테크플러스

정보통신기술(ICT)가 발달하면서 별별 제품이 등장하고 있다. 그 가운데 앱으로 제어하는 남성 정조대도 있다. 그런데 이것이 보안에 취약해 엄청난 문제를 일으킬 수 있다는 지적이 나왔다.

IT 전문매체 테크크런치에 따르면 영국 보안업체 펜테스트파트너스는 '세계 최초의 앱 제어 남성 정조대'로 알려진 취이 셀메이트(Qiui Cellmate)가 보안 취약점으로 인해 누구나 원격으로 해킹, 영구적으로 잠글 수 있다고 밝혔다. 본인조차 스스로 열 수 없다고 한다.

셀메이트의 남성 정조대는 (본인이) 허락한 파트너가 모바일 앱을 이용해 블루투스로 원격으로 잠금, 해제할 수 있다. 그런데 앱 API가 비밀번호 없이 열려 있어 누구나 어떤 사용자의 기기라도 완벽하게 제어할 수 있다는 것이 보안업체 주장이다.

펜테스트파트너스가 블로그에 밝힌 내용에 따르면 잠금 장치는 오직 앱으로만 해제할 수 있고, 물리적 방법으로는 비상시 해제할 수 있는 수단이 없다.

만약 제 3자가 원격으로 몰래 장치를 잠갔을 때 푸는 방법은 볼트 절단기나 앵글 그라인드와 같은 육중한 공구의 힘을 빌려 기기 자체를 파괴하는 수밖에 없다고 한다. 그리고 그 대상이 신체의 매우 민감하고 섬세한 부위라고 지적했다.

또 보안이 안 된 API를 통해 사용자 앱에서 비공개 개인 메시지나 정확한 위치 데이터도 액세스할 수 있다고 했다.

테크크런치는 지난 6월에 이 보안 취약점에 대해 처음 알게 됐다. 이후 이 제품을 개발한 중국 취이(Qiui) 측에 연락했다. 문제 해결 과정은 쉽지 않았다. 일반적으로 문제가 발견된 API를 제거해달라고 요청할 수 있지만, 이 API의 경우 오프라인으로 전환되면 현재 장치를 사용하고 있는 사람은 영구적으로 장치가 잠기게 된다는 것이다.

개발사는 신규 사용자를 위해 새로운 API를 내놨지만, 기존 사용자들을 여전히 보안이 안 된 API를 사용하게 내버려 뒀다고 한다. 회사가 고치겠다는 날짜는 자꾸만 미뤄졌고, 문제점을 고치면 더 많은 문제(?)가 생긴다고 말했다고도 한다. 결국 펜테스트파트너스는 개발사가 이 문제를 제대로 수정하지 않고, 다른 보안 문제도 발견하면서 공개 결정을 내렸다고 한다.

보안 취약점을 실제로 악용한 사람이 있는지는 알 수 없다. 하지만 앱에 대한 사용자 리뷰에선 이미 장치가 제멋대로 잠기는 버그가 있다는 보고가 올라왔다.

테크크런치에 따르면 한 사용자는 앱이 완전히 작동을 멈췄고, 3일 동안 나는 꼼짝도 못 했다고 말했다. 또 다른 사용자는 한 달 정도 사용했으나 하마터면 완전히 갇힐 뻔한 일도 있었다고 밝혔다. 억지로 잠금 장치를 풀어서 겨우 빠져나올 수 있었다고 보고하기도 했다.

한편 펜테스트파트너스의 연구원은 블로그를 통해 셀메이트의 상세한 보안 취약점과 기기 분해를 통해 잠금 장치를 물리적으로 여는 방법을 연구, 공개했다. 앵글 그라인더와 같은 공구로 자르는 것보다 접착된 회로 기판 영역을 열어 잠금 해제 장치를 직접 구동시키는 방법이 보다 '안전한다'라고 평가했다.

다만 이 방법은 기술자가 아닌 이상 스스로 하기 어렵기 때문에 결과적으로 '가까운 응급실'에서 금속을 안전하게 절단할 수 있는 도구를 찾는 것이 좋다고 권했다.

아울러 많은 성인용 장난감 공급업체가 최근 몇 년 동안 개인정보보호와 보안을 거의 완전히 무시했다며, 사생활을 보호하기 위한 각별한 주의를 요구했다.

테크플러스 에디터 김명희 

tech-plus@naver.com