1P by GN⁺ | ★ favorite | 댓글 1개
  • Fortinet은 스마트 칫솔 300만 개가 DDoS 공격에 쓰였다는 보도를 실제 사건이 아닌 공격 유형 예시였다고 정정했지만, 최초 보도 매체 Aargauer Zeitung은 Fortinet이 실제 사례로 설명했다고 반박함
  • 최초 보도는 Java 기반 OS를 쓰는 스마트 칫솔들이 악성코드에 감염돼 봇넷이 되었고, 스위스 기업 웹사이트를 4시간 마비시켜 수백만 유로 피해를 냈다고 전함
  • Fortinet은 이 이야기가 Fortinet 또는 FortiGuard Labs 연구에 기반하지 않았으며, 번역 과정에서 가상 시나리오와 실제 사례의 경계가 흐려졌다고 해명함
  • Aargauer Zeitung은 Fortinet 스위스 담당자들이 회의와 게시 전 원고 검토 과정에서 “실제로 일어난 사건”이라는 표현을 바로잡지 않았다고 반박함
  • 진위 논쟁과 별개로, 연결된 칫솔·라우터·감시카메라 같은 IoT 기기는 공격 표적이나 봇넷 자원이 될 수 있어 업데이트와 네트워크 감시가 필요함

Fortinet의 정정과 Aargauer Zeitung의 반박

  • Fortinet은 스마트 칫솔 300만 개가 DDoS 공격에 쓰였다는 보도가 부정확하다고 정정함
    • 칫솔 사례는 인터뷰 중 특정 공격 유형을 보여주는 예시였다고 설명함
    • 해당 내용은 Fortinet 또는 FortiGuard Labs 연구에 기반하지 않음
    • 번역 과정에서 가상 시나리오와 실제 사례가 뒤섞인 서사가 만들어졌다고 봄
  • Aargauer Zeitung은 Fortinet의 “번역 문제” 해명을 받아들이지 않음
    • Fortinet 스위스 담당자들이 현재 위협을 논의한 자리에서 칫솔 사례를 실제 DDoS 공격으로 설명했다고 밝힘
    • 공격으로 스위스 기업 웹사이트가 얼마나 오래 다운됐는지, 피해 규모가 어느 정도였는지에 대한 구체적 정보도 Fortinet이 제공했다고 함
    • 피해 기업명은 Fortinet이 고객을 고려해 공개하지 않았다고 설명함
    • 게시 전 원고가 Fortinet에 검토용으로 전달됐고, 실제 사건이라는 표현에도 이의가 없었다고 반박함

최초 보도에서 제시된 공격 내용

  • 최초 보도는 약 300만 개 스마트 칫솔이 해커에게 감염돼 봇넷에 편입됐다고 전함
  • 이 봇넷은 스위스 기업 웹사이트에 DDoS 공격을 수행했고, 웹사이트는 공격 부하를 견디지 못해 중단됐다고 함
  • 공격은 4시간 동안 이어졌고, 피해는 수백만 유로 규모의 영업 손실로 이어졌다고 전해짐
  • 원문에는 “할리우드 시나리오처럼 보이는 이 예시는 실제로 일어났다”는 취지의 문장이 포함됐고, 독일어 매체 Golem.de도 이를 실제 사건으로 보도함
  • 여러 독일어 화자들은 “실제로 일어났다”는 번역이 정확하다고 확인함

기술적 설명과 남은 불확실성

  • 최초 보도는 문제의 칫솔 봇넷이 Java 기반 OS 때문에 취약했을 가능성을 제시함
  • 특정 스마트 칫솔 브랜드는 언급되지 않음
  • 스마트 칫솔의 정상적인 연결 기능은 사용자의 구강 위생 습관을 추적하고 개선하는 용도였음
  • 악성코드 감염 뒤에는 해당 칫솔들이 봇넷에 강제로 편입됐다고 전해짐
  • 피해를 입은 스위스 기업의 이름과 세부 피해 내역은 공개되지 않음

IoT 보안 경고

  • Fortinet 스위스 지사의 Stefan Züger는 인터넷에 연결된 모든 장치가 잠재적 표적이거나 공격에 악용될 수 있다고 말함
  • 칫솔 외에도 라우터, 셋톱박스, 감시카메라, 도어벨, 아기 모니터, 세탁기 등이 같은 범주에 포함됨
  • 연결된 기기는 해커에게 지속적으로 취약점 탐색을 받으며, 장치 소프트웨어·펌웨어 제작자와 사이버 범죄자 사이의 경쟁이 계속됨
  • Fortinet은 보호되지 않은 PC를 인터넷에 연결했을 때 20분 만에 악성코드에 감염됐다고 밝힘

연결 기기 사용자가 할 일

  • 사건의 세부 진위가 논쟁 중이어도, 연결 장치 소유자는 기기와 펌웨어, 소프트웨어를 최신 상태로 유지해야 함
  • 네트워크에서 의심스러운 활동을 감시해야 함
  • 보안 소프트웨어를 설치하고 사용해야 함
  • 네트워크 보안 모범 사례를 따라야 함
  • Tom’s Hardware는 새 전개를 반영해 원래 제목인 “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages”를 변경함

댓글과 토론

Hacker News 의견들
  • 이 기사는 이상하고 빠진 세부사항이 많음. 대형 스마트 칫솔들은 모두 BLE를 쓰고 Wi-Fi에 직접 연결되지 않는 것으로 알고 있음
    사실 확인을 해보려 했지만 아무것도 찾지 못했음. BLE 칩 중 Wi-Fi도 가능한 것이 많으니 누군가 펌웨어를 손상시켜 Wi-Fi 기능을 켰을 가능성을 완전히 배제하진 않지만, 애초에 어떻게 Wi-Fi에 연결해 봇넷을 동작시켰는지 의문임. IoT 기기의 위험이라는 전제는 여전히 유효하지만, 이 기사 자체는 꽤 회의적으로 봄

    • 나도 사실 확인을 해봤는데, 원인일 수 있는 Java 기반 운영체제를 이야기하더라
      Java ME가 있었고 마이크로컨트롤러에서 돌아가는 마이크로 JVM도 있다는 건 알지만 그래도 앞뒤가 맞지 않음. DDoS 공격은 실제로 있었고 늘 있는 일이지만, 보안 “전문가”들이 이런 공격은 어디서든 올 수 있고 심지어 칫솔에서도 올 수 있다고 말한 게 번역 과정에서 세부가 사라지거나 클릭bait로 쓰인 것 같음
    • ESP32는 이제 8비트 MCU면 충분한 용도에서도 범용 칩처럼 쓰이고 있음. ESP32나 SDK에 원격 악용 가능한 취약점이 있으면 대규모 결과로 이어질 수 있음
    • 실제로 일어난 일이 아니라 그냥 바이럴된 헛소리임
      https://cyberplace.social/@GossiTheDog/111886558855943676
    • 구강 건강을 위한 워드라이빙이라도 한 건가?
  • 정말 허술한 기사임. 누군가 스마트 칫솔 300만 개가 DDoS에 쓰였다고 주장하지만, 무엇이/누가/어떻게 했는지는 아무도 말하지 않음
    이런 이례적인 주장은 적어도 어떤 증거가 필요해 보임. 칫솔이라고 식별할 수 있게 해준 기술적 세부사항이 최소한은 있어야 하지 않나?

    • 설령 스마트 칫솔을 Wi-Fi에 연결했다 해도, 그것이 공용 인터넷에 노출된다는 것도 이상함. 대부분은 ISP에서 준 투박한 케이블 모뎀 같은 걸 쓰고, 기본적인 인바운드 방화벽이 있지 않나?
    • 더 자세한 내용은 나도 보고 싶지만, 저가형 Wi-Fi 가전에서는 그렇게까지 이례적인 일은 아니라고 봄
  • Bluetooth도 인터넷도 벤더 잠금 칫솔모도 없는 구형 Philips 칫솔을 쓰고 있는데, 유리컵 안에서 무선 충전도 됨. 아주 마음에 듦
    최근 두 번째를 사려 했더니 원하지 않는 쓰레기 기능이 붙은 신형 모델만 찾을 수 있었음. 도대체 누가 칫솔을 인터넷에 연결하길 원하는 건가? 결국 eBay에서 구형 재고를 찾았음. 잔인하게 들릴 수 있지만, 이런 기능을 제품에 넣기로 한 멍청이와 그걸 구현한 하수인이 오늘 안 좋은 하루를 보내며 자신들이 한 일의 지혜를 되돌아보길 바람

    • Wi-Fi는 우스꽝스럽지만, Bluetooth/앱 연결에는 실제 장점이 있음. 어디를 닦고 있고 놓치는 부위가 어디인지 확인하는 데 쓰임
      휴대폰 앱을 쓰는 스마트 칫솔을 쓰기 시작한 뒤로 치과의사가 내 어금니 뒤쪽 치태가 확실히 좋아졌다고 봤음
  • “기기, 펌웨어, 소프트웨어를 최신으로 유지하고, 의심스러운 활동을 감시하고, 보안 소프트웨어를 설치·사용하고, 네트워크 보안 모범 사례를 따르라”는 경고라면, 차라리 필수 인증을 갖춘 소비자에게만 스마트 칫솔 구매를 허용해야 할 듯함

    • 당연히 책임은 기기 소유자에게 있고, 실제로 안전한 기기를 제조해야 할 제조사에는 없는 셈이네
    • “네트워크에서 의심스러운 활동을 감시하라”라니. 인터넷이 나오는 상자 정도로만 라우터를 아는 사람들에게 패킷 캡처를 돌리고 결과를 해석하라는 요구임
  • 이 둘을 하나의 만화로 잘못 기억하고 있었는데, 모든 걸 다 가질 수는 없나 봄
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...

  • Philips 전동칫솔에 대한 경고: 스마트 기능을 쓰지 않아도 Bluetooth를 끌 수 없음
    Wi-Fi를 지원하는 Philips 공기청정기도 조심해야 함. 원격 제어 기능을 비활성화할 수 없기 때문임. 설정을 끝내려면 스마트폰으로 연결해야 하는 Wi-Fi 핫스팟을 만들고, 이 기능을 쓰지 않으면 공기청정기가 영구적인 Wi-Fi 핫스팟을 만들어 악용되길 기다리게 됨

    • 며칠 전에 읽은 게 떠오름. Home Assistant가 이웃의 Bluetooth 칫솔을 잡아서 이제 그들이 언제 이를 닦는지 볼 수 있게 됐다는 내용이었음
      https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
    • 배터리 수명이 끔찍하게 나쁜 피트니스 워치를 결국 처분했는데, 이유를 한동안 알 수 없었음. 몇 달 뒤에야 같은 사실을 깨달았고, Bluetooth를 끌 수 없었음
      휴대폰 앱과 시계가 항상 동기화하려고 서로를 계속 찾고 있었고, 대안은 페어링 해제 후 사용하고 다시 페어링해서 동기화하는 식이었는데 너무 번거로웠음. 그래도 실제로 배터리 수명은 좋아졌음. 회사 고객지원에 온라인으로 불만을 냈지만, 그들도 왜 배터리가 그렇게 나쁜지 모르고 설정을 뭔가 바꿨을 테니 휴대폰을 공장 초기화해보라고만 했음. Polar로 바꾼 뒤 지금 쓰는 시계는 한 번 충전으로 5일을 감. 하루 이하에서 크게 달라짐
    • 같은 주제라면 Philips CPAP 기기도 조심해야 함. 자는 동안 분해되는 발암성 폼을 폐로 천천히 뿌려줌
      참 훌륭한 회사임. 최고의 CPAP 제조사 중 하나를 인수한 뒤 소재를 아껴 쓰다가 암 리콜의 수익 체감 지점에 도달하고, 그걸 최대한 오래 숨기지 않을 선택지가 없었던 것도 아니고
    • 네트워크나 컴퓨터에 연결되지 않은 공기청정기의 Wi-Fi 핫스팟이 어떤 위험을 노출할 수 있음?
    • Bluetooth를 끌 수는 없을지 몰라도, 아무것과도 페어링하지 않도록 선택할 수는 있음. 기기 설정 후 페어링을 제거해도 되고
  • 애초에 칫솔이 왜 웹 연결을 할 수 있어야 함? 양치 습관 추적 때문이라는 건 알겠지만, LAN 같은 로컬 연결만으로도 할 수 있지 않나?

    • 모든 칫솔 사용자가 집에 서버를 두고 거기에 연결할 능력이 있는 건 아님. 오히려 대부분은 칫솔을 활성화할 때 자신이 무엇을 켰는지 몰랐을 거라고 봄
      그리고 진공청소기, 냉장고, 세탁기, 커피메이커와 셀 수 없이 많은 “스마트” 개인정보 전송 가전도 잊으면 안 됨. HN 사람들 중 정확히 이런 기술을 만드는 사람이 얼마나 되고, 이 글을 읽는 사람이 얼마나 되며, 실제로 신경 쓰는 사람이 얼마나 되는지 설문을 해보고 싶을 정도임
    • 실제 사업 모델이 집계 데이터 판매라서 그런 것 아닌가?
    • 최근 매장에서 봤는데 모든 칫솔이 “AI”, 앱, Wi-Fi/Bluetooth 등을 광고하고 있었음. 이런 제품에 합리적인 상위 판매 요소를 붙이기 어렵긴 한가 봄
    • 나도 같은 생각이지만, 칫솔 자체에 데이터를 저장하지 않는다면 일반적인 가정에서 어느 기기가 그 데이터를 받아야 할까?
  • 모든 기술은 어떻게 쓰여야 하는지 분명해지기 전에 실험의 시기를 거친다고 봄
    그래서 폭탄에는 Project Plowshare가 있었고, 지금은 온오프 스위치만 있으면 되는 기기까지 인터넷 연결이 붙고 있음. 연결된 칫솔이 왜 필요한지는 좀 이해가 안 되지만, 가끔 칫솔 기반 봇넷이 나오더라도 실험 정신 자체는 매우 높이 평가함

    • 물론 기술이 쓰이는 방식이 분명해지기 전에는 실험이 필요함. 하지만 어제 여기서 말했듯이 [0], 실험은 광범위한 결과를 낳기 때문에 전문 과학자에게는 윤리 강령이 있는데 기술 업계에는 그런 것이 꽤 없어 보임
      인터넷만 놓고 보면 “실험”할 시간이 40년쯤 있었음. 이제는 결과, 결론, 그리고 어느 정도 성숙한 산출물이 나와야 할 때임
      [0] https://news.ycombinator.com/context?id=39253045
    • 이게 정말 실험인가, 아니면 Wi-Fi 연결을 붙여 기기에 더 높은 가격표를 달기 위한 것뿐인가
      제품 X를 더 비싸게 팔려면 어떻게 할까? Wi-Fi와 AI를 붙이면 됨. 거의 뭐든 이렇게 할 수 있음
    • 먼저 그들이 The Onion을 잡으러 왔고
      나는 Onion 작가가 아니었기에 말하지 않았음
      다음엔 Black Mirror를 잡으러 왔고
      나는 Mirror 작가가 아니었기에 말하지 않았음
      다음엔 Horselover Fat에게 왔음…
      제정신은 이미 여기 있음. 고르게 분포되어 있지 않을 뿐
    • 이건 실험이 아님. 이미 SaaS라는 익숙한 약어까지 가진 완성된 사업 모델임
      “왜”인지는 분명함. 인간 행동에 대한 집계 데이터에는 언제나 시장이 있음
    • 아이들에게 정직을 가르칠 필요가 없음. 그냥 아이들 칫솔을 감시하면 되니까
  • Stanislav Lem이 세탁기가 똑똑해져서 장악해가는 “Washer Tragedy”를 썼는데, 이런 칫솔을 보면 자랑스러워했을 듯함

  • 2037년에 피할 수 없이 올 인터넷 딜도 전쟁이 두려움. 수백만 개의 네트워크 딜도와 냉장고가 인터넷 전체에 대혼란을 일으켜 수십억 달러 피해를 내고, “용의자들은 여전히 도주 중”이 되는 시나리오

    • “ChatGPT 지원 인터넷 연결 딜도”는 인터넷 댓글 작성자를 향한 치명적인 모욕임
    • 2022년에 이미 스마트 딜도 사건이 있지 않았나?
      동반 앱이 만든 음성 녹음이 유출됐다는 내용이었던 것 같음