제되더라도 로봇의 관련 데이터는 사용자 신원 인증에 계속 남아 있다고 지적했다. 토큰은 클라우드에도 저장되므로 해당 사용자가 계정을 삭제한 후에도 여전히 장치에 액세스할 수 있어 중고 기계를 구입하는 사용자의 개인 정보 보호가 위험에 처할 수 있습니다.
Wu Jianping은 '중화인민공화국 데이터 보안법'과 같은 법률 및 규정이 특정 조건에 따라 제조업체의 사용자 데이터 보관 기간을 규정하고 있다고 지적했습니다. 일반적으로 사용자가 계정을 삭제하면 제조업체는 파기하기만 하면 됩니다. 해당 기간 내에 관련 데이터.
그러나 현재의 데이터 감독 관행에서는 데이터 수출 사업에 관여하는 일부 기업을 제외하고 대부분의 경우 규제 당국이 관련 데이터 파기 이행을 면밀히 조사하지 않고 있어 데이터 파기가 제조업체의 의식에 의존하게 되어 데이터 파기가 심화되고 있습니다. 클라우드 서버 침해 후 데이터 유출 위험.
Southern Finance의 모든 미디어 기자는 APP를 지원하는 Ecovacs의 개인 정보 보호 계약에서 사용자가 APP 계정을 해지한 후 제조업체는 "본 정책에 명시된 목적에 필요한 기간 동안만 해당 앱을 사용할 것"이라고 명시하고 있음을 알아냈습니다. 그리고 법률 및 규정에서 허용하는 최대 기간입니다." 귀하의 개인정보가 보관되는 경우, 당사는 해당 기간을 초과하는 경우 적시에 해당 정보를 삭제하거나 익명화할 것입니다."
이와 관련하여 Covacs는 토큰 무효화 메커니즘을 실시간으로 적용하고, 토큰 획득 난이도를 높이고, 데이터 보안을 보장하기 위해 장치를 재설정한 후 로그 정보를 지우도록 제품 소프트웨어를 업데이트할 것이라고 밝혔습니다. 또한, 타인에게 기기를 양도할 경우, 정보 유출 방지를 위해 기기를 초기화해야 한다는 점을 안내드립니다.
"이번 보안 담당자가 게시한 문제로 볼 때 크랙이 발생하려면 장치를 특정 범위 내에 유지하거나 분해하는 등의 물리적 조건이 필요합니다. 일반 사용자는 기계 설정을 재설정하거나 적시에 기계 상태를 확인하는 등을 통해 이를 피할 수 있습니다. ." 스마트홈 업계 관계자는 취재진과의 통화에서 이렇게 말했다.
Ecovacs의 답변에서는 보안 전문가가 연구를 통해 제품 위험을 발견하고 기업과 적극적으로 소통하는 습관을 존중한다고 밝혔습니다. Ecovacs Robotics는 공격 및 방어 훈련과 결과 공개를 통해 기업과 상호 작용하는 보안 전문가가 제품 안전을 향상하는 데 도움이 될 수 있다고 믿습니다.
업계 표준의 부족
최근 스마트홈 관련 사건들을 정리해보면, 청소로봇, 홈카메라, 스마트도어락 등 인터넷에 연결된 기기들 자체에 이미지와 음향센서, 센서 등이 탑재돼 보안 취약점으로 인한 사생활 침해 논란을 흔히 볼 수 있다. 이론적으로는 저장 용량이 부족하여 원격으로 해킹을 당해 개인정보가 유출될 위험이 있습니다.
다양한 스마트 가전제품의 빈번한 안전 문제 뒤에는 기업 안전 구축의 현 상황이 더욱 개선되어야 하는 한편, 관련 분야에 대한 규제 세부사항이 부족한 점도 있습니다.
청소 로봇 분야를 예로 들면, 현재 업계에서 주로 참조되는 일반 안전 표준은 "가정용 및 유사 목적 서비스 로봇에 대한 일반 안전 요구 사항"(GB/T 41527-2022)이지만 이 표준에는 기호와 지침만 포함됩니다. , 안정성 및 기계적 위험, 기계적 강도, 구조 등 물리적 수준의 안전 문제. 단, 기기 자체의 운영체제 및 수집된 사용자 개인정보와 관련된 보안 문제는 포함되지 않습니다.
Wu Jianping은 현재 우리나라에는 네트워크 보안, 하드웨어 설계 및 제조 등에 대한 규제 요구 사항이 있지만 소프트웨어와 하드웨어를 결합한 지능형 제품 분야에는 해당 하위 표준이 부족하다고 지적했습니다. 이를 토대로 연장된 사항입니다.
현재 국내 스마트하드웨어에 널리 사용되는 핵심 디바이스인 칩을 예로 들자면, 일부 칩에 외국 칩을 사용하거나 외국 아이디어를 차용한 설계 솔루션이 있지만, 국내 제조사들이 해당 제품을 사용하고 있음에도 불구하고 완벽하게 따르지 못하고 있다. 유지 관리 시스템 및 프로세스 집합으로 인해 기본 Linux 시스템의 취약점을 오랫동안 복구할 수 없게 됩니다.
"예를 들어, 오라클이 인수한 Java 프로그래밍 언어 소프트웨어 서비스 제공업체는 관련 소프트웨어 및 시스템이 실행되는 하드웨어 유형, 마더보드가 사용하는 프로토콜 유형, 존재할 수 있는 취약점을 제어합니다. 한편으로는 구독 기반 충전을 유지하는 동시에 소프트웨어와 하드웨어의 보안도 보장하는 데 도움이 됩니다.”라고 Wu Jianping은 말했습니다.
그러나 초창기 일부 중국 제조업체의 광범위한 개발 과정에서 소프트웨어 및 구성 요소 사용에 대한 표준은 종종 "사용할 수 있는 한"이었습니다. 이로 인해 많은 지원 보안 관리 조치가 이를 따라가지 못했습니다. 이러한 방법은 제3자가 하드웨어 설계 및 아키텍처를 감지하는 방법을 차단하고 하드웨어 버전 정보를 얻을 수 없습니다. 결과적으로 대부분의 네트워크 보안 침투 테스트는 애플리케이션 계층에서 중단되고 실패하는 경우가 많습니다. 하드웨어 계층으로 가라앉습니다.
이와 관련하여 Wu Jianping은 한편으로는 관련 산업 표준의 구축을 개선하고 감독 또는 제3자에게 스마트 하드웨어 제품의 안전성을 검사 및 테스트할 수 있는 방법을 제공해야 한다고 제안했습니다. 또한 감독을 용이하게 하기 위해 국내 건축 기술을 우선적으로 채택합니다. 회사의 구매 목록에서 감독을 수행하여 안전 수준에서 전반적인 제품 설계의 투명성과 신뢰성을 향상시킵니다.
