웨어러블 컴퓨팅 시대-정보보호 위협과 대책은?

웨어러블 컴퓨팅 시대…정보보호 위협과 대책은?

 

[미디어잇 유진상] ‘구글 글라스’, ‘삼성 갤럭시 기어와 기어핏’, ‘애플워치’ 등 몸에 착용하는 웨어러블 컴퓨팅 시대가 성큼 다가왔다. 그만큼 우리 삶은 보다 편리해지고 스마트해졌다. 하지만 걱정되는 부분도 있다. 바로 개인정보 유출을 비롯한 보안 문제다.

 

▲ 다양한 스마트기기들(그림 = 인터넷취합)

 

2일 업계에 따르면 웨어러블 기기들이 늘어날수록 스마트폰이나 태블릿PC보다 더 편리하게 웹이나 애플리케이션에 접속할 수 있지만 그만큼 보안 위협도 심각해지고 있다.

 

웨어러블 기기란 컴퓨팅이 가능한 기기를 몸이나 의류 등에 PC기능을 부착해 사용하는 컴퓨팅 환경이다. 손목시계, 팔찌, 신발, 안경 등 그 형태와 종류는 점점 더 다양해지고 있다. 하지만 언제 어디서나 기기들간에 소통하고 인터넷에 연결되다 보니 자연스레 보안 위협에 노출될 수 밖에 없다.

 

최근 카스퍼스키랩은 사물인터넷(IoT, Internet of Things) 환경에서 커넥티드 디바이스와 하이퍼커넥티드 세계의 보안 위험에 대해 경고한 바 있다.

 

 ‘구글 글라스’와 ‘삼성 갤럭시 기어2’ 보안 위협 노출

 

카스퍼스키랩의 한 연구원은 구글 글라스와 삼성 갤럭시 기어2를 연구한 결과, 이용자의 사생활 침해 및 보안 위협이 심각하다고 경고했다.

 

연구결과에 따르면, 구글 글라스의 경우는 중간자 공격에 노출돼 있다. 구글 글라스를 이용해 웹 서핑하는 방법에는 데이터 네트워크 연결을 공유하는 모바일 기기에 연결시키는 블루투스(Bluetooth)와 와이파이(Wi-Fi)를 활용하는 두 가지 방법이 있다. 와이파이를 활용하는 방법의 경우, 웹에 연결하기 위한 추가적인 모바일 디바이스가 필요치 않으므로 사용자는 더 편리하다. 하지만 이는 글라스가 2개의 시스템 간의 커뮤니케이션 시 네트워크 벡터 공격 중 특히 중간자 공격에 노출돼있다는 것을 의미한다.

 

▲ 구글글래스를 장착한 구글 개발자들(사진 =연합뉴스)

 

또한 카스퍼스키랩의 연구원은 “디바이스를 모니터링 네트워크(monitored network)에 연결하고 전송된 데이터를 확인했다”며 “디바이스와 핫스팟(hot spot) 간 교환된 모든 트래픽이 암호화 돼있진 않은 것으로 나타났고 암호화되지 않은 정보를 통해 공격 당한 사용자가 어느 항공사, 호텔, 여행지를 찾고 있는지 확인할 수 있었다”고 말했다. 이는 사용자를 대상으로 한 프로파일링 작업 및 간단한 형태의 감시가 가능한 수준이라는 것이 그의 설명이다. 그는 이어 “아직 심각한 수준의 취약점은 아니지만 더 복잡한 공격으로 성장할 가능성이 높다”고 말했다.

 

갤럭시 기어2는 개인정보침해에 활용될 여지가 높은 것으로 지적됐다. ‘몰카 범죄’ 행위 가능성이 매우 높다는 것이다.

 

카스퍼스키랩 측은 “삼성 갤럭시 기어2가 사진 촬영 시 주위 사람들이 알아차릴 수 있는 정도의 큰 소리가 나도록 설정돼있음을 확인했다”며 “그러나 갤럭시 기어 2의 소프트웨어 조사 결과, 디바이스 루팅과 삼성의 상용 소프트웨어 툴인 오딘(ODIN) 사용시 사진 촬영음 없이 내장 카메라를 무음으로 사용할 수 있는 것으로 드러났다”고 말했다. 즉, 다른 사람들의 프라이버시를 침해하는 데 악용될 수 있다는 지적이다.

 

특히 갤럭시 기어2는 스파이 툴로 악용될 가능도 높은 것으로 나타났다. 갤럭시 기어2 전용 애플리케이션은 스마트폰에서 스마트워치로 앱을 전송할 수 있도록 설계된 기어 매니저(Gear Manager) 앱을 사용해 기기에 설치되는데, 문제는 앱이 스마트워치의 운영 시스템에 설치될 때 시계 화면에는 어떠한 알림도 나타나지 않는다는 것. 이는 악성 앱을 몰래 설치하는 등의 악용 가능성을 시사한다는 것이 카스퍼스키랩 측의 설명이다.

 

카스퍼스키랩은 "웨어러블 디바이스들이 현재 전문 APT 공격자들의 공격 타깃으로 떠오르고 있는 것을 보여주는 증거나 사례는 없다”면서 “하지만 웨어러블 디바이스의 사용률이 점점 증가할수록 보안 위험이 실현될 가능성은 크게 증가할 것”이라고 밝혔다.

 

실제 IT 보안 위협은 PC의 발전과 같이 했다. PC 시대에는 바이러스가 등장했고 인터넷이 발전되면서 웜(worm)이 등장하고 인터넷 네트워크를 통해 빠르게 유포되기 시작했다. 그 이후에 다양한 형태의 보안 위협이 끊임없이 등장했다.

 

업계 관계자들은 “플랫폼의 발전과 보안 위협의 발전이 함께 진행되면 보안 산업 또한 이러한 흐름을 따라가기 마련”이라고 설명했다.

 

▲ 웨어러블 디바니스 기술 분류(표 =정보통신기술진흥센터)

 

웨어러블 컴퓨팅 시대, 보안대책은

 

웨어러블 컴퓨팅 장치들이 의사 소통할 수 있는 웨어러블 컴퓨팅 환경에서는 정보화의 영역이 사람 중심에서 사물로 확대됨에 따라 기존의 인터넷 기반의 정보통신 환경과는 다른 환경의 변화가 있을 것으로 예상되고 있다. 이에 따른 정보보호의 위협도 지금과는 달리 다양해질 것으로 보인다. 따라서 이러한 위협에 대처하기 위한 방법을 강구해야만 한다.

 

우선 확장성을 고려해야 한다. 웨어러블 컴퓨터 네트워크에 적용할 라우팅과 보안 알고리즘을 포함하는 미들웨어는 단말들이 밀집된 형태로 배치된다는 사실을 고려하여 설계돼야 한다는 지적이다.

 

또 악의적인 공격자에 의해 위협이 될 수 있는 보안상의 다양한 시도들에 대해 유연하게 대처하기 위해 노드의 추가 및 삭제가 유연하게 이루어질 수 있도록 유연성(Flexibility) 또한 기술적으로 만족해야 한다.

 

이 외에도 정보를 서로 주고 받는 단말들끼리 공유되는 정보가 악의적인 공격자로부터 도청 또는 트래픽 분석 등을 통해 노출되지 않도록 기밀성(Confidentiality)과 데이터가 악의적인 공격자의 불법적인 위변조 과정이 일어나지 않도록 인증(Authenticity)과 무결성(Integrity)을 충족시켜야 한다.

 

특히 사회적 합의와 법적인 제도의 정비 또한 수반되어야 한다. 이동호 광운대학교 교수는 “기존의 개인정보보호 프레임은 모바일 디바이스를 통해 ‘개인의 동의 없는 개인정보 수집금지’ 등 기존의 제도적인 방법으로는 무의미하다”며 “사회적 합의에 의한 현행 개인정보보호제도의 문제점을 개선하고 웨어러블 디바이스 설계 시 개인정보보호를 위한 고려사항 등을 검토해야 할 것”이라고 말했다.

 

유진상 기자 jinsang@it.co.kr