2018.07.11

피트니스 트래커와 보안에 대해 알아야 할 5가지

James A. Martin | CSO
소위 액티비티 트래커(Activity trackers)라 알려진 기기들은 기업 IT에 정확히 어느 정도의 보안 위험을 일으키는 것일까?

생각보다 심각할 수 있다. 액티비티 트래커들은 보안이 부실하고 비밀번호를 노출하기 쉬우며, 사내 주요 요직의 업무 습관을 파악하기 쉽고 다른 시스템으로의 진입점으로 기능할 수 있다는 점에서 해커들의 표적이 되곤 한다.


Credit: Michael Simon/IDG

보안 테스트의 한 쪽 극단에는 AV-TEST가 있다. 독일에 위치한 이 리서치 기관은 최근 12개의 피트니스 트래커와 함께 애플 워치 시리즈 3의 보안 정도를 테스트했다. 총 13개 기기 가운데 8종이 최고 등급인 3 스타를 받았다. 그러나 AV-TEST의 이런 평가는 개인 보안을 기준으로 한 것이지 기업 보안을 기준으로 한 것은 아니었다.

인터넷이나 앱, 혹은 기타 다른 기술과 연결되는 모든 기기가 그러하듯, 액티비티 트래커 역시 100% 안전할 수는 없다. 올해 초 발생한 스트라바(Strava) 사건은 액티비티 트래커가 생성하고 공유한 데이터가 어떤 식으로 끔찍하게 악용될 수 있는 지를 잘 보여주었다. 기업 IT가 액티비티 트래커와 그 보안에 대해 반드시 알아야 할 5가지를 소개해 본다.

1. 피트니스 트래커, 안전성 개선되고 있지만 위험한 제품도 존재
AV-TEST에서 진행한 예전 테스트와 비교해 볼 때 이제는 기기 제조업체들도 피트니스 데이터와 고객 데이터 보호를 훨씬 더 심각하고 중요한 문제로 받아들이고 있는 분위기다. 최근 발생한 일련의 데이터 유출 사건을 보면 당연한 일이다.

AV-TEST 연구진이 2018년 5월 가장 최근의 액티비티 트래커 보안 테스트 결과를 발표하며 내린 결론이다. 2016년까지만 해도 AV-TEST 연구팀은 트래커 제조업체들이 "보안 측면에 충분한 주의를 기울이지 않는 경우가 많다"고 평가했다.

AV-TEST의 2018년 연구에서는 각 트래킹 기기에 대한 외부 커뮤니케이션 보안, 로컬 커뮤니케이션 보안, 앱 연결 및 데이터 보호 테스트를 진행했다. 또한 테스트 결과를 바탕으로 별 하나에서부터 셋에 이르는 보안 점수를 부여받았다.

애플 워치 시리즈 3은 4가지 테스트 영역에서 모두 높은 점수를 기록해 '3 스타'를 받았다. 이는 애플 워치의 판매량을 생각해 봤을 때 무척 다행스러운 일이다. IDC의 2018년 1분기 시장 조사 데이터에 따르면, 애플은 현재 전 세계 웨어러블 시장의 확실한 1위 업체다. 그 결과 기업에서는 애플 워치 사용자 수가 증가하게 될 것으로 예상된다.

IDC에 따르면, 오늘날 세계 웨어러블 기기 제조업체 가운데 3위를 차지하고 있는 핏비트의 차지(Charge) 2 역시 AV-TEST로부터 높은 평가를 받았다. 핏비트 역시 기업 피트니스 프로그램에서 많이 활용하는 웨어러블 장비로 다수의 기업 사용자를 확보하고 있기 때문에 고득점 소식이 반가운 제조업체다. 기업 핏비트 장비는 대체로 핏비트 헬스 솔루션(Fitbit Health Solutions) 플랫폼을 통해 관리한다.

이 외에 화웨이, 가민을 비롯한 6개의 다른 제조업체들 역시 AV-TEST로부터 3스타의 영예를 얻었다. IDC 리스트에서 화웨이는 세계 4위, 가민은 5위를 각각 차지했다.

반면 레노버의 HW01 트래커는 별을 하나 밖에 받지 못했다. 중국 샤오미와 폴라, 그리고 무브는 2스타를 받았다. 그러나 중국이외의 기업들에서는 이들 기기를 착용하는 사용자를 찾아 보기 어려울 것이다. 샤오미의 경우 IDC의 목록에서는 세계 2위 제조업체로 이름을 올렸으나, 시장 대부분이 중국에 집중되어 있다. 폴라와 무브는 IDC 목록에 이름을 올리지 못했다.


Credit: The AV-TEST Institute

2. 해커, 트래커의 메타데이터를 노린다
해커들은 사용자가 오늘 하루 몇 걸음을 걸었는지, 평균 심박 수가 어느 정도 되는 지에는 관심이 없다. 해커들은 트래커를 통해 사용자의 활동 패턴이나 활동량보다 더 큰 그림을 얻고자 한다.

IDC의 모바일 기기 및 증강/가상 현실 연구 책임자 라몬 T. 라마스는 "특히 사용자가 해커들의 표적이 되는 주요 인물일 경우 더욱 그렇다"고 말했다. 라마스는 "사용자의 운동량과 운동 거리, 그리고 운동 시간이라는 3가지 정보만 손에 넣어도 사용자가 일하지 않는 시간을 알아낼 수 있고, 이런 정보는 곧 해당 사용자를 최적의 표적으로 만들 것이다"고 설명했다. 이는 최근의 스트라바 사건을 통해서도 잘 알 수 있다.

2018년 1월, 미디어에서는 액티비티 트래커를 피트니스 네트워크인 스트라바와 연동시켰던 미국 군인들의 GPS 위치 정보가 유출된 사건을 대대적으로 보도했다. 누구나 인터넷 연결만 있으면 손쉽게 접속할 수 있는 스트라바의 글로벌 열 지도(Global Heatmap) 때문이었다. 미국 국방부 입장에서는 달갑지 않은 사건이었다. 스트라바 CEO 제임스 쿼리스는 스트라바가 일련의 시정 노력과 더불어 "민감 데이터 처리를 위해 미 국무부 및 정부기관들과 협력하고 있다"고 발표했다.

3. 액티비티 트래커, 하찮게 생각할수록 좋은 먹잇감 된다
포레스터의 보안 및 리스크 전문 애널리스트 메리트 맥심은 "IT 보안 이슈들 가운데 액티비티 트래커 보안은 우선 순위가 낮은 편이다. 특히 비밀번호 데이터베이스 유출과 같은 다른 항목들과 비교했을 때 더욱 그렇다. 그러나 해커들의 우선 순위 목록은 우리가 생각하는 것과 다를 수 있다. 때때로 해커들은 기업 IT가 주의를 기울이지 않는 항목들에 주목한다. 이런 것들이야말로 손쉬운 표적이 되기 때문이다"고 말했다.

예를 들어 몇 년 전까지만 해도 기업 콜센터는 그다지 보안상 중요하지 않은 부문으로 취급받았다. 그러다 해커들이 소셜 엔지니어링을 비롯한 여러 전략들을 활용해 콜센터 직원으로부터 기업의 고객 정보를 빼내기 시작했다. 특히 미국 외 지역 고객들이 주된 표적이었다. 여러 사건이 터지고 나서야 콜센터는 기업 IT 보안의 우선순위 목록에서 상위를 차지하게 되었다고 맥심은 설명했다.

4. 도난당한 스마트워치, 그야말로 가장 큰 문제
스마트워치 성능이 계속해서 발전을 거듭하면서, 피트니스 트래킹 전용 기기가 설 자리를 잃고 있다. IDC는 2018년 1분기 동안 애플, 핏비트, 그리고 기타 제조업체들의 스마트워치 판매량은 28.4% 증가한 반면 기본 웨어러블 판매량은 9.2% 감소했다고 전했다.

초기 스마트워치가 블루투스를 통한 연결에 국한되어 있었던 것에 비해 현재 모델들은 다수가 와이파이를 통해 스마트폰 앱과 연결된다. 이 와이파이 연결성 덕분에 해커는 스마트워치를 통해 이메일과 같은 사용자 정보에 접속할 수 있는 보다 큰 자유를 누리게 됐다. 소포스의 수석 연구 과학자 쳇 비스니브스키는 "스마트워치의 이동통신 연결만 있으면 블루투스 범위 내에 있지 않아도 온라인 연결이 가능하며 따라서 정보에도 접속할 수 있게 된다"고 말했다.

물론 대부분 사람은 첩보 영화를 연상시키는 이런 시나리오는 걱정할 필요가 없다. 비스니브스키는 "문제는 민감 정보에 대한 접속 권한을 가진, 중요도가 높은 기업 내 인물이다. 이들의 스마트워치가 도난 당할 경우, 이런 정보에의 접속권한도 함께 도난 당할 수 있음을 알려줘야 한다. 이들이 스마트워치를 분실할 경우, 이 사실을 곧바로 보고하도록 해야 한다"고 설명했다.

이를 통해 바로 문제의 스마트워치를 원격으로 권한 해제할 수 있다. 예를 들어, 애플은 활성화 잠금(Activation Lock) 기능을 제공하는데, 와이파이가 켜진 애플 워치에서는 이 기능이 기본적으로 활성화되어 있다.

라마스는 "또한 와이파이에 연결된 스마트워치를 분실하거나 도난 당한 경우, MDM(Mobile Device Management) 시스템을 이용해 스마트워치와 기업 간에 안전한 데이터 전송을 보장할 수 있다. 마치 스마트폰과 태블릿 간 데이터 전송처럼 말이다. 물론 MDM 역시 최신 상태로 유지해야 한다"고 말했다.

5. 스마트워치, 추가적인 위험을 발생시키는 것은 아니다
비스니브스키는 "설령 스마트워치를 사용하지 않는 사용자라 해도 스마트폰은 항상 지니고 다닐 것"이라고 말했다. 스마트폰은 지속적으로 사용자의 위치를 추적하고, 미국 내 4개 메이저 통신업체는 물론 모바일 기기 제조업체와 소프트웨어 업체와 데이터를 공유한다. 2018년 6월 미국의 무선 통신업체들이 고객의 위치 데이터를 서드파티와 공유하고 있다는 사실이 드러나기도 했다.

사용자들은 이미 100만 원에 가까운 돈을 내고 자신의 위치를 추적해 줄 기기를 자진해 들고 다닌다. 이렇게 수집된 사용자의 위치 정보는 온갖 기업들에게 다 들어간다. 생각해보면, 스마트워치가 전례 없는 새로운 위험을 야기한 것은 아니다.

비스니브스키는 "결국 기업 IT가 해야 할 일은 잠재적 위험을 설명하고, 이런 위험을 줄이기 위한 분명한 단계와 절차를 설명하는 것"이라고 설명했다. 해커가 표적으로 삼을 위험이 가장 큰 사용자를 식별해 이들이 보안에 좀더 주의를 기울일 수 있도록 도와줘야 한다.

물론 아예 스마트워치나 액티비티 트래킹 기기를 착용하지 말도록 권유할 수는 있을 것이다. 하지만 이런 지시를 충실히 따를 사람은 많지 않다. 비스니브스키는 "사용자들에게 무엇을 하라 또는 하지 말라고 지시하는 것은 별 효과가 없다"고 말했다. 특히 문제의 기기가 업무뿐만 아니라 개인적 용도로도 자주 사용되는 스마트워치 같은 것이라면 더욱 그렇다. 비스니스키는 "이 부분에 대해서는 달리 손 쓸 방법이 없음을 인정할 수 밖에 없다"고 덧붙였다. editor@itworld.co.kr  

2018.07.11

피트니스 트래커와 보안에 대해 알아야 할 5가지

James A. Martin | CSO
소위 액티비티 트래커(Activity trackers)라 알려진 기기들은 기업 IT에 정확히 어느 정도의 보안 위험을 일으키는 것일까?

생각보다 심각할 수 있다. 액티비티 트래커들은 보안이 부실하고 비밀번호를 노출하기 쉬우며, 사내 주요 요직의 업무 습관을 파악하기 쉽고 다른 시스템으로의 진입점으로 기능할 수 있다는 점에서 해커들의 표적이 되곤 한다.


Credit: Michael Simon/IDG

보안 테스트의 한 쪽 극단에는 AV-TEST가 있다. 독일에 위치한 이 리서치 기관은 최근 12개의 피트니스 트래커와 함께 애플 워치 시리즈 3의 보안 정도를 테스트했다. 총 13개 기기 가운데 8종이 최고 등급인 3 스타를 받았다. 그러나 AV-TEST의 이런 평가는 개인 보안을 기준으로 한 것이지 기업 보안을 기준으로 한 것은 아니었다.

인터넷이나 앱, 혹은 기타 다른 기술과 연결되는 모든 기기가 그러하듯, 액티비티 트래커 역시 100% 안전할 수는 없다. 올해 초 발생한 스트라바(Strava) 사건은 액티비티 트래커가 생성하고 공유한 데이터가 어떤 식으로 끔찍하게 악용될 수 있는 지를 잘 보여주었다. 기업 IT가 액티비티 트래커와 그 보안에 대해 반드시 알아야 할 5가지를 소개해 본다.

1. 피트니스 트래커, 안전성 개선되고 있지만 위험한 제품도 존재
AV-TEST에서 진행한 예전 테스트와 비교해 볼 때 이제는 기기 제조업체들도 피트니스 데이터와 고객 데이터 보호를 훨씬 더 심각하고 중요한 문제로 받아들이고 있는 분위기다. 최근 발생한 일련의 데이터 유출 사건을 보면 당연한 일이다.

AV-TEST 연구진이 2018년 5월 가장 최근의 액티비티 트래커 보안 테스트 결과를 발표하며 내린 결론이다. 2016년까지만 해도 AV-TEST 연구팀은 트래커 제조업체들이 "보안 측면에 충분한 주의를 기울이지 않는 경우가 많다"고 평가했다.

AV-TEST의 2018년 연구에서는 각 트래킹 기기에 대한 외부 커뮤니케이션 보안, 로컬 커뮤니케이션 보안, 앱 연결 및 데이터 보호 테스트를 진행했다. 또한 테스트 결과를 바탕으로 별 하나에서부터 셋에 이르는 보안 점수를 부여받았다.

애플 워치 시리즈 3은 4가지 테스트 영역에서 모두 높은 점수를 기록해 '3 스타'를 받았다. 이는 애플 워치의 판매량을 생각해 봤을 때 무척 다행스러운 일이다. IDC의 2018년 1분기 시장 조사 데이터에 따르면, 애플은 현재 전 세계 웨어러블 시장의 확실한 1위 업체다. 그 결과 기업에서는 애플 워치 사용자 수가 증가하게 될 것으로 예상된다.

IDC에 따르면, 오늘날 세계 웨어러블 기기 제조업체 가운데 3위를 차지하고 있는 핏비트의 차지(Charge) 2 역시 AV-TEST로부터 높은 평가를 받았다. 핏비트 역시 기업 피트니스 프로그램에서 많이 활용하는 웨어러블 장비로 다수의 기업 사용자를 확보하고 있기 때문에 고득점 소식이 반가운 제조업체다. 기업 핏비트 장비는 대체로 핏비트 헬스 솔루션(Fitbit Health Solutions) 플랫폼을 통해 관리한다.

이 외에 화웨이, 가민을 비롯한 6개의 다른 제조업체들 역시 AV-TEST로부터 3스타의 영예를 얻었다. IDC 리스트에서 화웨이는 세계 4위, 가민은 5위를 각각 차지했다.

반면 레노버의 HW01 트래커는 별을 하나 밖에 받지 못했다. 중국 샤오미와 폴라, 그리고 무브는 2스타를 받았다. 그러나 중국이외의 기업들에서는 이들 기기를 착용하는 사용자를 찾아 보기 어려울 것이다. 샤오미의 경우 IDC의 목록에서는 세계 2위 제조업체로 이름을 올렸으나, 시장 대부분이 중국에 집중되어 있다. 폴라와 무브는 IDC 목록에 이름을 올리지 못했다.


Credit: The AV-TEST Institute

2. 해커, 트래커의 메타데이터를 노린다
해커들은 사용자가 오늘 하루 몇 걸음을 걸었는지, 평균 심박 수가 어느 정도 되는 지에는 관심이 없다. 해커들은 트래커를 통해 사용자의 활동 패턴이나 활동량보다 더 큰 그림을 얻고자 한다.

IDC의 모바일 기기 및 증강/가상 현실 연구 책임자 라몬 T. 라마스는 "특히 사용자가 해커들의 표적이 되는 주요 인물일 경우 더욱 그렇다"고 말했다. 라마스는 "사용자의 운동량과 운동 거리, 그리고 운동 시간이라는 3가지 정보만 손에 넣어도 사용자가 일하지 않는 시간을 알아낼 수 있고, 이런 정보는 곧 해당 사용자를 최적의 표적으로 만들 것이다"고 설명했다. 이는 최근의 스트라바 사건을 통해서도 잘 알 수 있다.

2018년 1월, 미디어에서는 액티비티 트래커를 피트니스 네트워크인 스트라바와 연동시켰던 미국 군인들의 GPS 위치 정보가 유출된 사건을 대대적으로 보도했다. 누구나 인터넷 연결만 있으면 손쉽게 접속할 수 있는 스트라바의 글로벌 열 지도(Global Heatmap) 때문이었다. 미국 국방부 입장에서는 달갑지 않은 사건이었다. 스트라바 CEO 제임스 쿼리스는 스트라바가 일련의 시정 노력과 더불어 "민감 데이터 처리를 위해 미 국무부 및 정부기관들과 협력하고 있다"고 발표했다.

3. 액티비티 트래커, 하찮게 생각할수록 좋은 먹잇감 된다
포레스터의 보안 및 리스크 전문 애널리스트 메리트 맥심은 "IT 보안 이슈들 가운데 액티비티 트래커 보안은 우선 순위가 낮은 편이다. 특히 비밀번호 데이터베이스 유출과 같은 다른 항목들과 비교했을 때 더욱 그렇다. 그러나 해커들의 우선 순위 목록은 우리가 생각하는 것과 다를 수 있다. 때때로 해커들은 기업 IT가 주의를 기울이지 않는 항목들에 주목한다. 이런 것들이야말로 손쉬운 표적이 되기 때문이다"고 말했다.

예를 들어 몇 년 전까지만 해도 기업 콜센터는 그다지 보안상 중요하지 않은 부문으로 취급받았다. 그러다 해커들이 소셜 엔지니어링을 비롯한 여러 전략들을 활용해 콜센터 직원으로부터 기업의 고객 정보를 빼내기 시작했다. 특히 미국 외 지역 고객들이 주된 표적이었다. 여러 사건이 터지고 나서야 콜센터는 기업 IT 보안의 우선순위 목록에서 상위를 차지하게 되었다고 맥심은 설명했다.

4. 도난당한 스마트워치, 그야말로 가장 큰 문제
스마트워치 성능이 계속해서 발전을 거듭하면서, 피트니스 트래킹 전용 기기가 설 자리를 잃고 있다. IDC는 2018년 1분기 동안 애플, 핏비트, 그리고 기타 제조업체들의 스마트워치 판매량은 28.4% 증가한 반면 기본 웨어러블 판매량은 9.2% 감소했다고 전했다.

초기 스마트워치가 블루투스를 통한 연결에 국한되어 있었던 것에 비해 현재 모델들은 다수가 와이파이를 통해 스마트폰 앱과 연결된다. 이 와이파이 연결성 덕분에 해커는 스마트워치를 통해 이메일과 같은 사용자 정보에 접속할 수 있는 보다 큰 자유를 누리게 됐다. 소포스의 수석 연구 과학자 쳇 비스니브스키는 "스마트워치의 이동통신 연결만 있으면 블루투스 범위 내에 있지 않아도 온라인 연결이 가능하며 따라서 정보에도 접속할 수 있게 된다"고 말했다.

물론 대부분 사람은 첩보 영화를 연상시키는 이런 시나리오는 걱정할 필요가 없다. 비스니브스키는 "문제는 민감 정보에 대한 접속 권한을 가진, 중요도가 높은 기업 내 인물이다. 이들의 스마트워치가 도난 당할 경우, 이런 정보에의 접속권한도 함께 도난 당할 수 있음을 알려줘야 한다. 이들이 스마트워치를 분실할 경우, 이 사실을 곧바로 보고하도록 해야 한다"고 설명했다.

이를 통해 바로 문제의 스마트워치를 원격으로 권한 해제할 수 있다. 예를 들어, 애플은 활성화 잠금(Activation Lock) 기능을 제공하는데, 와이파이가 켜진 애플 워치에서는 이 기능이 기본적으로 활성화되어 있다.

라마스는 "또한 와이파이에 연결된 스마트워치를 분실하거나 도난 당한 경우, MDM(Mobile Device Management) 시스템을 이용해 스마트워치와 기업 간에 안전한 데이터 전송을 보장할 수 있다. 마치 스마트폰과 태블릿 간 데이터 전송처럼 말이다. 물론 MDM 역시 최신 상태로 유지해야 한다"고 말했다.

5. 스마트워치, 추가적인 위험을 발생시키는 것은 아니다
비스니브스키는 "설령 스마트워치를 사용하지 않는 사용자라 해도 스마트폰은 항상 지니고 다닐 것"이라고 말했다. 스마트폰은 지속적으로 사용자의 위치를 추적하고, 미국 내 4개 메이저 통신업체는 물론 모바일 기기 제조업체와 소프트웨어 업체와 데이터를 공유한다. 2018년 6월 미국의 무선 통신업체들이 고객의 위치 데이터를 서드파티와 공유하고 있다는 사실이 드러나기도 했다.

사용자들은 이미 100만 원에 가까운 돈을 내고 자신의 위치를 추적해 줄 기기를 자진해 들고 다닌다. 이렇게 수집된 사용자의 위치 정보는 온갖 기업들에게 다 들어간다. 생각해보면, 스마트워치가 전례 없는 새로운 위험을 야기한 것은 아니다.

비스니브스키는 "결국 기업 IT가 해야 할 일은 잠재적 위험을 설명하고, 이런 위험을 줄이기 위한 분명한 단계와 절차를 설명하는 것"이라고 설명했다. 해커가 표적으로 삼을 위험이 가장 큰 사용자를 식별해 이들이 보안에 좀더 주의를 기울일 수 있도록 도와줘야 한다.

물론 아예 스마트워치나 액티비티 트래킹 기기를 착용하지 말도록 권유할 수는 있을 것이다. 하지만 이런 지시를 충실히 따를 사람은 많지 않다. 비스니브스키는 "사용자들에게 무엇을 하라 또는 하지 말라고 지시하는 것은 별 효과가 없다"고 말했다. 특히 문제의 기기가 업무뿐만 아니라 개인적 용도로도 자주 사용되는 스마트워치 같은 것이라면 더욱 그렇다. 비스니스키는 "이 부분에 대해서는 달리 손 쓸 방법이 없음을 인정할 수 밖에 없다"고 덧붙였다. editor@itworld.co.kr  

X