최근 스마트 테디 베어 해킹 사건이 발생했다. 부모가 자신의 어린 시절을 떠올리며 자녀에게 사준 곰 인형에서 개인정보가 샐 수 있다는 경종을 울린 사건이었다.
부모와 자녀가 음성 메시지를 주고받을 수 있는 스마트 테디베어가 최근 사용자 계정 80만 개 이상의 정보 유출과 관련 있는 사건이 최근 일어났다. 스파이럴 토이(Spiral Toys) 제품을 사용중인 이 회사는 모든 고객이 해킹당했다는 사실을 부인하고 있다.
보안업체 사일런스(Cylance)의 연구 책임자인 잭 래니어는 장난감과 관련한 데이터 유출 사건을 조사해 소개하면서 이를 막을 수 있는 팁을 제시했다.
이 사건은 인증 프로세스가 필요 없는 공개 데이터베이스인 몽고DB에 고객 정보를 저장하는 실수 때문에 장난감 사용자의 음성 녹음에 공격자가 접근해 발생했을 수 있다. 공격자를 포함한 모든 사람이 데이터를 보고 훔칠 수 있었다. 클라우드펫은 강도 높은 암호를 요구하지 않아 암호를 쉽게 풀 수 있었다.
팁 : 강도 요구 사항과 관계없이 항상 보안 암호를 만들어라. 암호에는 반드시 소문자와 대문자, 기호, 숫자를 넣어라. 암호 관리자를 사용해 사이트 및 서비스에 대한 고유 암호를 만들고 저장하라.
피셔-프라이스 스마트 장난감
연결된 장난감으로 동물 봉제 인형은 많은 약한 API 때문에 취약한 모바일 애플리케이션과 결합돼 있다. 때문에 누가 메시지를 보냈는지 확인하지 못했다. 이는 공격자가 사용자 이름이나 이메일 주소를 추측해 관련 계정과 자녀 프로필의 서버 반환 세부 정보를 피셔 프라이스에 요청하고 이름, 생년월일, 성별, 언어, 이들이 사용한 장난감 정보를 건네받을 수 있음을 의미한다.
팁 : IoT 기기를 모바일 앱이나 데스크톱 컴퓨터에 연결할 경우 IoT 연결 방식을 확인하는 것이 중요하다. URL 주소의 시작이 HTTP의 보안 버전인 https가 아닌 http인 경우 기기의 연결 보안이 취약하다.
마이 프렌드 카일라 인형
현재 독일에서 공식적으로 금지된 마이 프렌드 카일라(My Friend Cayla) 인형은 공격자가 자녀의 목소리를 기록하고 자녀를 도청할 수 있다. 어떻게? 인형에는 마이크가 있으며 자녀의 질문에 답변하기 위해 인터넷에 접속한다. 범죄자는 개인정보도 수집할 수 있다.
팁 : 장난감에 와이파이가 필요한 경우 WAP2 같은 현대적이고 안전한 와이파이 기능을 지원하는지 확인하라. 장난감이 수집하는 데이터에 신용카드 정보, 주소, 생년월일 등이 있는지도 확인하라. dl-ciokorea@foundryco.com
