by Wizard

일론 머스크의 ‘숙면’ 뒤에 숨겨진 보안 취약점: Eight Sleep 스마트 침대의 위험성

최근 일론 머스크가 정부 지출 부서(DOGE) 직원들의 업무 효율을 위해 Eight Sleep의 스마트 침대를 도입했다는 소식이 화제입니다. 장시간 노동에 지친 직원들을 위해 수면, 독서, 맞춤형 자세 조절, 코골이 완화 기능 등을 제공하는 최첨단 침대죠. 하지만 이 스마트 침대에 심각한 보안 취약점이 발견되어 논란이 일고 있습니다.

Eight Sleep 스마트 침대, 해킹 위험에 노출?

보안 연구원 딜런 아이레이는 Eight Sleep 침대의 펌웨어에서 활성 상태의 AWS 키를 발견했습니다. 이 키는 침대 데이터를 아마존으로 직접 스트리밍하는 데 사용되는 것으로 보입니다. 더 심각한 문제는 Eight Sleep 엔지니어들이 모든 고객의 침대에 SSH 접근 권한을 가진 원격 백도어를 발견했다는 점입니다. 이를 통해 감독 없이 임의의 코드를 실행할 수 있다는 것입니다.

개인 정보 유출 넘어 홈 네트워크까지 위협

아이레이는 Eight Sleep 직원들이 이론적으로 수면 패턴을 추적하고, 침대 점유 여부를 감지하며, 심지어 침대 기능을 원격으로 제어할 수 있다고 경고합니다. 이는 개인 정보 침해를 넘어 전체 홈 네트워크에 대한 위협으로 이어질 수 있습니다. 해커나 악의적인 내부자가 침대를 통해 스마트 냉장고, 노트북 등 다른 연결된 기기로 침투할 수 있기 때문입니다.

우버의 ‘갓 모드’와 유사한 접근 권한

아이레이는 Eight Sleep의 접근 수준을 우버의 논란이 되었던 '갓 모드'에 비유했습니다. '갓 모드'는 우버가 사용자 동의 없이 사용자를 감시하는 데 사용했던 도구입니다. Eight Sleep의 AWS 키는 아이레이의 보고 직후 폐기되었지만, 정확한 용도는 아직 밝혀지지 않았습니다. 아이레이는 공격자가 이 키를 사용하여 Kinesis에 초당 5,000개의 'PUT' 요청을 보내 Eight Sleep에 월 10만 달러의 요금을 부과할 수도 있었다고 주장합니다.

더 안전한 수면을 위한 대안은?

아이레이는 Eight Sleep의 보안 문제에 실망하여 스마트 침대에 대한 자체적인 대안을 제시했습니다. 그는 수족관 냉각기를 사용하여 온도 조절 기능을 제공하면서도 앱, 구독, 인터넷 연결, 백도어, 보안 책임이 없는 시스템을 구축했습니다. 그의 접근 방식은 첨단 기술에 의존하기보다는 기본적인 기능에 집중하면서 보안을 최우선으로 고려한 결과입니다.