美미시간대 "삼성 스마트홈 플랫폼 해킹 가능…보안 해결해야"

미시간대 연구팀이 공개한 삼성 스마트싱스 해킹 영상. 악성코드를 통해 스마트홈 플랫폼을 설치한 고객의 집 비밀번호를 알아내고 있다.

[아시아경제 김은별 기자] 삼성전자 의 사물인터넷(IoT) 플랫폼 '스마트싱스(Smartthings)'에 보안 결함이 있다는 지적이 나왔다. 해킹을 통해 스마트싱스에 연결된 문의 잠금장치를 해제하는 영상도 공개됐다.

미국 미시간대학교의 한 보안연구팀은 최근 보고서를 내고, "악성코드가 깔린 앱을 통해 스마트싱스 플랫폼에 침입하고, 여기에 연결된 사물인터넷 기기를 자유롭게 작동시킬 수 있다"고 밝혔다.

이 연구팀은 보고서와 함께 본인들이 직접 삼성 스마트싱스를 해킹, 조작하는 모습을 찍어 영상을 공개하기도 했다.

스마트싱스는 집안의 여러 기기를 하나로 모아 연동하는 일종의 플랫폼이다. 이 플랫폼을 설치하면 TV, 세탁기, 조명, 도어락 등 다양한 기기를 손쉽게 조작할 수 있다. 보통 스마트폰에 설치된 앱으로 기기를 조작할 수 있다. 편리한 생활을 만들 수 있는 혁신적인 기기이지만, 보안 문제가 해결되지 않으면 심각한 문제를 일으킬 수 있다는 것이 미시간대의 지적이다.

예를 들어 스마트폰 사용자가 악성코드가 탑재된 링크를 클릭하거나 앱을 실행하면, 해커의 PC로 집 도어락의 비밀번호가 전송된다. 해커가 직접 집 도어락의 비밀번호를 바꿔 문을 열고 침입하거나, 화재경보기를 울릴 수도 있다.

이 연구팀은 "삼성전자의 스마트싱스 보안이 해커들의 공격에 무너지는 것을 확인했다"며 "향후 법적 문제로 번질 가능성도 있어 보인다"고 지적했다.

그러나 삼성전자 측은 해당 실험이 가상의 상황을 가정했을 뿐, 보안 자체에 문제가 있다고 보기에는 억울하다는 입장이다.

현재 스마트싱스 공식 앱을 비롯, 스마트싱스와 연결되는 다양한 가전·전자기기 관련 앱은 모두 스마트싱스 공식 마켓을 통해 다운받을 수 있다. 공식적인 경로를 통해 마켓에 올라오는 앱은 모두 악성코드 탑재 여부를 확인한 뒤 스마트싱스에서 제공한다. 정상적인 방식으로 다운받는 앱은 악성코드를 탑재할 가능성이 0에 수렴한다는 것이 삼성전자의 설명이다.

알렉스 호킨슨 스마트싱스 CEO 역시 공식 홈페이지를 통해 "스마트싱스와 관련된 스마트앱은 모두 인증을 거쳐 공개되는 것"이라며 공식적인 경로를 통해 다운받은 앱에서는 악성코드를 탑재하긴 어렵다는 것을 설명했다.

다만 가상의 상황이지만, 미시간대가 지적한 부분에 대해서는 수용하고 보안을 강화하겠다는 입장이다. 호킨슨 CEO는 "제3의 개발자들, 보안 전문가 등과 계속 보안을 강화하는 작업을 하고 있다"며 "보고서를 내놓은 연구팀과도 협업할 것"이라고 전했다.

삼성전자 역시 "스마트싱스 제품을 쓴 고객 중 해킹으로 인한 피해를 입은 고객은 없다"며 공식적이지 않은 악성코드 링크 등을 통해 해킹되는 경우까지 모두 보안에 결점이 있다고 보기는 어렵다고 설명했다.

스마트싱스는 삼성전자의 IoT 전략에서 핵심을 차지하는 부분이다. 모바일 기기로 가전제품 등을 통합 관리하는 솔루션을 제공한다. 이 솔루션은 기기들을 통합 관리하는 허브와 문 열림 감지 센서, 움직임 감지 센서, 전원 원격 조절장치, 가정용 감시 카메라 등으로 구성됐다. 2014년 삼성전자가 2억달러 가량에 인수했다.

삼성전자는 스마트싱스 플랫폼을 통해 다른 회사의 제품도 연동하는 '삼성 스마트홈' 서비스를 전략을 세웠다. 현재 미국, 영국 등에서 플랫폼을 판매 중이며 국내에서도 판매를 준비하고 있다.

스마트싱스를 판매하고 있는 삼성 스마트싱스 홈페이지 화면

김은별 기자 silverstar@asiae.co.kr