보안 사각지대 사물인터넷 '웨어러블 기기 100% 추적 가능'
2014-08-06 15:40
시만텍 셀프 트래킹 앱 52%가 프라이버시 정책 부재 발표
아주경제 장윤정 기자= 사물인터넷(IoT)의 활용성이 높아지고 있는 가운데 웨어러블 기기 100%가 추적이 가능하며 개인정보보호정책도 미흡한 것으로 나타났다.
시만텍이 최근 사용자가 늘고 있는 다수의 셀프 트래킹(Self-tracking) 기기와 애플리케이션(Application·이하 앱)의 취약한 보안 현황을 6일 발표했다.
최근 IoT 기술이 접목된 웨어러블 기기의 활용이 헬스케어, 스포츠 등 다양한 분야로 늘어나면서 개인의 심박수나 혈압과 같은 건강 상태는 물론 감정 상태까지 실시간으로 측정 및 분석하는 자가 측정(Quantified Self)에 대한 관심이 높아지고 있다.
그러나, 자가 측정은 민감한 개인 정보가 다루어지는 만큼 철저한 보안이 요구되는 분야지만, 아직까지는 프라이버시 정책 준수나 보안 기술 도입이 미흡한 것으로 조사돼 향후 보안 강화를 위한 다각적인 노력이 필요한 것으로 나타났다.
시만텍이 셀프 트래킹 기기 및 앱의 보안 안전성을 확인하기 위한 진행한 실험 결과 △조사한 웨어러블 액티비티 트래킹 기기 모두 위치 추적이 가능한 것을 비롯해 △평문(Clear text) 형태로 개인 데이터 전송 △프라이버시 정책의 부재 △의도하지 않은 데이터 유출 △취약한 시스템 관리 등 개인 데이터의 저장 및 관리가 취약한 것으로 조사되었다.
조사 대상 웨어러블 액티비티 트래킹 기기의 100%가 무선 프로토콜 전송을 통해 추적하거나 위치를 파악할 수 있는 것으로 나타났다.
현재 스포츠 활동을 추적하는 웨어러블 기기들은 움직임을 감지하는 센서를 포함하고 있으며, 기기가 수집한 데이터는 다른 기기나 컴퓨터와 동기화를 통해 볼 수 있다. 하지만 편의상 블루투스 저전력(Bluetooth Low Energy) 기술을 이용해 무선으로 다른 기기로 데이터 동기화가 가능한데, 이때 기기 추적이 가능한 정보를 전달한다.
시만텍이 직접 만든 휴대용 블루투스 스캔 기기를 가지고 실험한 결과, 조사 대상이 된 모든 웨어러블 액티비티 트래킹 기기들이 이들 기기가 전송한 고유 하드웨어 주소를 사용해 쉽게 위치 추적이 가능한 것으로 나타났다.
일부 기기는 설정환경에 따라 원격조회가 가능한 기기도 있어, 물리적 접촉이 없어도 기기의 시리얼 번호나 특징 등과 같은 정보를 쉽게 파악할 수 있었다. 누군가 악의적인 의도를 가지고 있다면 손쉽게 이러한 위치 추적 정보를 이용할 수 있는 것이다.
또 셀프 트래킹 앱의 20%가 평문(Clear text) 형태로 사용자 식별 정보를 전송하고 있는 것으로 나타났다. 사용자 이름(예, 이메일 주소)이나 패스워드 등의 민감한 개인정보를 암호화와 같은 보호 조치 없이 그대로 인터넷 등 안전하지 않은 매체를 통해 전송하고 있는 것.
특히 조사 대상 셀프 트래킹 앱의 절반이 넘는 52%가 프라이버시 정책이 없는 것으로 나타났다. 프라이버시 정책은 온라인 셀프 트래킹 서비스를 개발하고 제공할 때 보안 문제가 어떻게 고려되고 있는지를 가늠할 수 있는 지표다.
더불어 하나의 셀프 트래킹 앱에 연결되는 고유 도메인이 평균 5개, 많게는 최대 14개로 조사되었다. 앱이 수집한 데이터를 전송하고, 광고 등 특정 API에 접속하기 위해 도메인에 접속할 수 있으나 상당히 많은 앱이 10개 이상의 고유 도메인에 접속하고 있다는 놀라운 결과가 나왔다.
하지만 앱이 서드파티(Third party) 서비스를 이용할 때 사용자 활동 정보가 예상치 않게 노출될 위험이 있어 주의를 요한다. 이 외에 사람의 실수나 사회공학적 방식으로, 또는 부주의한 데이터 취급으로 개인 정보가 의도치 않게 유출될 가능성이 있다.
나아가 사용자들이 개인 데이터에만 접속하고, 접근이 허가된 데이터에 대해서만 작업을 수행하게 해주는 사용자 세션이 제대로 관리되지 않는 사이트도 발견되었다. 세션 관리가 취약하면 사이버범죄자들이 세션을 가로채서 다른 사용자 행세를 할 수 있다.
시만텍 SSET(Symantec Security Expert Team)를 총괄하는 윤광택 이사는 “IoT 시대가 빠르게 도래함에 따라 관련 업계는 물론 소비자들이 보안의 중요성에 대한 인식을 갖는 것이 시급하다”며, “제품 및 서비스 제공자는 설계부터 운영까지 전 영역에 걸쳐 보안을 고려해야 하고, 소비자는 자가 측정 활동을 할 때 보안 정책을 꼼꼼히 따져보고, 강력한 패스워드 설정 등 개인정보를 철저히 관리해 개인정보 유출을 예방하는 자세가 요구된다”고 설명했다.
한편 시만텍은 셀프 트래킹 기기와 앱의 보안 현황을 조사하기 위해 라즈베리 파이(Raspberry Pi) 미니컴퓨터를 이용한 블루투스 스캔 기기를 개발, 사람들이 밀집한 스포츠 행사장과 공공장소에서 사용하고 있는 셀프 트래킹 기기들에 대한 조사를 진행했다.