한때 지오로케이션(geolocation)은 기업이 누구를 상대하고 있는지, 때로는 그들이 무엇을 하고 있는지까지도 알 수 있는 훌륭한 방법이었다. 하지만 VPN이 지오로케이션을 무너뜨리기 시작했다.
이제는 상황이 너무 나빠졌다. 애플 앱스토어와 구글 플레이 스토어에서는 위치를 스푸핑할 수 있다고 당당하게 선언하는 앱이 제공되고 있으며, 모바일 OS 제공업체들은 이를 막으려는 조치를 취하지 않는다.
왜 그럴까? 사실 애플과 구글 모두 개발자들이 사용하는 이런 허점을 만든 장본인이다. 다양한 지역에서 앱을 테스트하기 위해 시스템을 속일 필요가 있었기 때문이다.
음식 배달 서비스는 지오로케이션 사용해 배달원 위치를 추적하고 음식이 실제로 고객의 주소로 배달되었는지 확인한다. 은행은 계좌 신청자가 자신이 주장하는 지역에 실제로 있는지, 또는 동일한 지역에서 여러 개의 가짜 신청이 이뤄지고 있는지 확인하기 위해 지오로케이션을 사용한다. 모바일 위치 보안 업체인 코그니아(Incognia)의 CEO인 안드레 페라즈에 따르면, 에어비앤비는 지오로케이션을 사용해 가짜 숙소와 가짜 리뷰를 탐지한다.
페라즈는 “사기꾼들은 GPS 좌표를 바꾸기 위해 개발자 모드를 이용한다. IP 기반 지오로케이션과 GPS 기반 지오로케이션 모두에 대한 위치 스푸핑을 지원하는 툴도 많다. 전자는 VPN, 프록시, 토르, 터널링이 대표적이며, 후자는 가짜 GPS 애플리케이션이 가장 접근하기 쉽다. 여기에 더해 변조 및 계측 도구, 루팅이나 탈옥 기기, 에뮬레이터, 이동 중인 위치 데이터 변조 툴처럼 다양한 툴이 존재한다”라고 말했다.
유감스럽지만 페라즈의 말이 사실이다. 수많은 선택지 중에서 사기꾼이 무엇을 선택하든, IT는 더 이상 지오로케이션을 신뢰할 수 없다. 물론 위치 사기로 인한 피해 위험이 너무 낮아서 거짓된 위치를 사용해도 무방한 애플리케이션이 있기는 하다. 센트럴 파크에 있는 척하는 게임 애플리케이션이 그 예다. 위치를 속인 게이머가 얻는 것이 포인트나 특별한 아이템에 대한 접근 정도라면 해가 없을 것이다.
여기서는 ‘신뢰’가 핵심 단어다. 기업이 위치 데이터를 신뢰해야 하는 상황에서는 지오로케이션 문제를 해결할 방법이 필요하다.
위치 사기를 탐지하는 것은 까다롭다. 확실하게 사기를 위한 수단이라면 탐지할 수 있겠지만, 전부 그런 것은 아니고 항상 탐지되는 것도 아니다. 지오로케이션 오류를 탐지를 무조건 사기로 간주해서는 안 된다는 점에 특히 유의해야 한다.
VPN이 좋은 예다. 많은 사용자가 VPN 모드를 사용한 인터넷 서핑에 너무나도 익숙해졌다. 즉, 이들은 은행 계좌를 개설할 때는 올바른 위치 정보를 제공해야 한다는 생각을 못 할 수 있다. 이때 은행은 VPN 사용자의 접근을 부정행위로 가정해 액세스를 차단하고 개설 신청을 거절하는 대신 간단한 팝업 경고를 제공할 수 있을 것이다. “VPN을 사용하고 있는 것으로 보인다. 보안 및 개인정보보호 목적인 것은 알지만, 사용자의 정확한 위치 탐지에 방해되므로 VPN을 끄고 브라우저를 다시 시작한 후 재방문해 달라”라고 말이다.
스푸핑 탐지의 문제는 일부 기업이 과잉 반응을 하고 고의적인 사기로 가정한다는 것이다. 하지만 그렇게 단순한 문제가 아니다. 페라즈는 구글과 애플을 비난하지 않는다고 했다. 구글과 애플은 전 세계의 위치를 모방할 필요가 있기 때문이다.
페라즈는 “개발자가 앱을 다른 곳에서 실행하는 것처럼 테스트하는 이 기능은 OS 제공업체가 의도적으로 구축했다. OS의 보안 취약점이 아니다. 위치를 가장하지 않으면 개발자가 원격으로 작업할 수 없다. 테스트 목적으로 위치 기반 서비스를 제공하는 장소에 직접 가야 하기 때문이다. OS는 개발자들이 기기가 개발자 모드인지 확인할 수 있는 API를 제공하며, GPS 좌표를 변경할 수 있는 툴도 활성화했다. 그러나 많은 개발자가 이런 기능과 다른 기기의 신호를 위치 스푸핑 식별에 사용하지 않는다”라고 지적했다.
다시 음식 배달 서비스를 예로 들어 보자. 음식 배달 서비스에서 지오로케이션을 사용할 때 사기꾼들이 피해를 입힐 수 있는 방법은 무엇일까? 가장 대표적인 것은 주문을 받았지만 배달을 가지 않는 것이다. 이때 사기꾼들은 주문한 음식의 배달을 완료했다고 시스템을 속일 수 있다.
일부 서비스의 문제는 시스템이 배달이 완료되었음을 인지한 즉시 결제 금액을 지급한다는 것이다. 만약 지급이 배달 완료 한 시간 이후에 이뤄진다면 사기를 피할 수 있을 것이다. 고객이 음식점으로 전화를 걸어 배달된 적 없다고 불평하기에 충분한 시간이다. 배달 서비스 제공업체가 지오로케이션 추적 상황을 보고 음식 배달 여부를 확인할 수도 있을 것이다.
음식 배달 사기는 가끔 돈에 관한 것이 아니라 음식 자체에 관한 문제가 되기도 한다. 페라즈는 배달원이 업무를 ‘감시하는’ 앱을 속여 고객에게 배달해야 하는 음식을 먹을 수 있는 상황도 발생할 수 있다고 말했다.
이런 문제는 IT가 지오로케이션 사기를 어떻게 다루어야 하는지 질문을 던진다. ‘지오로케이션 사용 안 함’과 ‘지오로케이션 신뢰 안 함’의 차이는 크다. 가령 기자들이 믿을 수 없는 소식통의 제보를 다루는 방식과 유사하다. 무조건 무시하지는 않지만, 모든 것을 3배로 검증한다.
사이버보안 인증을 예로 들어 보자. 제로 트러스트 환경에서는 수십 개 이상의 데이터 포인트에 의존할 가능성이 크다. 이런 시나리오에서는 지오로케이션 데이터를 사용해도 큰 피해가 없을 것이다. 해당 데이터가 보안상 문제가 없는 데이터이기 때문이다. 은행 사례에서도 마찬가지다. 위치가 일치하지 않는다는 이유만으로 사용자를 무조건적으로 거부해서는 안 된다. 불일치를 추가 검증을 유발하는 용도로 사용하는 것이 적절하다.
꼭 한 가지 프로세스만 사용할 이유는 없다. 어떤 상황에는 지오로케이션 정확도에 의존하고, 어떤 상황에서는 보조로 사용하면 된다. 게임처럼 지오로케이션이 중요하지 않은 상황도 있을 것이다. 요약하자면, 이제 기업은 지오로케이션을 사용하되 신뢰하지는 말아야 한다.
editor@itworld.co.kr