보안 / 웨어러블컴퓨팅

개인 데이터가 저장되는 스마트워치, “보안은 충분치 않아” HP

Fred O'Connor | IDG News Service 2015.07.27
스마트워치가 해커들로부터 사용자들의 데이터를 충분히 보호하지 못하는 것으로 나타났다.

HP의 포티파이 온 디맨드(Fortify on Demand) 보안 부문이 10개의 인기 스마트워치를 테스트한 결과로, HP는 테스트로 발견된 취약점을 각 업체에게 고지했다. 테스트 대상 스마트워치는 공개되지 않았다.

HP는 또한 스마트워치에 액세스할 수 있도록 하는 웹 인터페이스와 모바일 앱과 스마트워치용 앱의 데이터 수집과 관련된 보안을 테스트했다.

그 결과, 각 스마트워치의 취약점이 발견되었고, 사용자 인증 방법, 데이터 암호화, 프라이버시 등에 문제가 있는 것으로 나타났다.

먼저, 스마트워치 화면 잠금 장치를 지원하는 제품은 HP가 테스트한 제품 중 절반에 불과했다. 스마트워치를 도난 당한 경우 누구나 민감한 정보에 액세스할 수 있는 가능성이 있다는 것이다. 스마트워치 센서는 심박수 등의 건강 데이터를 수집하고, 스마트워치에는 사용자 이름, 주소, 생년월일 등 상세한 개인 정보가 저장된다. 화면 잠금 기능이 없는 스마트워치 중 2개는 소유주가 아닌 다른 사람도 스마트폰과 페어링이 가능해, 공격자가 이러한 데이터에 액세스할 수 있다.

더불어 클라우드에 데이터를 전송할 때 암호화가 빠져있는 경우가 있었다. 스마트워치가 SSL이나 TLS 보안 프로토콜로 정보를 암호화하지만, 일부는 구형 버전인 SSL 2.0을 이용해 보안 취약점이 있으며, 테스트 한 스마트워치 중 40%는 POODLE 공격에 취약한 것으로 나타났다.

HP의 임원인 다니엘 미에슬러는 데이터 암호화같은 보안 기능을 갖추기보다 제품 출시에 더 급급하거나, 비암호화된 상태의 데이터 전송의 위험성을 간과했기 때문일 것이라고 분석했다.

스마트워치가 수집하는 데이터는?
HP는 스마트워치에서 사용되는 앱이 수집하는 데이터의 투명성이 충분한지 물었는데, 사용자나 앱 개발자들은 정보가 상당히 많은 서버에 저장된다는 사실을 모르고 있다고 지적했다. 이는 공격자들이 데이터 전송 과정이나 서버에 저장된 후에 해당 데이터에 접근할 수 있는 기회가 많다는 의미다. HP측에 따르면, 스마트워치 데이터가 저장되는 장소 중 일부는 광고 및 분석 네트워크도 포함되어 있다고 설명했다.

HP는 또한, 스마트워치 10대 중 7대가 암호화 처리되지 않은 펌웨어 업데이트가 진행되었다고 지적했다. 업로드될 때에는 악성 파일로부터 보호될 수 있을지언정, 다운로드 과정은 보호되지 못한다는 설명이다.

미에슬러는 소비자들이 스마트워치에 액세스하기 위해서 사용하는 모바일 앱이나 웹 인터페이스의 보안의 중요성에 대해서 충분히 인지하지 못하고 있다고 지적했다. 그는 “그냥 스마트워치가 아니라, 생태계 전반에 관련된 것”이라고 말했다.

HP가 테스트한 제품 중 3개가 스마트워치에 액세스할 수 있는 웹 인터페이스와 모바일 앱을 갖추고 있었는데, 비밀번호 설정 과정이 너무 단순하고, 여러 번 비밀번호가 틀린 것에 대한 제재가 없으며, 2단계 인증이 빠져 있다.

HP는 앞으로 스마트워치의 인기가 높아지고, 결제 및 현관문 잠금 해제까지 가능한 것 등 민감한 정보가 담겨있는 만큼, 향후 스마트워치를 해킹하려는 시도가 많을 것이라고 내다봤다.

그러나 아직 소비자들은 스마트워치의 보안이 아니라 피트니스, 건강 모니터링 등 스마트워치가 제공하는 기능에만 집중해서 제품을 고르는 경향이 있다. 미에슬러는 “사람들은 어떠한 종류의 데이터를 저장할 수 있는 지만 고민하고, 이 데이터들이 어디로 가는지에 대해서는 신경쓰지 않는다”고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.