낮말은 레노버, 밤말은 샤오미가 듣는다

 

'워치 X' 사용자 감시 등 가능해
개인정보 특정 서버에 전송까지
M365 전동킥보드 블루투스 문제
해킹으로 제3자가 마음대로 조종
DJI 드론은 영상·사진 유출 취약

중국산 ICT 제품 보안 논란 

중국 화웨이 통신장비의 보안논란으로 세계 IT 시장이 들썩거리고 있는 가운데, 최근 레노버, 샤오미 등 중국산 ICT(정보통신기술) 기기에서도 보안 취약점이 잇따라 발견되고 있다. 일부 제품의 경우는 사용자의 개인정보가 무단으로 수집돼 중국에 위치한 서버로 전송되는 의혹을 사고 있어, 주의가 요구된다. 

18일 보안업계에 따르면, 이스라엘 보안업체 체크막스가 '레노버 워치 X'에 보안 상 6가지 문제점이 있는 것을 발견했다. 레노버 워치 X는 지난해 6월 출시된 스마트워치로 성능 대비 저렴한 가격으로 인기를 끌고 있다. 국내에서는 정식 출시되지 않았지만, 해외 직구 등을 통해 음성적으로 유통되고 있는 실정이다.  

체크막스는 레노버 워치 X의 보안상 취약점을 악용할 경우, 기기 사용자를 감시할 수 있고 관련 데이터를 특정 서버로 전송할 수 있다고 경고했다. 특히 위도와 경도를 통해 사용자 스마트폰의 위치를 정확히 파악하고 암호화되지 않은 통신 채널을 통해 중국으로 전송이 가능하다는 것이다. 

또 다른 보안 취약점은 '중간자 공격'(MITM)을 허용한다는 점이다. 중간자 공격이란 사용자 단말기와 서버 중간에서 서로에게 전달되고 있는 데이터를 읽거나 변형시키는 등의 공격이다. 아울러 확인된 계정 관리 취약점을 통해서는 특정 사용자 ID만 알면 해커가 사용자 암호를 변경하거나 도용할 수 있다.  

레노버 워치 X의 취약점 중에서는 블루투스 버그로 해커가 1분 단위의 알람을 설정하는 등 악의적 명령을 설정할 수도 있다. 이외에 블루투스 쓰기 권한을 통해 수신 통화 알림을 '스푸핑'(의도적인 행위를 위해 타인의 신분으로 위장) 할 수도 있다.
또 다른 이스라엘 보안업체 짐페리움은 보고서를 통해 샤오미 M365 전동킥보드에서 블루투스 관련 보안 취약점을 발견했다. 한국소비자원에 따르면, 샤오미 M365 전동킥보드는 국내에서 소비자 선호도가 높은 전동킥보드 6개 중 하나다. 경쟁 제품들과 비교해 10~20만 원 가량 저렴하지만, 속도와 주행거리 등 성능에서 우위에 있다.

M365는 블루투스로 연결되는 전용 앱으로 비밀번호 변경, 도난 방지 시스템, 크루즈 컨트롤(정속 주행 장치), 에코모드 등 다양한 기능을 적용할 수 있다. 최대 100 미터 거리에서 원격 공격자가 블루투스 신호로 암호 인증을 생략한 채 해당 킥보드에 신호를 전송할 수 있다.

짐페리움 관계자는 "공격자가 타깃으로 한 사용자의 킥보드를 목표로 갑자기 브레이크를 키거나 가속할 수 있다"며 "심지어 악성코드를 심어 기기 자체를 사용하지 못하게 만들 수도 있다"고 경고했다 . 

이외에도 이스라엘 대표적인 보안업체 체크포인트도 최근 중국 DJI 드론에서 사용자 계정에 접근해 비행기록·위치·비디오 영상 및 사진 등의 정보를 탈취할 수 있는 주요 취약점을 발견한 바 있다. DJI는 군사용, 산업용, 소비용 드론을 판매하며 세계 드론 시장 점유율 1위를 기록하고 있다.  

이경탁기자 [email protected]