Offcanvas

모바일 / 보안 / 비즈니스|경제 / 소비자IT / 웨어러블

블로그 | 스마트워치, 기업 보안에 위협적일까?

2015.07.29 Fredric Paul  |  Network World
애플 워치를 비롯한 스마트워치 시장이 이제 겨우 자리를 잡아가고 있다는 점을 감안한다면 IT 보안 전문가들이 차세대 웨어러블 기기에 관한 보안 위협에 대해 걱정하는 것은 시기상조인 것처럼 보인다. 그러나 IT 보안 업계에서는 지금부터라도 일반 소비자들을 위해 스마트워치 보안에 관한 이슈를 환기할 필요는 있다. 이 주제에 관해 HP에서 최신 보고서를 발표했는데, 개인적으로는 스마트워치의 보안이 얼마나 위협적인지는 확신하지 못하겠다.

IT 보안 전문가들은 여전히 스마트폰으로부터 비롯되는 보안 위협에 대해서 주로 언급하는데, 현재 수많은 기업 네트워크에서 취약점을 일으키고 있기 때문이다. 그리고 현재 스마트워치의 확산과 더불어 특히 상대적으로 잘 팔리고 있는 애플 워치가 기업 네트워크로의 덜 안전한 보안 창을 열고 있다는 사실에 집중해야 한다. 소비자 보안 위험에 대해서는 언급하지 않도록 하겠다.

HP 포티파이(HP Fortify)는 잠재적인 보안 취약점을 알아보기 위해 10가지 유명 스마트워치 제품을 테스트했으며, 모든 제품에서 보안 취약점을 발견했다고 말했다. “실망스럽지만 놀랍지 않다”고 첨언하면서 수많은 취약점에 대해 언급했다.

- 부적절한 사용자 인증/허가 : 모바일 인터페이스에서는 2단계 인증을 지원하지 않았으며, 또는 비밀번호 인증에 실패한 이후에도 계정을 인증할 수 있었다. 절반 정도의 제품은 화면 잠금조차 지원하지 않았다.
- 암호화 전송의 부재 : 10개의 스마트워치 제품 모두 SSL/TLS를 사용한 암호화 전송을 구현했으나, 이 중 4개의 제품은 푸들(POODLE) 공격에 취약했으며, 약한 비밀번호를 사용하도록 요구하고, SSL v2를 여전히 사용하기도 했다.
- 보호되지 않은 인터페이스 : 테스트 제품 가운데 3대는 비밀번호 리셋 메커니즘에서의 피드백을 통해 허가된 사용자 계정을 해커가 인지할 수 있도록 하는 클라우드 기반의 웹 인터페이스를 사용했다.
- 보호되지 않은 소프트웨어/펌웨어 : 7개의 스마트워치는 펌웨어 업데이트를 적절하게 보호하지 못했다.
- 프라이버시 문제 : 모든 10개의 스마트워치 제품은 다른 취약점을 통해 액세스할 수 있는 개인 정보를 수집하고 있었다.

스마트워치 보안이 안전하다고 단언할 수 없는 지경이었으며, 이로 인해 다른 스마트워치 제품이라고 해서 안전하리라는 것도 보장할 수 없게 됐다. 그러나 한편으로는 희망의 끈을 놓지 않고 있는데, 이 보고서가 완벽하지도 않거니와 어떤 면에서는 스마트워치 시장이 아직 성숙기에 이르지 않았기 때문이다.

HP
무엇보다도 HP가 “비공개 정책”을 따르는 이유로 HP의 보고서에서는 테스트 제품명이나 업체 이름, 모델명이 언급되지 않았다. 보고서는 단순히 “현재 스마트워치 시장에 출시된 상위 10개의 제품을 해커의 관점에서 평가했다”고만 언급돼 있다. 한편 이 정책에 관해 HP의 대변인은 “HP가 하는 일은 해당 기업에 관련 정보를 통지하고 자체적인 테스트로도 발견되지 않은 보안 문제를 해결할 기회를 제공하는 것”이라고 설명했다.

만일 어떤 기기를 대상으로 테스트했는지 알더라도 가장 많이 팔린 제품(애플 워치)이라고 해서 가장 큰 보안 위협을 일으키는 지는 단언할 수 없을 것이다. 사실 지금으로써는 보안 위협이 있을 것으로 예상되는 제품은 애플 워치 하나뿐이다.

무엇보다도 중요한 것은, 애플을 포함한 모든 이가 스마트워치에 대한 기능이나 디자인, 기술 등을 주목한 지 얼마 되지 않았다는 것이다. 아무도 스마트워치가 보안 문제를 일으킬 것이라고는 예측할 수 없다. 스마트워치 시장이 더 커지고, 좀 더 대중적인 제품이 됐을 때 비로소 보안 측면도 고려해야 한다는 이야기가 심화될 것이다.

그래서 현재로써는 얼리어답터들이 오피스 네트워크에서 스마트워치를 착용한다면 문제가 될 소지가 많지만, 그 정도가 점차 줄어들고 있으며 스마트워치 시장 규모가 확대될수록 취약점의 발생 빈도수도 점차 줄어들 것이라고 보고 있다.

HP는 이러한 기업에서 스마트워치 취약점을 완화하는 몇 가지 방법을 제안했다.

1. TLS이 적절하게 구현됐는지를 확인하기
2. 강력한 비밀번호를 요구함으로써 사용자 계정과 민감한 데이터 보호하기
3. 중간자 공격을 예방하기 위한 제어 구현하기
4. (특정 생태계에 특화된) 모바일 애플리케이션 구현하기

이 항목들은 스마트워치나 모바일 기기에서 보안을 강화하기 위한 좋은 권고 사항이다. 그러나 스마트워치에서보다도 스마트폰에서 더 많이 보안 사건들이 터지고 있는데, 이는 스마트폰 시장이 여전히 우세하기 때문이다. editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.