iOS / 디지털 디바이스 / 보안 / 웨어러블컴퓨팅 / 프라이버시

피트니스 웨어러블 기기, 사용자 정보 유출 위험..."보험사, 법원 등 비상"

Peter Sayer | IDG News Service 2016.02.03
온갖 다양한 운동 웨어러블 기기에서 데이터를 추적할 수 있는 것은 사용자 본인뿐만이 아니다. 8개 업체의 운동 웨어러블 기기와 전용 모바일 앱을 대상으로 연구를 진행한 캐나다 과학자들이 서드파티 앱이 얼마든지 데이터를 들여다 볼 수 있다는 연구 결과를 발표했다.

실험 대상 기기는 베이시스 피크(Basis Peak), 핏빗 차지(Fitbit Charge) HR, 가민 비보스마트(Garmin Vivosmart), 조본 업(Jawbone Up) 2, 미오 퓨스(Mio Fuse), 위딩스 펄스(Withings Pulse) O2, 샤오미 미 밴드(Xiami Mi Band)로, 연구진은 모두 블루투스로 착용자를 추적하는 것이 가능했다고 밝혔다. 추적 방지를 위해 MAC 어드레스를 계속해서 변경하는 블루투스 LE 표준 기능을 사용한 것은 애플 워치 뿐이었다. 연구진이 진행한 실험에서는 애플 워치를 제외한 모든 제품이 상점이나 쇼핑몰에서 고객층 식별에 널리 사용하는 비콘을 통해 사용자 데이터를 추적할 수 있었다. 

뿐만 아니라 연구진이 제출한 보고서 초안에 따르면, 웨어러블 기기와 짝을 이루는 모바일 앱도 로그인 인증서를 누출하고 데이터를 가로채거나, 탬퍼링 등의 방식으로 활동 추적 정보를 전송하고, 또는 사용자가 활동 정보를 허위로 제출할 수 있게 한다. 이번 연구 보고서는 캐나다 비영리 오픈 이펙트(Open Effect)가 발간하고 토론토 대학의 국제 문제 연구소 뭉크스쿨 내 시티즌랩(Citizen Lab)과 협력해 진행됐다.

웨어러블 앱은 일반적으로 기기에서 데이터를 수집해 중앙 서버에 업로드하고, 이 곳에서 사용자들이 성과를 확인하고 타 사용자들과 비교할 수 있다. 연구진은 MITM 중간자 공격으로 애플 워치 2.1과 인텔의 베이시스 피크 1.14.0.을 제외한 모든 앱과 서버 간 트래픽을 감시할 수 있었다. 그러나 다른 6개 앱은 HTTPS로 전송된 암호화 데이터도 노출했다.

애플과 인텔은 연구진들이 제시한 가짜 보안 인증서를 피할 수 있는 인증서 피닝 기술을 사용했다. 인텔은 “2025 디지털 미국의 미래 세이프가드(Safeguarding the Future of Digital America 2025)”라는 보고서를 발간하는 등 2014년부터 보안이 허술한 웨어러블 기기의 위험을 강조해 왔다.

또 캐나다 연구진은 가민의 웨어러블 기기용 앱이 사인업과 로그인에만 HTTPS를 사용한다는 점을 밝혀냈다. 이 경우 모든 데이터가 투명한 상태로 공개되는 것이나 다름없어 서드파티 앱이 얼마든지 사용자 정보를 읽고 쓰고 심지어 삭제할 수 있다.

한편, 조본과 위딩스 앱 사용자는 운동 및 의료 기록을 조작할 수 있다. 웨어러블 기기를 사용해 보험료를 낮추기 시작한 일부 보험사나 몇몇 판례에서 웨어러블 기기의 데이터를 증거로 채택한 미국 법원 등이 매우 난처해질 것으로 보인다.

연구진은 정책의 예상 결과 등을 다루는 보고서의 다른 부분을 작업 중이며, 웨어러블 기기가 사용되는 지역에 따라 보안 결함의 중요성이 달라짐을 강조했다. 피트니스 웨어러블 기기는 의약 기기로 간주되지 않기 때문에 보안법의 엄격한 세부 사항이 적용되지 않는 경우가 많으나, 기기에서 생성되는 데이터의 경우 유럽에서는 유럽 데이터 보호법의 대상인 개인 정보로 간주된다는 것이다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.