카톨릭 ‘스마트 묵주’, “해커들의 먹잇감이 될수도…”

전 세계적으로 화제를 모은 카톨릭 신자가 언제든지 기도할 수 있는 ‘스마트 묵주’가 쉽게 해킹될 수 있는 것으로 드러났다.
 
바티칸 교황청이 만든 기도 앱인 ‘클릭 투 프레이(Click to pray)'와 연동된 스마트 묵주(eRosary)의 취약점이 발견돼 해커들의 먹잇감이 될 가능성이 보고됐다.
 
타이완에 본사를 둔 ‘가즈텍(Gadg Tek)'이 제작한 ’스마트 묵주‘는 십자가 모양의 본체와 묵주구슬로 구성되어 있다. 손목 착용자가 성호를 그으면 활성화되도록 설계됐다. 판매 가격은 109달러(한화 약 12만 8천원으로 이탈리아 아마존에서도 판매되고 있다 .
 
Click To Pray eRosary 웨어러블 장치.[출처: 바티칸 뉴스]
 
영국 보안 업체 ‘피두스 인포시큐리티(Fidus InfoSecurity)’는 “연구팀은 이로자리(eRosary) 전용 앱 ‘클릭 투 프레이’를 5분 안에 전체 계정 탈취 공격을 개발하는 데 성공했다”며, “이메일 주소, 전화번호, 사용자 신장, 체중 등 기타 개인정보를 도용할 수도 있다”고 19일(현지 시각) 밝혔다.
 
다행히 발견된 취약점은 이미 보고되어 있으며, 아직까지 취약점을 이용한 공격은 없었다고 보고했다.
 
‘클릭 투 프레이’ 앱을 이용하면 자신의 이메일 주소를 입력해 계정을 만들거나, 구글, 페이스북 계정과 연계해 계정을 만드는 두 가지 방법이 있다. 또한 자신의 이메일 주소를 입력하면 암호를 설정하는 것이 아니라 4자리 PIN 코드로 계정을 보호한다. PIN 코드로 계정을 보호하고 사용자 계정을 재설정하면 등록한 메일 주소로 메일이 전송된다.
 
응용 프로그램의 API는 백엔드 시스템과 통신한다, 취약점은 API를 통해 사용자의 단말 정보, 이메일 정보, 지역 정보 등을 전송하고 있었던 것이 밝혀지고 있어 API를 보내는 정보는 암호화되어 있지 않기 때문에 쉽게 읽을 수 있다. 또한 피두스는 “4자리 PIN 코드를 사용하는 응용 프로그램이라는 것이 매우 흥미롭다”며, “API의 프로세스 속도도 무제한이어서 우리가 발견한 취약점이 아니더라도 계정에 액세스하는 것은 비교적 간단하다”고 밝혔다.
 
한편, 피두스의 취약점 발견 보고 직후 문제가 해결된 것으로 알려졌다. 더 레지스터(The Register)에 따르면, 로마 교황청도 ‘클릭 투 프레이’ 취약점을 발견하고 문제를 보고해 온 것으로 알려졌다. 보안 전문가 엘리엇 앨더슨(Elliot Alderson)의 PDF 파일 조사 보고서는 현재 인터넷에 공개되어 있다.
 
김한비 기자 itnews@