침해사고/위협동향

시만텍 “웨어러블 디바이스, 보안에 매우 취약”

이민형

[디지털데일리 이민형기자] 사물인터넷(IoT)에 대한 관심이 높아지고 있는 가운데 시만텍(www.symantec.co.kr)이 최근 사용자가 늘고 있는 다수의 셀프 트래킹(Self-tracking) 기기와 애플리케이션(앱)의 취약한 보안 현황을 발표하고 보안 강화의 필요성을 강조했다.

최근 IoT 기술이 접목된 웨어러블 기기의 활용이 헬스케어, 스포츠 등 다양한 분야로 늘어나면서 개인의 심박수나 혈압과 같은 건강 상태는 물론 감정 상태까지 실시간으로 측정 및 분석하는 자가 측정(Quantified Self)에 대한 관심이 높아지고 있다.

그러나, 자가 측정(Quantified Self)은 민감한 개인 정보가 다루어지는 만큼 철저한 보안이 요구되는 분야지만, 아직까지는 프라이버시 정책 준수나 보안 기술 도입이 미흡한 것으로 조사되어 향후 보안 강화를 위한 다각적인 노력이 필요한 것으로 나타났다.

시만텍이 셀프 트래킹 기기 및 앱의 보안 안전성을 확인하기 위한 진행한 실험 결과 조사한 웨어러블 액티비티 트래킹 기기 모두 위치 추적이 가능한 것을 비롯해 ▲평문(Clear text) 형태로 개인 데이터 전송 ▲프라이버시 정책의 부재 ▲의도하지 않은 데이터 유출 ▲취약한 시스템 관리 등 개인 데이터의 저장 및 관리가 취약한 것으로 조사됐다.

자가 측정(Quantified Self) 혹은 라이프 로깅(Life Logging)으로도 알려진 셀프 트래킹은 자신의 일상과 생각, 경험, 성과 등을 기록하는 활동을 의미한다.

현재 매일 전세계 수백만 명의 사람들이 각종 기기와 앱을 사용해 자가 측정 활동을 하고 있다. 다양한 장소에서 생성 및 전송, 저장되는 개인 데이터 양을 고려할 때, 셀프 트래킹 기기와 앱을 이용하는 사용자들의 프라이버시와 보안은 점점 더 큰 문제로 대두될 것이다.

시만텍은 셀프 트래킹 기기와 앱의 보안 현황을 조사하기 위해 라즈베리 파이(Raspberry Pi) 미니컴퓨터를 이용한 블루투스 스캔 기기를 개발해 사람들이 밀집한 스포츠 행사장과 공공장소에서 사람들이 사용하고 있는 셀프 트래킹 기기들에 대한 조사를 진행했다.

또한 인기 있는 셀프 트래킹 기기와 앱을 제공하는 업체들이 사용자 보호를 위해 하고 있는 보안 활동에 대해서도 조사했다.

조사 대상 웨어러블 액티비티 트래킹 기기의 100%가 무선 프로토콜 전송을 통해 추적하거나 위치를 파악할 수 있는 것으로 나타났다.

현재 스포츠 활동을 추적하는 웨어러블 기기들은 움직임을 감지하는 센서를 포함하고 있으며, 기기가 수집한 데이터는 다른 기기나 컴퓨터와 동기화를 통해 볼 수 있다. 하지만 편의상 블루투스 저전력(Bluetooth Low Energy) 기술을 이용해 무선으로 다른 기기로 데이터 동기화가 가능한데, 이 때 기기 추적이 가능한 정보를 전달한다.

시만텍이 직접 만든 휴대용 블루투스 스캔 기기를 가지고 실험한 결과, 조사 대상이 된 모든 웨어러블 액티비티 트래킹 기기들이 이들 기기가 전송한 고유 하드웨어 주소를 사용해 쉽게 위치 추적이 가능한 것으로 나타났다.

일부 기기는 설정환경에 따라 원격조회가 가능한 기기도 있어, 물리적 접촉이 없어도 기기의 시리얼 번호나 특징 등과 같은 정보를 쉽게 파악할 수 있었다. 누군가 악의적인 의도를 가지고 있다면 손쉽게 이러한 위치 추적 정보를 이용할 수 있는 것이다.

셀프 트래킹 앱의 20%가 평문(Clear text) 형태로 사용자 식별 정보를 전송하고 있는 것으로 나타났다. 사용자 이름이나 패스워드 등의 민감한 개인정보를 암호화와 같은 보호 조치 없이 그대로 인터넷 등 안전하지 않은 매체를 통해 전송하고 있다.

또한 조사 대상 셀프 트래킹 앱의 절반이 넘는 52%가 프라이버시 정책이 없는 것으로 나타났다.

셀프 트래킹 앱과 서비스는 기본적으로 개인 정보를 수집 및 분석할 목적으로 개발된 만큼, 명확하고 이해하기 쉬운 프라이버시 정책을 제공해 사용자가 서비스 사용 전에 신중한 선택을 할 수 있도록 해야 한다. 사용자들 또한 셀프 트래킹 서비스에 가입하기 전에 개인의 정보를 다루는 프라이버시 정책을 꼼꼼하게 검토해야 한다.

아울러 하나의 셀프 트래킹 앱에 연결되는 고유 도메인이 평균 5개, 많게는 최대 14개로 조사됐다. 앱이 서드파티(Third party) 서비스를 이용할 때 사용자 활동 정보가 예상치 않게 노출될 위험이 있어 주의를 요한다. 이 외에 사람의 실수나 사회공학적 방식으로, 또는 부주의한 데이터 취급으로 개인 정보가 의도치 않게 유출될 가능성이 있다.

이와 함께 사용자들이 개인 데이터에만 접속하고, 접근이 허가된 데이터에 대해서만 작업을 수행하게 해주는 사용자 세션이 제대로 관리되지 않는 사이트도 발견됐다.

세션 관리가 취약하면 사이버범죄자들이 세션을 가로채서 다른 사용자 행세를 할 수 있으며, 이는 사용자의 데이터베이스가 침해 당할 수 있는 심각한 보안 위협이다.

시만텍은 개인 및 셀프 트래킹 정보의 유출 위험에 대응하기 위해 ▲기기에 대한 무단 접근을 차단하기 위해 화면 잠금이나 패스워드를 설정 ▲사이트마다 다른 사용자 이름과 패스워드 사용 ▲강력한 패스워드 설정 ▲블루투스는 꼭 필요한 경우를 제외하고는 해제 ▲불필요한 정보나 과도한 정보를 요구하는 사이트 및 서비스를 경계 ▲소셜 공유 기능 사용시 주의 ▲소셜 미디어에 위치 정보 공유 하지 않기 ▲프라이버시 정책이 불확실한 앱과 서비스 사용 자제 ▲앱과 서비스의 프라이버시 정책을 주의 깊게 확인 ▲앱과 OS의 업데이트 설치 ▲가능하면 기기의 전용보안 솔루션 사용 ▲가능하면 기기 전체의 암호화 기능 사용 등에 신경써야 한다고 지적했다.

시만텍 SSET(Symantec Security Expert Team)를 총괄하는 윤광택 이사는 “관련 업계는 물론 소비자들이 IoT 보안의 중요성에 대한 인식을 갖는 것이 시급하다”며 “제품 및 서비스 제공자는 설계부터 운영까지 전 영역에 걸쳐 보안을 고려해야 한다. 또 소비자는 자가 측정 활동을 할 때 보안 정책을 꼼꼼히 따져보고, 강력한 패스워드 설정 등 개인정보를 철저히 관리해 개인정보 유출을 예방하는 자세가 요구된다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널