보안

고스란히 노출되는 아이폰 사용자의 위치 히스토리

Gregg Keizer | Computerworld 2011.04.21
애플 아이폰과 아이패드가 사용자의 위치를 추적하고 데이터를 비암호화된 파일로 기기나 컴퓨터에 저장하는 것으로 밝혀졌다.
 
데이터 사이언스 툴킷(Data Science Toolkt)의 창업자이자 전 애플 직원인 피트 와든과 엑세터 대학(University of Exeter)의 수석 연구원인 알스데어 앨런은 지난 해 여름 출시된 iOS 4부터 아이폰과 아이패드 3G 모델의 SQLite 파일에 데이터가 수집됐다고 주장했다.
 
‘consolidated.db’로 명명된 같은 파일 역시 동기화에 사용된 맥이나 PC의 아이튠즈에 만들어진 iOS 백업에 저장된다.
 
이 파일에는 위치의 위도와 경도, 시간 및 와이파이 네트워크 등을 비롯한 다른 정보들이 포함되어 있다.
 
오레일리 레이더(O’Reily Rader) 블로그를 통해 와든과 앨런은 매일 약 100개의 데이터 포인트가 파일로 기록된다고 전하면서, “수 만개의 데이터 포인트가 이 파일에 들어있을 수 있다”라고 말했다.
 
맥과 아이폰 취약점 연구원인 찰리 밀러는 이 데이터를 아이폰이나 아이패드에서 원격으로 추출해내기가 힘들 수 있지만, 불가능한 것은 아니라고 말했다.
 
밀러는 “이 파일은 루트 디렉토리에 있어서, 사파리 같은 앱은 액세스가 불가능하다”라면서도, “하지만 여전히 위험하긴 하다”라고 말했다.
 
원격으로 아이폰의 위치 파일을 보려면 공격자들은 두 가지의 취약점을 이용해야 한다. 먼저 사파리를 이용해서 사용자를 악성 사이트를 방문하도록 해야 하며, 그 다음 루트 디렉토리에 엑세스 해야 한다. 모든 범죄자들이 할 수 있는 것은 아니지만, 가능은 하다.
 
대신에 밀러는 사용자가 아이폰을 잃어버렸거나 다른 사람이 가져갔을 경우, 가장 위험할 수 있다고 지적했다. “해외에 나가있을 때, 일어버리거나 도난 당했다면, 이 데이터는 접근이 가능해 지는 것”이라고 설명했다.
 
앨런도 밀러의 의견과 같다. “휴대폰을 잃어버리면, 지난 해 휴대폰을 들고 움직였던 모든 행적이 추적당할 수 있다는 의미이다. 없앨 수 없다”라고 말했다.
 
소포스(Sophos)의 수석 보안 기술 컨설턴트인 그라함 크룰리는 PC와 맥의 백업 파일의 위험성도 지적했다. “사용자가 근처에 없을 경우, 누구나 가정이나 회사의 컴퓨터에 접근할 수 있다”라고 말했다.
 
AP75EF.JPG
와든과 앨런의 맥 애플리케이션을 구동하자, iOS 4로 업그레이드 한 뒤 아이폰의 움직임이 나타났다.
(이 정보는 미국 뉴 잉글랜드에 거주하는 아이폰 사용자의 것이다.)
 
와든과 앨런은 이것을 간단히 할 수 있는 방법을 만들었다. 맥에서 위치 데이터를 추출해내서 지도에 행적을 표시해주는 애플리케이션을 만든 것이다.
 
iOS가 이 데이터를 수집하는 이유는 불분명하지만, 와든과 앨런은 위치와 관련된 미래의 어떤 기능 때문일 것이라고 추측했다. “사용자가 기기를 복구하거나 마이그레이션 할 때에 이 데이터가 넘어가는 것을 보면, 데이터가 우연히 수집된 것은 아니다”라고 주장했다.
 
와든과 앨런에 따르면, 데이터가 애플에 전송되거나 아이폰, 아이패드 혹은 동기화된 컴퓨터를 벗어난 흔적은 발견하지 못했다. “당황스러워 하지 않아도 된다. 이 데이터들이 사용자 관할을 벗어난 증거는 없다”라고 말했다.
 
그러나 밀러와 크룰리는 모두 안도할 수 없다고 지적했다.
 
밀러는 “알 수 없는 이득을 위해서 사생활을 포기하게 된다”라면서, “이것은 사용자들의 삶을 편하게 하지도, 아이폰을 멋지게 만들지도 않는다”라고 주장했다.
 
클루리는 “음모로 볼 수는 없으나, 충분히 위험하며, 마치 애플이 한 손이 하는 일을 다른 한 손이 모르는 것과 같다”라고 비유했다.
 
와든과 앨런은 “애플은 왜 이 데이터가 저장되는지, 무엇에 쓰려고 하는지 혹은 사용하지 않을 것인지에 대해서 설명할 필요가 있다”라고 말했다.
 
애플은 이와 관련해 공식적인 입장을 밝히지 않았다. gkeizer@computerworld.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.