TP-Link Kasaカメラ、GPS位置情報を6年間漏洩

원제: TP-Link Kasa cameras leaked home GPS via unauthenticated UDP for 6 years

왜 중요한가

IoT 보안 카메라가 가정의 GPS 위치를 무인증으로 노출한 이번 사례는, 수억 대 IoT 기기의 프라이버시 취약성과 장기 미패치 문제의 심각성을 재조명한다.

보안 연구자 Christopher Childress는 TP-Link Kasa Spot EC71 카메라가 인증 없는 UDP를 통해 GPS 위치정보를 약 6년간 노출했다고 2026년 7월 16일 공개했다. CVE-2026-9770(RSA/IAM)과 CVE-2026-13230(GPS)은 펌웨어 2.4.1에서 수정됐다.

보안 연구자 Christopher Childress(핸들명: BadChemical)가 GitHub에 공개한 보안 권고문에 따르면, TP-Link의 실내 보안 카메라 Kasa Spot EC71은 펌웨어 버전 2.3.26(빌드일 2024년 4월 25일, 릴리스 ID 33797)에서 두 가지 심각한 취약점이 확인됐다.

첫 번째 취약점 CVE-2026-13230은 카메라가 인증 절차 없이 UDP 프로토콜을 통해 기기 설치 장소의 GPS 좌표를 외부로 송신하는 문제다. 이 취약점은 약 6년간 패치 없이 방치된 것으로 보고됐으며, 가정 내 설치된 카메라의 위치가 제3자에게 노출될 수 있는 프라이버시 침해 위험을 내포하고 있다.

두 번째 취약점 CVE-2026-9770은 RSA/IAM(인증 및 접근 관리) 관련 결함으로, 인증 우회 가능성이 지적됐다.

TP-Link Systems Inc.는 Childress의 취약점 보고를 접수한 후 조율된 책임 공개(Coordinated Disclosure) 절차에 따라 대응했으며, 두 취약점 모두 펌웨어 2.4.1 버전에서 수정·배포됐다. 공개일은 2026년 7월 16일로, 해당 리포지토리는 이미 패치된 취약점에 대한 교육 및 방어적 연구 목적으로 개념 증명(PoC)을 공개하고 있다.

출처

github.com — 원문 읽기 →