인터넷을 기반으로 모든 사물이 연결되는 사물인터넷(IoT)에 대한 관심이 높아지고 있는 가운데 시만텍(www.symantec.co.kr)이 최근 사용자가 늘고 있는 다수의 셀프 트래킹(Self-tracking) 기기와 애플리케이션(Application, 이하 앱)의 취약한 보안 현황을 발표하고, 보안 강화의 필요성을 강조했다.
최근 IoT 기술이 접목된 웨어러블 기기의 활용이 헬스케어, 스포츠 등 다양한 분야로 늘어나면서 개인의 심박수나 혈압과 같은 건강 상태는 물론 감정 상태까지 실시간으로 측정 및 분석하는 자가 측정(Quantified Self)에 대한 관심이 높아지고 있다. 그러나, 자가 측정(Quantified Self)은 민감한 개인 정보가 다루어지는 만큼 철저한 보안이 요구되는 분야지만, 아직까지는 프라이버시 정책 준수나 보안 기술 도입이 미흡한 것으로 조사되어 향후 보안 강화를 위한 다각적인 노력이 필요한 것으로 나타났다.
시만텍이 셀프 트래킹 기기 및 앱의 보안 안전성을 확인하기 위한 진행한 실험 결과, ▲조사한 웨어러블 액티비티 트래킹 기기 모두 위치 추적이 가능한 것을 비롯해, ▲평문(Clear text) 형태로 개인 데이터 전송 ▲프라이버시 정책의 부재 ▲의도하지 않은 데이터 유출 ▲취약한 시스템 관리 등 개인 데이터의 저장 및 관리가 취약한 것으로 조사되었다.
자가 측정(Quantified Self) 혹은 라이프 로깅(Life Logging)으로도 알려진 셀프 트래킹은 자신의 일상과 생각, 경험, 성과 등을 기록하는 활동을 의미한다. 현재 매일 전세계 수백만 명의 사람들이 각종 기기와 앱을 사용해 자가 측정 활동을 하고 있다. 다양한 장소에서 생성 및 전송, 저장되는 개인 데이터 양을 고려할 때, 셀프 트래킹 기기와 앱을 이용하는 사용자들의 프라이버시와 보안은 점점 더 큰 문제로 대두될 것이다.
시만텍은 셀프 트래킹 기기와 앱의 보안 현황을 조사하기 위해 라즈베리 파이(Raspberry Pi) 미니컴퓨터를 이용한 블루투스 스캔 기기를 개발해 사람들이 밀집한 스포츠 행사장과 공공장소에서 사람들이 사용하고 있는 셀프 트래킹 기기들에 대한 조사를 진행했다. 또한 인기 있는 셀프 트래킹 기기와 앱을 제공하는 업체들이 사용자 보호를 위해 하고 있는 보안 활동에 대해서도 조사했다. 이번 조사 결과의 주요 내용은 다음과 같다.
1) 모든 웨어러블 액티비티 트래킹 기기의 추적 및 위치 파악 가능
조사 대상 웨어러블 액티비티 트래킹 기기의 100%가 무선 프로토콜 전송을 통해 추적하거나 위치를 파악할 수 있는 것으로 나타났다. 현재 스포츠 활동을 추적하는 웨어러블 기기들은 움직임을 감지하는 센서를 포함하고 있으며, 기기가 수집한 데이터는 다른 기기나 컴퓨터와 동기화를 통해 볼 수 있다. 하지만 편의상 블루투스 저전력(Bluetooth Low Energy) 기술을 이용해 무선으로 다른 기기로 데이터 동기화가 가능한데, 이 때 기기 추적이 가능한 정보를 전달한다.
시만텍이 직접 만든 휴대용 블루투스 스캔 기기를 가지고 실험한 결과, 조사 대상이 된 모든 웨어러블 액티비티 트래킹 기기들이 이들 기기가 전송한 고유 하드웨어 주소를 사용해 쉽게 위치 추적이 가능한 것으로 나타났다. 일부 기기는 설정환경에 따라 원격조회가 가능한 기기도 있어, 물리적 접촉이 없어도 기기의 시리얼 번호나 특징 등과 같은 정보를 쉽게 파악할 수 있었다. 누군가 악의적인 의도를 가지고 있다면 손쉽게 이러한 위치 추적 정보를 이용할 수 있는 것이다.
2) 셀프 트래킹 앱의 20%가 개인 데이터 및 추적 데이터를 평문으로 전송
셀프 트래킹 앱의 20%가 평문(Clear text) 형태로 사용자 식별 정보를 전송하고 있는 것으로 나타났다. 사용자 이름(예. 이메일 주소)이나 패스워드 등의 민감한 개인정보를 암호화와 같은 보호 조치 없이 그대로 인터넷 등 안전하지 않은 매체를 통해 전송하고 있는 것이다. 이는 공격자가 쉽게 개인의 중요 정보를 가로챌 수도 있는 심각한 보안 허점이다. 특히 많은 사람들이 다양한 웹사이트에 동일한 로그인 정보를 사용하는 경향이 있다는 점에서 그 위험도가 크다는 점을 알아야 한다.
3) 조사 대상 셀프 트래킹 앱의 52%가 프라이버시 정책 부재
조사 대상 셀프 트래킹 앱의 절반이 넘는 52%가 프라이버시 정책이 없는 것으로 나타났다. 프라이버시 정책은 온라인 셀프 트래킹 서비스를 개발하고 제공할 때 보안 문제가 어떻게 고려되고 있는지를 가늠할 수 있는 지표다. 셀프 트래킹 앱과 서비스는 기본적으로 개인 정보를 수집 및 분석할 목적으로 개발된 만큼, 명확하고 이해하기 쉬운 프라이버시 정책을 제공해 사용자가 서비스 사용 전에 신중한 선택을 할 수 있도록 해야 한다. 사용자들 또한 셀프 트래킹 서비스에 가입하기 전에 개인의 정보를 다루는 프라이버시 정책을 꼼꼼하게 검토해야 한다.
4) 의도하지 않은 데이터 유출 가능성 존재
하나의 셀프 트래킹 앱에 연결되는 고유 도메인이 평균 5개, 많게는 최대 14개로 조사되었다. 앱이 수집한 데이터를 전송하고, 광고 등 특정 API에 접속하기 위해 도메인에 접속할 수 있으나 상당히 많은 앱이 10개 이상의 고유 도메인에 접속하고 있다는 놀라운 결과가 나왔다. 하지만 앱이 서드파티(Third party) 서비스를 이용할 때 사용자 활동 정보가 예상치 않게 노출될 위험이 있어 주의를 요한다. 이 외에 사람의 실수나 사회공학적 방식으로, 또는 부주의한 데이터 취급으로 개인 정보가 의도치 않게 유출될 가능성이 있다.
5) 취약한 시스템 관리
사용자들이 개인 데이터에만 접속하고, 접근이 허가된 데이터에 대해서만 작업을 수행하게 해주는 사용자 세션이 제대로 관리되지 않는 사이트도 발견되었다. 세션 관리가 취약하면 사이버범죄자들이 세션을 가로채서 다른 사용자 행세를 할 수 있으며, 이는 사용자의 데이터베이스가 침해 당할 수 있는 심각한 보안 위협이다. 이처럼, 시스템이 제대로 설계 또는 구축되어 있지 않으면 심각한 취약점이 노출되어 공격자에게 악용될 수 있다.
안전한 셀프 트래킹 활동을 위한 시만텍의 보안 수칙
앞으로도 셀프 트래킹 활동은 꾸준하게 증가할 것으로 예상되는 가운데, 시만텍은 개인 및 셀프 트래킹 정보의 유출 위험에 대응하기 위해 다음과 같은 기본적인 보안 수칙을 권고한다.
• 기기에 대한 무단 접근을 차단하기 위해 화면 잠금이나 패스워드를 설정
• 사이트마다 다른 사용자 이름과 패스워드 사용
• 강력한 패스워드 설정
• 블루투스는 꼭 필요한 경우를 제외하고는 해제
• 불필요한 정보나 과도한 정보를 요구하는 사이트 및 서비스를 경계
• 소셜 공유 기능 사용시 주의
• 소셜 미디어에 위치 정보 공유 하지 않기
• 프라이버시 정책이 불확실한 앱과 서비스 사용 자제
• 앱과 서비스의 프라이버시 정책을 주의 깊게 확인
• 앱과 OS의 업데이트 설치
• 가능하면 기기의 전용보안 솔루션 사용
• 가능하면 기기 전체의 암호화 기능 사용
시만텍 SSET(Symantec Security Expert Team)를 총괄하는 윤광택 이사는 “IoT 시대가 빠르게 도래함에 따라 자가 측정 활동도 급증할 것으로 예상되는 가운데, 관련 업계는 물론 소비자들이 보안의 중요성에 대한 인식을 갖는 것이 시급하다”며, “제품 및 서비스 제공자는 설계부터 운영까지 전 영역에 걸쳐 보안을 고려해야 하고, 소비자는 자가 측정 활동을 할 때 보안 정책을 꼼꼼히 따져보고, 강력한 패스워드 설정 등 개인정보를 철저히 관리해 개인정보 유출을 예방하는 자세가 요구된다”고 설명했다.
보다 자세한 정보는 시만텍 보안 블로그 및 자가 측정 보안 동향 백서에서 확인할 수 있다.
컴퓨팅 
[기획] 최고의 게임 경험을 위한 게이밍 노트북, MSI Vector GP78 HX 13VH-i9 QHD
Copyrightⓒ 넥스젠리서치(주) 케이벤치 미디어국. www.kbench.com
