기업에서의 웨어러블, 얼마나 안전할까

최근 웨어러블 기기를 구입한 사람들에게 축하 인사를 전한다. 이제 일상의 면면을 추적할 수 있는, 데이터로 넘쳐나는 새로운 방식의 생활을 영위하게 될 것이다. 그러나 곧 해킹 당할 처지이기도 하다.

ESET 선임 보안 연구원 스티븐 콥은 "모든 디지털 기술은 그 사용이 확산될수록 해커와 범죄자의 주의를 끌게 된다"며, "따라서 웨어러블이 일정 지점까지 확산되어 범죄자가 이익을 취할 수준이 되면 범죄자는 해킹 시도가 시작될 것"이라고 말했다. 스티븐 콥은 아직 자신도 웨어러블의 해킹 사례를 본 적은 없지만 해킹 시점은 다가오고 있다고 말했다.

콥은 어린이용 웨어러블을 제조하는 V테크(VTech)의 사례를 언급했다. 500만 명의 부모와 20만 명의 어린이에 대한 정보가 포함된 이 회사의 고객 데이터베이스가 최근 유출됐다. 콥은 "V테크의 일부 장난감은 사진을 촬영하는데 이런 사진 일부가 백엔드 시스템에서 공유됐다. 웨어러블이라면 사진 대신 위치 정보나 건강 관련 정보가 포함되었을 것이다"고 말했다.

우울한 전망이지만 좋은 소식도 있다. 소비자들이 이미 웨어러블에 대해 건전한 비판적 의식을 갖기 시작했다는 점이다. 오스제로(Auth0)의 설문 조사에서 소비자의 52%는 IoT 기기의 보안이 부족한 것으로 생각한다고 답했다. 즉, 이 소비자들은 기기의 보안에 대해 보수적인 시각을 갖고 웨어러블 시장을 맞이하게 된다.

V테크의 침해 사건에서 드러났고 콥이 전망한 바와 같이, 취약한 연결 고리는 기기 자체가 아니라 그 정보가 수집되고 저장되는 데이터베이스다.

콥은 "웨어러블 업체가 수집한 고객 데이터를 목표로 삼는 범죄자는 일반적으로 이름과 주소, 개인 식별 정보를 노리게 될 것"이라고 말했다. 이 정보로 타인을 위장해 범죄를 저지를 수 있다. 또한 실시간으로 업데이트되는 위치 정보를 확보하게 될 경우 집에 사람이 없는 시간을 알아내 절도 행각을 벌일 수도 있다. 페이스북 초창기 시절 휴가지에서 휴가를 즐기는 사진을 올리는 사람들의 집이 범죄 표적이 됐던 것과 마찬가지다.

콥은 기업들이 미 연방통상위원회의 심기를 건드리지 않기 위해 데이터베이스 보안을 구축하게 될 것이라고 말했다.

콥은 소비자가 자신이 구입하는 웨어러블을 만든 업체와 그 데이터를 사용하는 서드파티 앱에 대해 알아봐야 하며, 또한 개인정보보호 정책을 읽어 그 데이터가 어떻게 사용되는지도 확인해야 한다고 강조했다. 앱에 개인정보보호 정책 자체가 없다면 다른 앱을 찾아야 한다.

직장 내 웨어러블에 대한 기업의 우려
건강 정보, 회사 영업 기밀, 금융 데이터, 변호사-의뢰인 간 비밀 등 민감한 정보를 다루는 기업의 CIO라면 웨어러블을 직장 내에서 허용할 경우 법률적인 문제 발생의 가능성을 생각해야 한다.

폭스 로스차일드 LLP(Fox Rothschild LLP)의 최고 개인정보 책임자이자 파트너인 마크 맥크레이리는 "구글 글래스와 스마트워치의 카메라 등 오디오나 비디오를 기록할 수 있는 물건들이라면 우려가 될 것"이라며, "데이터 보호 측면에서 이런 물건들이 가장 큰 걱정거리"라고 말했다.

직원들이 악의 없이 기록하더라도(예를 들어 업무와는 아무 상관도 없지만 사무실 내에서 재미있는 비디오를 만드는 경우) 그 비디오나 오디오는 민감한 정보를 포함한 채로 클라우드 등 회사 시스템보다 보안이 취약한 다른 장소에 업로드될 수 있다.

맥크레이리는 "여러 개의 사본이 만들어지고 데이터에 대한 통제력을 상실하게 된다"고 말했다. 맥크레이리는 집에서 드롭박스(Dropbox)를 사용하는 직원을 언급하면서 드롭박스에 있는 정보의 사본들은 더 이상 회사 울타리 내에 있지 않으며 웨어러블이 수집하는 정보도 그렇게 될 가능성이 있다고 지적했다.

물론 정보를 기록하고 훔칠 명확한 목적을 갖고 회사로 들어오는 사람들도 있다(타겟(Target) 해킹은 냉난방 담당 업체를 통해 발생했음을 상기해야 한다). 이들이 웨어러블을 사용한다면 전화기를 꺼내 녹화 버튼을 누르는 것보다 훨씬 더 잡아내기가 어려울 것이다.

맥크레이리는 이런 경우, 특히 자사가 민감한 정보를 다룬다면 기록 기능이 있는 웨어러블을 직장 내에서 완전히 금지하거나 민감한 정보를 공개적으로 다루는 장소에 한해 금지하는 것도 방법이 될 수 있다고 말했다.

웨어러블에 대한 HR의 입장
일부 기업은 복지 프로그램의 일부로 핏빗(Fitbits)과 같은 추적 기기를 직원들에게 지급하기도 한다. 엑스퍼트HR(XphertHR)의 베스 졸러는 이런 정책의 의도는 좋을지 몰라도 해당 데이터를 누가 보느냐에 따라 인사 및 법적 문제의 소지가 발생한다고 지적했다.

졸러는 "특히 고용주가 개별 직원의 건강 정보에 접근할 수 있는 경우 개인정보 침해 문제가 있다"고 말했다. 예를 들어 집(Zip)을 제외한 모든 핏빗은 활동 외에 수면 패턴도 기록할 수 있는데, 이는 직원 입장에서 고용주에게 노출하고 싶지 않은 정보일 수 있다.

회사가 지급하는 웨어러블로 인해 개인 시간과 업무 시간의 경계에 대한 분쟁이 발생할 수도 있다. 졸러는 "웨어러블 기기를 착용한 직원에게 업무 시간과 업무 외 시간의 경계가 모호해질 위험이 있다"고 말했다.

졸러는 기기가 비디오 또는 오디오를 기록하는 경우 고용주는 해당 직원이 권한 없는 정보, 예를 들어 노조 활동과 관련된 정보에 접근하고 있지 않은지, 또는 노동관계법에 위배되는 행위를 하고 있지 않은지 등을 확인해야 한다고 덧붙였다.

졸러는 직장에서 웨어러블에 대처하는 최선의 방법은 "자사의 입장은 무엇이고 직원들이 웨어러블을 어떻게 사용할 수 있는지에 대한 정책을 마련하고, 직장에서 웨어러블을 사용할 수 있는 부분과 없는 부분에 대해 임직원을 교육하는 것"이라고 말했다. 엑스퍼트HR은 웹사이트에 웨어러블에 대한 가이드도 게시해 뒀다.

웨어러블은 큰 산업이지만 아직 새로운 분야이고 방법과 시점, 장소는 모르지만 앞으로 해커 집단의 공격도 받게 될 것이다. 콥은 "새로이 등장하는 모든 기술은 약점이 샅샅이 파헤쳐지고, 발견된 약점은 악용된다"며, "웨어러블은 앞으로 등장할 위협을 주의깊게 관찰해야 할 분야"라고 말했다. editor@itworld.co.kr