보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

당신의 웨어러블, 충분히 안전할까?

입력 : 2023-05-31 17:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
웨어러블은 안전하지 않다. 보다 정확히 말하면, 아직 안전한 웨어러블은 시장에 나오지 않았다. 웨어러블 장비가 가진 태생적 모순 때문이다.

[보안뉴스 문정후 기자] 2018년 34세의 바비 레버렛(Bobbi Leverette)은 막 태어난 자신의 아기 옆에 누워있었다. 그 순간 갑자기 심장 박동이 급격히 빨라지면서 생명이 위험한 상황에 이르렀다. 다행히 심장에 문제가 있다는 걸 알고 있었고, 전문가의 추천으로 웨어러블 제세동기를 착용하고 있었기에 적절한 조치가 취해졌고, 아직까지 아기를 키우며 잘 살고 있다.

[이미지 = gettyimagesbank]


이처럼 웨어러블 장비는 사람의 생명을 살리는 도구가 될 수 있다. 하지만 그런 긍정적인 효과를 내기까지 적잖은 개인정보를 수집해야 한다. 그렇기 때문에 공격자들의 성공적인 침해 한 번으로 민감하고 중요한 정보를 엉뚱한 사람의 손에 넘길 수 있게 된다. 이 사 실을 공격자들도 알고 있고, 그래서 웨어러블을 겨냥한 사이버 공격은 갈수록 늘어간다.

2018년 레버렛의 생명을 구한 장비의 제조사 졸(Zoll)은 2023년 또 다른 사건을 직면했다. 호평을 혹평으로 둔갑시킬 만한 사건이었다. 100만 명이 넘는 환자의 개인정보가 유출된 것이었다. 공격자는 졸의 장비를 사용하는 환자들의 이름, 생년월일, 연락처 정보, 사회 보장 번호를 죄다 가져간 것으로 밝혀졌다. 졸 측에서도 이 사실을 인정했다. 우리는 좋기도 하고 위험하기도 한 웨어러블을 어떻게 바라봐야 할까? 웨어러블은 안전할까?

손목 위에 착용한 당신의 민감한 데이터
웨어러블 장비들은 다양한 종류의 개인정보를 수집한다. 건강 관련 지표들과 위치, 지불 관련 정보, 심지어 생체 인증 정보까지도 웨어러블에 저장되거나 웨어러블을 통해 처리된다. 이러한 정보들은
피트니스 코치나, 보험 회사, 마케터들이 유용하게 활용할 수 있고, 이를 통해 웨어러블 착용자 본인도 적잖은 혜택을 누릴 수 있다.

하지만 이 정보를 노리는 또 다른 부류가 있으니 바로 사이버 범죄자들이다. 이들은 취약점을 찾기 위해 항상 기회를 노리며, 이미 여러 가지 방법으로 이 웨어러블 속 데이터를 가져갈 수 있는 상태다. 물리적으로 웨어러블을 강탈하는 방법부터 무선으로 처리되는 데이터를 가로채는 기법, 클라우드를 침해하는 수법 등이 다양하게 이미 보고되고 있다.

웨어러블을 통해 헬스케어 정보를 공격자가 가로챈다면 사용자의 건강 상황과 관련된 민감 정보가 유출될 수 있다. 그와 관련된 생활 패턴이나 습관, 상태까지도 파악이 가능하다. 이런 정보를 바탕으로 공격자는 협박, 신용 도용과 같은 악성 행위를 저지를 수 있고, 지불 관련 데이터를 통해 사기 거래까지도 할 수 있게 된다. 공격자가 물리적으로 웨어러블을 가로채는 데 성공했고, 그래서 로그인 관련 데이터까지 확보할 수 있다면 악성 행위의 범위는 훨씬 더 넓어진다.

생체 인증 기술로 웨어러블 보호하기
웨어러블을 보호하려면 먼저 웨어러블이 가지고 있는 모순을 이해해야 한다. 정보를 수집해야만 존재 의의가 생기는데, 그 존재 의의가 웨어러블을 위험한 것으로 만들고 있다는 것 말이다. 편리와 위험의 이유가 공존하고 있을 뿐 아니라 동일하다는 것, 이것이 웨어러블의 특징이다. 그렇기에 정보 수집이나 권한 허용을 최소화 하는 방식으로 안전을 꾀하는 것은 의미를 갖지 못한다. 정보를 수집하게 하면서 아무나 접근할 수 없도록 하는 게 중요하다.

그렇기에 첫 손에 꼽을 수 있는 보호 방법은 지문 인식이다. 지문 인식은 이미 충분히 검증이 된 인증 기술이며, 이미 여러 개발사들에 의해 접목이 되어 있어 안정적이고 사용성도 좋은 편이며 구현이 기술적으로 어렵지 않다. 웨어러블이라는 작은 기기 안에 구축하는 것이 어렵지 않다. 보안이 강력한 편이라는 것도 지문 인식의 큰 장점이다.

또 다른 방법 중 하나는 웨어러블 내에 장착되어 있는 심박수 측정 기능을 이용하는 것이다. 심장 박동 패턴을 가지고 사용자를 인증할 경우 정확도도 높고 공격자가 흉내 및 복제할 수 없다는 큰 장점을 가지고 있다. 새로운 웨어러블과 처음 페어링을 할 때 사용자의 심박 패턴을 기기가 인식하게 된다면, 해당 기기에서 정보를 추출하는 건 매우 어려운 일이 될 것이다. 이처럼 생체 인증 기술로 웨어러블을 보호하는 방법이 최근 대두되고 있다.

프라이버시와 보안 명확히 인지하기
개인정보의 탈취로 인한 피해를 최소화 하려면 보안 기술과 솔루션들이 발전해야 하는 것도 맞지만(위의 생체 인증 기술들처러) 개발자와 사용자 편에서 해야 할 일도 있다. 장비가 어떤 종류의 데이터를 수집하고 저장하는지, 그리고 어떤 목적과 방법으로 이 데이터를 어떤 서드파티와 공유하는지를 이해해야 한다. 그런 후 그런 지식을 바탕으로 가장 알맞은 인증 기술을 선택할 수 있어야 한다.

개발자들은 사용자들이 원할 경우 언제고 암호화나 다중인증 옵션을 활성화 할 수 있도록(즉, 스스로를 b보호할 수 있도록) 충분한 기능과 장치를 웨어러블 안에 탑재시켜야 한다. 사용자들은 웨어러블의 데이터 동기화 작업을 진행할 때 공공 와이파이를 사용하는 것이 얼마나 위험한지를 이해하고, 다른 방법을 찾을 수 있어야 한다. 웨어러블 및 각종 웨어러블용 애플리케이션의 프라이버시 규정 역시 명료하게 작성되어, 사용자들이 쉽게 이해할 수 있어야 한다.

웨어러블 장비들은 이미 우리 생활 속에 깊숙하게 자리 잡은 사물인터넷 시대의 일부가 되었다. 연구 자료에 따라 숫자가 조금씩 다르긴 하지만 2030년까지 전 세계에는 290억 대의 웨어러블 장비들이 인터넷에 연결되어 있을 거라는 예측이 나오고 있기도 하다. 참고로 2020년까지 인터넷에 연결된 사물인터넷 장비는 97억 대였다. 공격자들이 우리를 향해 다가올 방법과 통로들이 기하급수적으로 늘어난다는 의미다. 새로운 시대에 걸맞는 새로운 인식이 필요하고, 그것이 사용자들 스스로를 더 안전하게 만들 것이다.

웨어러블 및 사물인터넷 장비가 넘쳐나는 시대에 우리는 기존 방법으로 데이터를 지킬 수 없다. 앞선 시대에 맞는 앞선 인증 기술이 필요하고, 그것은 당분간 생체 인증이 될 것이라고 필자는 생각한다. 편리와 위험이 공존하는 플랫폼인 웨어러블에 가장 잘 어울리는 건 편리와 안전을 모두 잡은 생체 인증 뿐이다.

글 : 잰 런터(Jan Lunter), CEO, Innovatrics
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)