HP가 보안결함이 있는 것을 알면서도 레이저젯프린터를 팔아 해커들이 데이터를 훔치고 네트워크통제권을 가진데다 과열로 물리적 피해까지 가져왔다는 이유로 소송당했다.
씨넷은 이달초 뉴욕의 데이비드 골드브랫이 새너제이 법원에 제출된 소장을 통해 “HP가 매우 해커공격에 취약한 설계상 약점을 알면서도 팔았다”며 것으하:이같이 주장했다고 전했다.
■뉴요커 캘리포니아 새너제이 법원에 소송
데이빗 골드브릿은 자신은 만일 이러한 문제가 있었다는 사실을 알았더라면 자신은 2대의 프린터를 사지 않았을 것이라고 소장에 쓰고 있다.
소장은 또 HP가 소비자를 보호하고 사기나 사기사업 관행을 막기위한 캘리포니아 법을 위반했다며 집단 소송을 하게 됐다고 쓰고 있다. 이 문제는 인터넷에서 프린터를 업데이트할 수 있도록 한 SW가 업그레이드나 수정을 위한 어떤 SW를 다운로드하더라도 이를 확인하는 디지털사인을 사용하지 않는데서 나왔다고 소장은 밝히고 있다.
소장은 “HP가 SW업그레이드시 디지털 인증의 사용을 요구하는데 실패함으로써 해커들은 HP의 프린터 SW를 다시 프로그래밍해 불순한 의도를 가진 SW를 들키지 않고 tyla을 수 있다”고 쓰고 있다.
또 “일단 불순한의도의 SW가 심어지면 해커는 인터넷을 통해 HP프린터를 원격제어할 수 있으며 개인 정보를 훔치고 그렇지 않으며 네트워크를 확보해 HP프린터 그 자체에 대한 물리적 피해까지 입힐 수 있다”고 썼다.
일단 HP의 대변인은 씨넷에 보낸 이메일 답신에서 소송중인 건에 대해 답하지 않는다고 밝혔다.
■지난달 컬럼비다대 연구진이 보안 취약성 지적했었다
이러한 보안 문제는 컬럼비아대학 공학및응용과학 연구진이 지난달 처음 문제를 제기한 바 있다. 이들은 MSNBC에 HP프린터가 가진 새로운 프린트작업이 시작될때마다 SW업데이터를 체크해 주는 ‘원격펌웨어업데이트’기능이 해커들에게 임의의 펌웨어를 설치해 프린터를 완전히 제어할 수 있도록 할 것이라는 우려를 제기했다.
소장에 따르면 실험결과 프린터로 세금환급서류를 인쇄했는데 이것은 두 번째 컴퓨터로 보내져 트위터피드를 통해 사회보장번호(미국의 주민등록증번호)를 트윗했다.또 두 번째 실험에서 연구진들은 감염된 프린터에 명령을 보내 잉크를 말리주는 프린터퓨저 부품을 과열시켜 종이를 검게,갈색으로 만들어버릴 수 있었다.
원고는 소장에서 “HP프린터에 열 스위치가 없기 때문에 물리적으로 손실을 입는다”고 주장하고 있다.
이번 소송은 지난 해 4월 HP가 프린트를 생각하고, 보안을 생각하라(Think Print, Think Security)며 내놓은 종이를 참고해 이뤄졌다.
여기서 HP는 “데이터는 수많은 방법을 통해 중간에 누군가에 의해 가로채이거나 제3자에게 보내진다.일부 프린터의 SW는 이런 기능을 수정하거나 SW감시보호프로그램인 네트워크 스니퍼같은 특징을 더할 수 있다. 이는 수정SW를 업로드하거나 프린터 회로판의 칩을 대체함으로써 수정할 수 있다”고 밝히고 있다.
디지털 서명 기술은 지난 2009년부터 프린터에 포함,적용되기 시작했는데 이번 소송에서는 그 이전에 도입된 수천만 HP프린터가 이미 감염돼 있다고 밝히고 있다.
■HP,어떤 고객들의 불만도 제기받은 적이 없다고 했지만...
해커들이 HP프린터를 이용해 해킹할 수 있는 가능성이 제기되자 HP는 연구진에 대해 “센세이셔널하지만 부정확하다”면서 “HP는 고객들의 어떤 불만도 제기받은 적이 없다”고 밝혔지만 이번에 소송을 당했다.
해커들이 HP프린터를 이용해 해킹할 수 있는 가능성이 제기되자 HP는 연구진에 대해 “센세이셔널하지만 부정확하다”면서 “HP는 고객들의 어떤 불만도 받은 적이 없다”고 밝혔지만 이번에 소송을 당했다.
파이어월이 없는 공공인터넷상에 연결된 HP레이저프린터에는 일반적인 취약성이 존재한다.
소장에서는 심지어 “사설 네트워크에서도 일부 프린터는 믿을 수있는 네트워크에 의해 악의적인 프린터 펌웨어수정이 이뤄진다면 프린터 보안은 취약해질 수 밖에 없다”고 지적하고 있다.
게다가 HP는 외부에서 의도적으로 프린터를 과열시키는데 대한 우려도 무시했다.
HP는 발표문에서 “HP 레이저젯 프린터는 잉크를 말려주는 부품인 퓨저가 과열되거서 불을 일으키지 않도록 써멀브레이커(thermal breaker)로 불리는 하드웨어 요소로 구성돼 있다”며 “이는 펌웨어의 변경이나 제시된 취약성에 의해 과열되지 않는다”고 주장했다.
관련기사
- 프린터가 트로이목마에다 화재까지?2011.12.11
- [이재구코너]황금알을 낳는 거위..제록스2011.12.11
- HP 프린터 앱 생태계, 성공 가능성은?2011.12.11
- 제록스 이메일 주의보! '스팸형 악성코드'2011.12.11
HP는 또한 자사가 (문제가 되고 있는)펌웨어 업그레이드를 통해 프린터를 위협에서 보호하기 위해 노력하고 있지만 그 시점이 언제가 될지는 말하지 않았다.