2023년 8월, 보안 연구원 수천 명이 라스베이거스에 모여 ‘해커 여름 캠프’로도 통하는 해커 컨퍼런스인 블랙햇(Black Hat)과 데프콘(Defcon)에 참석했을 당시 일부 참가자는 각종 카지노와 접객업 기술이 다양한 라스베이거스 내 기반 시설 해킹 실험을 진행했다. 하지만 2022년 비공개로 진행된 행사에서 일부 선정된 연구팀이 실제로 라스베이거스 호텔 객실에서 해킹 실험을 진행하도록 초청되어 노트북과 레드불 음료 캔이 가득 쌓인 스위트룸에서 TV부터 침대 옆 인터넷전화(VoIP)까지 객실 내 모든 기기의 디지털 취약점을 찾기 위한 경쟁을 펼쳤다.
당시 비공개 행사에 참가한 어느 한 해커팀은 호텔 객실 문 잠금장치의 취약점을 찾는 데 집중했다. 어쩌면, 호텔 객실에서 가장 민감한 기술을 담은 물건일 수도 있다고 보았기 때문이다. 이제 비공개 행사일 기준 1년 반이 지난 2024년 3월, 연구팀이 당시 연구 결과를 밝힐 내용을 발표했다. 연구팀이 개발한 문제점은 바로 침입자가 전 세계 호텔 객실 수백만 곳 어느 곳이든 단 2차례 조작만으로 문을 열 수 있는 기법이다.
2024년 3월 20일(현지 시각), 이안 캐롤(Ian Carroll) 연구원과 레너트 우터스(Lennert Wouters) 연구원을 포함한 다른 보안 연구원으로 구성된 연구팀이 ‘언사프록(Unsaflok)’이라고 명명한 호텔 키카드 해킹 기법을 공개했다. 언사프록은 해커 세력이 스위스 잠금장치 제조사 도마카바(Dormakaba)의 사프록 브랜드 RFID 기반 호텔 키카드 잠금장치 모델 여러 개를 거의 순식간에 열 수 있는 보안 취약점 여러 가지를 칭한다. 사프록 시스템은 131개국 부동산 1만 3,000여 채 내 객실 300만 곳에 설치되었다.
연구팀은 도마카바의 암호화 기술과 도마카바가 사용한 RFID 시스템인 MIFARE 클래식(MIFARE Classic)의 기본 취약점을 모두 활용하여 사프록 키카드 잠금장치를 손쉽게 열 수 있다는 사실을 보여주었다. 연구팀이 찾아낸 언사프록은 표적으로 선정된 호텔의 객실 예약이나 사용된 키카드 박스에 담긴 키카드를 임의로 가져가는 등 키카드 아무것이나 하나를 손에 넣는 과정에서부터 시작한다. 그리고 키카드의 특정 코드를 300달러짜리 RFID 인식 및 작성 장치를 이용하여 읽고는 직접 키카드 두 개를 작성한다. 키카드 두 개를 잠금장치에 대기만 하면, 처음 가져다 댄 키카드는 잠금장치 데이터의 특정 부분을 재작성한다. 두 번째 키카드를 대면, 호텔 객실 문을 열 수 있다.
벨기에 루벤카톨릭대학교 컴퓨터 보안 및 산업 암호학 소속 연구원인 우터스 연구원은 “키카드를 두 번 빠르게 가져다 대기만 하면, 문을 열 수 있다. 모든 호텔에서 이용할 수 있는 방법이기도 하다”라고 설명했다.
우터스 연구원과 개인 연구원 겸 여행 웹사이트 Seats.aero 창립자인 캐롤 연구원은 2022년 11월, 도마카바의 잠금장치 해킹 기법의 전체 기술적 상세 정보를 공유했다. 도마카바는 2023년 초반부터 사프록을 사용하는 호텔에 보안 결함을 알리고, 취약한 잠금장치를 고치거나 다른 장치로 교체하도록 도움을 주기 시작했다고 밝혔다. 8년 동안 판매된 사프록 시스템 중 다수는 각각의 잠금장치에 필요한 하드웨어 대체 제품이 없다. 대신, 호텔 측은 데스크 관리 시스템을 업데이트하거나 교체하고, 상대적으로 빨리 각각의 객실 문에 설치한 잠금장치 프로그래밍 재실행을 할 기술자가 필요하다.
우터스 연구원과 캐롤 연구원은 도마카바가 지금까지 사프록 시스템이 설치된 시스템 중 36%만 업데이트를 마쳤다는 안내를 받았다. 잠금장치가 인터넷에 연결되지 않은 데다가 오래된 일부 잠금장치는 하드웨어 업그레이드가 필요하여 모든 잠금장치 시스템을 고치기 위한 업데이트 배포를 마치려면 최소 몇 달이 걸릴 것으로 보인다. 간혹 오래된 장치는 업데이트를 완료하는 데 몇 년이 걸릴 수도 있다.
도마카바는 와이어드에 보낸 공식 성명을 통해 “장기적 해결책과 함께 잠금 해제 취약점을 확인하고, 즉시 완화 방안을 적용하기 위해 여러 협력사와 긴밀히 작업 중이다”라고 전했다. 하지만 즉각 완화할 방안을 상세히 공개하는 것은 거부했다. 또, 공식 성명에는 “고객사와 협력사 모두 보안 문제를 심각한 문제로 생각한다. 이에, 도마카바는 책임감을 갖고 문제를 해결할 적합한 과정을 밟을 것을 확신한다”라는 내용도 기술되었다.
도마카바의 잠금장치 해킹 기법은 두 가지 취약점과 관련이 있다. 해커가 키카드를 직접 작성할 수 있다는 점과 카드가 사프록 잠금 시스템을 제대로 속여 문을 열기 위해 작성할 데이터를 알아낼 수 있다는 사실이다. 연구팀은 사프록 키카드를 분석하면서 10년 넘게 해커가 키카드를 작성할 때 악용할 수 있는 취약점 여러 개를 보유한 것으로 알려진 MIFARE 클래식 RFID 시스템을 사용한다는 사실을 알아냈다. 게다가 무직위 입력 과정은 최장 20초가 걸리는 것으로 알려지기도 했다. 이후 연구팀은 도마카바 자체 암호화 시스템 일부분인 이른바 키 생성 함수(key derivation function)의 보안을 공격했다. 이 과정에서 키카드 작성 시간을 훨씬 더 단축할 수 있었다.
[사진=Unsplash]
연구팀의 해킹 단계 중 더 중요한 단계에서는 키카드 관리용 프론트 데스크 소프트웨어 사본은 물론이고, 도마카바가 호텔에 배포한 잠금 프로그래밍 장치 중 하나를 확보해야 한다는 조건이 필요했다. 연구팀은 소프트웨어 역엔지니어링을 통해 카드에 저장된 데이터 모두 파악하고, 객실마다 적용된 고유한 코드는 물론이고 호텔 고유 코드까지 손에 넣고는 직접 도마카바의 시스템처럼 고유값을 설정하고는 암호화했다. 이후 호텔의 모든 객실 문을 열 수 있는 마스터키 작업에 혼선이 생기도록 했다. 우터스 연구원은 “실제로 도마카바 소프트웨어가 생성한 것과 같은 카드를 생성할 수 있다”라고 말했다.
캐롤 연구원과 우터스 연구원은 어떻게 도마카바의 프론트 데스크 소프트웨어를 확보했을까? 우터스 연구원은 “몇 명에게 확보 과정을 요청했다”라며, “제조사는 이베이에 장비 판매자가 없다고 가정한다. 또, 소프트웨어 사본을 생성할 이가 없다고 가정한다. 하지만 연구 과정에서 모든 추측이 실제로 유효한 것은 아니라고 판단했다”라고 답변했다.
모든 역설계 과정을 관리한 뒤 최종 공격을 통해 300달러가 조금 넘는 프록스마크 RFID 인식 및 작성 장비와 데이터가 없는 RFID 카드 두 개, 안드로이드 스마트폰 혹은 플리퍼 제로(Flipper Zero) 라디오 해킹 장비로 호텔 객실 문을 열 수 있었다.
언사프록으로 발견한 취약점이 발생한 가장 큰 이유는 공격 대상이 된 객실과 마찬가지로 같은 호텔 내 다른 객실에 들어가려면, 기간이 만료된 카드여도 키카드 1개가 필요하기 때문이었다. 키카드마다 객실 전용 코드는 물론이고, 잠금장치가 인식하고 가짜 카드에서 복제할 고유 코드가 있다.
전용 코드를 손에 넣은 뒤에는 RFID 인식 및 작성 장치를 카드 두 개에 사용해야 한다. 카드 중 하나는 잠금장치 프로그램을 재구성할 카드이며, 나머지 하나는 혼란을 유발하여 객실 문을 열 때 사용하는 카드이다. (안드로이드 스마트폰이나 플리퍼 제로 라디오 해킹 장비는 키카드 두 개 대신 연속으로 신호를 생략할 때 이용할 수도 있다.) 연구팀은 첫 번째 키카드가 호텔 시스템의 고유 식별 정보를 추측하지 않아도 공격 대상이 된 객실의 문을 열도록 한다고 밝혔다. 다만, 첫 번째 키카드의 역할을 정확하게 설명하지는 않았다. 연구팀은 공개하지 않은 정보를 추후 침입자나 도둑이 이용할 명확한 지시사항을 제공하는 역할을 하지 않도록 상세한 공격 기법은 기밀로 유지한다.
반면, 2012년도 블랙햇 컨퍼런스에서 어느 한 보안 연구원은 오니티(Onity)가 판매한 잠금장치를 열 수 있는 비슷한 호텔 키카드 해킹 기법을 발표했다. 또, 해커 세력이 전 세계에 설치된 오니티 잠금장치 1,000만 개 중 임의의 잠금장치를 열 수 있는 기기를 제작할 수 있다는 사실도 공개했다. 오니티 측에서 문제 해결에 필요한 하드웨어 업그레이드 비용을 거부하고, 고객사에 책임을 졌다. 하지만 문제를 해결하지 못한 채로 결함이 있는 잠금장치를 그대로 사용하는 호텔이 많다. 결국, 해커 한 명이 미국 전역의 호텔 장치를 공격했다.
캐롤 연구원과 우터스 연구원은 더 신중한 접근 방식으로 실제 공격 발생 사례를 피하려 하면서도 언사프록 공격의 위험성을 경고한다. 현재 도마카바가 수정 방안을 제공한 상태이더라도 전 세계 호텔 수백 곳에서 보안이 취약한 잠금 시스템을 그대로 사용할 수도 있기 때문이다. 캐롤 연구원은 “도마카바의 신속한 문제 해결을 도울 방안을 찾는 중이지만, 도마카바의 고객사에 관련 위험성을 안내한다. 보안 문제를 인지하기도 전에 누군가가 역설계 완료 후 문제를 악용한다면, 더 심각한 문제가 발생할 수 있기 때문이다”라고 전했다.
결국, 캐롤 연구원과 우터스 연구원은 호텔 투숙객이 다른 설계로 보안이 취약한 잠금장치를 가장 많이 인식할 수 있다는 사실을 설명했다. 바로 물결 형태의 선으로 잠금장치 사이에 들어가는 원형 RFID 인식 장치를 이용하는 방식이다. 연구팀은 투숙객이 문에 사프록 시스템이 설치된 객실에서 안드로이드, iOS로 접근할 수 있는 NXP의 NFC 태그인포(NFC Taginfo) 앱을 이용하여 키카드 업데이트 여부를 확인할 수 있다는 점도 언급했다. 도마카바가 제조사이면서 NFC 태그인포로 키카드가 MIFARE Classic 카드임을 확인한다면, 지금도 보안이 매우 취약한 상태일 확률이 높다.
그렇다면, 호텔 객실에 귀중품을 두고 나가는 일이 없도록 하고 객실 안에 있을 때는 안전용 체인을 연결하는 수밖에 없다. 연구팀은 객실의 데드볼트도 키카드 잠금장치가 제어하므로 데드볼트로 안전을 강화할 수 없다고 경고했다. 캐롤 연구원은 “데드볼트를 잠근 상태이더라도 안전 보호가 된 것은 아니다”라고 말했다.
캐롤 연구원과 우터스 연구원은 완벽한 교체나 수정사항 전체 배포가 되지 않았다면, 투숙객이 진짜 보안이 철저한 상태가 아니라는 사실을 인지하는 편이 낫다고 주장한다. 어찌 되었든 사프록 잠금 시스템은 30년 이상 판매되었으며, 수십 년간 보안이 취약한 상태로 이용되었을 수도 있기 때문이다. 도마카바 측에서 캐롤 연구원과 우터스 연구원의 기법을 과거에 악용한 사례가 없다고 전했으나 연구팀은 비밀리에 언사프록과 같은 공격 기법이 악용될 일이 없다는 의미가 아니라고 지적했다.
우터스 연구원은 “전 세계 호텔 객실에 보안 취약점이 수십 년간 존재했다고 생각한다. 이번 연구에 앞서 누군가가 취약점을 발견했을 수도 있다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202404/5457_7055_5354.jpg)
뉴스레터 신청