스마트 전구가 집을 훔친다: IoT 보안의 치명적 허점

초록

Tp-Link의 Tapo 스마트 기기(전구, 플러그, 카메라)에서 발견된 보안 취약점을 통해, 공격자는 사용자의 Tapo 계정 이메일과 비밀번호, 그리고 가정 Wi-Fi 네트워크의 SSID와 비밀번호까지 탈취할 수 있는 새로운 공격 시나리오가 제시되었다. 동일한 제조사의 IoT 생태계 내에서 유사한 통신 프로토콜을 사용함으로써 취약점이 확대 재생산될 수 있음을 보여준 연구이다.

상세 분석

본 논문은 IoT 보안에 대한 근본적인 경고를 제시한다. 단순한 기능을 가진 스마트 전구나 플러그 같은 기기조차, 제조사가 동일한 통신 프로토콜과 펌웨어 모듈을 재사용하는 ‘생태계’ 접근 방식 때문에 연쇄적인 보안 위협에 노출될 수 있다는 점을 Tp-Link Tapo 제품군을 통해 입증했다.

기술적 핵심은 크게 두 가지 취약점의 연쇄적 활용에 있다. 첫째, ‘디바이스 디스커버리’ 단계에서 사용되는 하드코딩된 짧은 공유 비밀키(Vulnerability 2)를 이용해 공격자가 합법적인 Tapo 기기인 것처럼 위장한 응답 메시지를 앱에 전송할 수 있다. 둘째, Tapo 대칭 키 교환 프로토콜(TSKEP) 과정에서 기기 인증이 부재하다는 점(Vulnerability 1)을 이용해, 공격자는 위장한 기기로서 앱과의 정상적인 세션 키 교환 절차를 수행할 수 있다.

이러한 과정을 통해 공격자는 사용자가 새 기기를 설정하는 과정에서 발송하는 ‘set_qs_info’ 요청을 가로챌 수 있다. 이 요청에는 Base64로 인코딩된 사용자의 Tapo 계정 이메일/비밀번호와 가정 Wi-Fi의 SSID/비밀번호가 포함되어 있어, 공격자는 이를 쉽게 복호화하여 민감한 자격 증명을 모두 획득하게 된다.

가장 주목할 점은 이 공격이 ‘미연결 상태의 기기(Unconfigured Device)‘를 대상으로 한다는 것이다. 공격자는 피해자의 기기를 리셋하거나, 초기 설정 모드로 유도한 후, 자신이 통제하는 Wi-Fi 네트워크(허니팟)로 피해자의 스마트폰 앱을 유인하기만 하면 된다. 이는 기존에 연결된 기기를 해킹하는 것보다 진입 장벽이 낮으며, 사용자가 새로운 기기를 추가하는 평범한 상황에서 발생할 수 있어 매우 실질적인 위협이다.

연구팀은 Tapo L530E, L510E V2, L630 전구에서는 이 새로운 공격을 포함한 모든 기존 공격 시나리오가 완전히 적용 가능함을 확인했으며, P100 플러그와 C200 카메라는 프로토콜 차이(블루투스 설정, TLS 암호화)로 인해 일부 공격에만 취약한 것을 확인했다. 이는 동일한 생태계 내에서도 제품별로 보안 구현 수준이 차이가 있음을 보여주지만, 근본적인 프로토콜 설계 결함이 여러 제품에 공유된다는 점에서 여전히 심각한 문제임을 시사한다.