스마트 워치, 스마크 글래스, 스마트 기어 등 이른바 웨어러블 디바이스(Wearable Device)가 새로운 트렌드로 주목 받고 있다. 전기를 에너지로 사용하는 모든 것은 네트워크로 연결한다는 사물인터넷(IoT)도 뜨거운 화두다. 이러한 가운데 보안솔루션 전문업체인 시만텍이 웨어러블 디바이스와 사물인터넷 기기에 대한 보안 취약점과 위험성을 조사해 결과를 발표했다.
조사결과는 한 마디로 '무방비'와 '불감증'이 심각한 수준이다. 웨어러블 디바이스나 사물인터넷 장치에는 사용자의 움직임, 위치, 속도, 심박수 등 다양한 정보를 측정하는 센서가 탑재되어 있다. 이러한 자가 측정(Quantified Self) 데이터는 내장된 어플리케이션이나 스마트폰에 연결된 앱을 통해 다양한 정보를 알려준다. 별것 아닌 것처럼 보이지만 악의적인 목적을 가진 누군가가 수집하거나 갈취할 경우 심각할 수 있는 데이터다.
셀프 트래킹 기기 및 앱의 보안 안전성을 확인하기 위한 진행한 실험 결과, ▲조사한 웨어러블 액티비티 트래킹 기기 모두 위치 추적이 가능한 것을 비롯해, ▲평문(clear text) 형태로 개인 데이터 전송 ▲프라이버시 정책의 부재 ▲의도하지 않은 데이터 유출 ▲취약한 시스템 관리 등 개인 데이터의 저장 및 관리가 취약한 것으로 조사되었다.
시만텍에 따르면 사용자 움직임을 기록하는 기능이 있는 액비비티 트레킹 기기는 100% 위치 추적 기능이 탑재되어 있는 것으로 조사됐다. 하지만 자기 위치를 자동으로 기록하는 셀프 트레킹(Self-tracking) 앱의 52%는 개인정보를 보호하는 기능이 없었다.자가 측정(Quantified Self) 혹은 라이프 로깅(Life Logging)으로도 알려진 셀프 트래킹은 자신의 일상과 생각, 경험, 성과 등을 기록하는 활동을 의미한다.
현재 매일 전세계 수백만 명의 사람들이 각종 기기와 앱을 사용해 자가 측정 활동을 하고 있다. 다양한 장소에서 생성 및 전송, 저장되는 개인 데이터 양을 고려할 때, 셀프 트래킹 기기와 앱을 이용하는 사용자들의 프라이버시와 보안은 점점 더 큰 문제로 대두될 것이다.
시만텍은 셀프 트래킹 기기와 앱의 보안 현황을 조사하기 위해 라즈베리 파이(Raspberry Pi) 미니컴퓨터를 이용한 블루투스 스캔 기기를 개발해 사람들이 밀집한 스포츠 행사장과 공공장소에서 사람들이 사용하고 있는 셀프 트래킹 기기들에 대한 조사를 진행했다. 또한 인기 있는 셀프 트래킹 기기와 앱을 제공하는 업체들이 사용자 보호를 위해 하고 있는 보안 활동에 대해서도 조사했다. 이번 조사 결과의 주요 내용은 다음과 같다. 자세한 정보는 시만텍 보안 블로그나 자가 측정 보안 동향 백서에서 확인할 수 있다.
모든 웨어러블 액티비티 트래킹 장치의 추적과 위치 파악 가능 |
조사 대상 웨어러블 액티비티 트래킹 기기의 100%가 무선 프로토콜 전송을 통해 추적하거나 위치를 파악할 수 있는 것으로 나타났다. 현재 스포츠 활동을 추적하는 웨어러블 기기들은 움직임을 감지하는 센서를 포함하고 있으며, 기기가 수집한 데이터는 다른 기기나 컴퓨터와 동기화를 통해 볼 수 있다. 하지만 편의상 블루투스 저전력(Bluetooth Low Energy) 기술을 이용해 무선으로 다른 기기로 데이터 동기화가 가능한데, 이 때 기기 추적이 가능한 정보를 전달한다.
시만텍이 직접 만든 휴대용 블루투스 스캔 기기를 가지고 실험한 결과, 조사 대상이 된 모든 웨어러블 액티비티 트래킹 기기들이 이들 기기가 전송한 고유 하드웨어 주소를 사용해 쉽게 위치 추적이 가능한 것으로 나타났다. 일부 기기는 설정환경에 따라 원격조회가 가능한 기기도 있어, 물리적 접촉이 없어도 기기의 시리얼 번호나 특징 등과 같은 정보를 쉽게 파악할 수 있었다. 누군가 악의적인 의도를 가지고 있다면 손쉽게 이러한 위치 추적 정보를 이용할 수 있는 것이다.
셀프 트래킹 앱의 20%가 개인 데이터와 추적 데이터를 평문으로 전송 |
셀프 트래킹 앱의 20%가 평문(Clear text) 형태로 사용자 식별 정보를 전송하고 있는 것으로 나타났다. 사용자 이름(예. 이메일 주소)이나 패스워드 등의 민감한 개인정보를 암호화와 같은 보호 조치 없이 그대로 인터넷 등 안전하지 않은 매체를 통해 전송하고 있는 것이다. 이는 공격자가 쉽게 개인의 중요 정보를 가로챌 수도 있는 심각한 보안 허점이다. 특히 많은 사람들이 다양한 웹사이트에 동일한 로그인 정보를 사용하는 경향이 있다는 점에서 그 위험도가 크다는 점을 알아야 한다.
조사 대상 셀프 트래킹 앱의 52%가 개인정보보호 정책 없다 |
조사 대상 셀프 트래킹 앱의 절반이 넘는 52%가 프라이버시 정책이 없는 것으로 나타났다. 프라이버시 정책은 온라인 셀프 트래킹 서비스를 개발하고 제공할 때 보안 문제가 어떻게 고려되고 있는지를 가늠할 수 있는 지표다. 셀프 트래킹 앱과 서비스는 기본적으로 개인 정보를 수집 및 분석할 목적으로 개발된 만큼, 명확하고 이해하기 쉬운 프라이버시 정책을 제공해 사용자가 서비스 사용 전에 신중한 선택을 할 수 있도록 해야 한다. 사용자들 또한 셀프 트래킹 서비스에 가입하기 전에 개인의 정보를 다루는 프라이버시 정책을 꼼꼼하게 검토해야 한다.
의도하지 않은 데이터 유출 가능성 존재 |
하나의 셀프 트래킹 앱에 연결되는 고유 도메인이 평균 5개, 많게는 최대 14개로 조사되었다. 앱이 수집한 데이터를 전송하고, 광고 등 특정 API에 접속하기 위해 도메인에 접속할 수 있으나 상당히 많은 앱이 10개 이상의 고유 도메인에 접속하고 있다는 놀라운 결과가 나왔다. 하지만 앱이 서드파티(Third party) 서비스를 이용할 때 사용자 활동 정보가 예상치 않게 노출될 위험이 있어 주의를 요한다. 이 외에 사람의 실수나 사회공학적 방식으로, 또는 부주의한 데이터 취급으로 개인 정보가 의도치 않게 유출될 가능성이 있다.
취약한 시스템 관리 |
사용자들이 개인 데이터에만 접속하고, 접근이 허가된 데이터에 대해서만 작업을 수행하게 해주는 사용자 세션이 제대로 관리되지 않는 사이트도 발견되었다. 세션 관리가 취약하면 사이버범죄자들이 세션을 가로채서 다른 사용자 행세를 할 수 있으며, 이는 사용자의 데이터베이스가 침해 당할 수 있는 심각한 보안 위협이다. 이처럼, 시스템이 제대로 설계 또는 구축되어 있지 않으면 심각한 취약점이 노출되어 공격자에게 악용될 수 있다.
안전한 셀프 트래킹 활동을 위한 시만텍의 보안 수칙
앞으로도 셀프 트래킹 활동은 꾸준하게 증가할 것으로 예상되는 가운데, 시만텍은 개인 및 셀프 트래킹 정보의 유출 위험에 대응하기 위해 다음과 같은 기본적인 보안 수칙을 권고했다.
• 기기에 대한 무단 접근을 차단하기 위해 화면 잠금이나 패스워드를 설정
• 사이트마다 다른 사용자 이름과 패스워드 사용
• 강력한 패스워드 설정
• 블루투스는 꼭 필요한 경우를 제외하고는 해제
• 불필요한 정보나 과도한 정보를 요구하는 사이트 및 서비스를 경계
• 소셜 공유 기능 사용시 주의
• 소셜 미디어에 위치 정보 공유 하지 않기
• 프라이버시 정책이 불확실한 앱과 서비스 사용 자제
• 앱과 서비스의 프라이버시 정책을 주의 깊게 확인
• 앱과 OS의 업데이트 설치
• 가능하면 기기의 전용보안 솔루션 사용
• 가능하면 기기 전체의 암호화 기능 사용
'🅝•NEWS•NOTICE > SECURITY' 카테고리의 다른 글
| 인텔 'GPU 연산·머신러닝' 활용한 보안 신기술 RSA 2018에서 공개 (0) | 2018.04.20 |
|---|---|
| 국가부터 개인까지 모든 정보를 노린다, 고도로 정교화된 ‘스파이웨어’ 레긴 포착 (0) | 2014.11.25 |
| 시만텍, MS 윈도 제로데이 취약점 ‘샌드웜’ 관련 사용자 주의 당부 (0) | 2014.10.15 |
| 시만텍, 구 동유럽 국가와 대사관을 대상으로 4년간 계속된 사이버스파이 활동 포착 (0) | 2014.08.08 |
| 시만텍, '에너지 기업에 대한 해킹 시도 위험수준' 경고 (0) | 2014.07.01 |
| 월드컵 시즌을 노리는 온라인 사기 급증! (0) | 2014.06.13 |
| [인포그래픽] 시만텍 보안 보고서 ; 에너지 산업에 대한 표적공격 증가 (0) | 2014.02.20 |
| 2014년에는 모바일과 사물인터넷에 대한 보안위협 증가 (0) | 2013.11.26 |
