아홉 가지 건강 앱 분석 : 소니 제품 1등, 에이서 꼴등

개인정보 악용 사건은 물론 신종 보험사기로 이어질 가능성 높아

[보안뉴스 문가용] 당신의 운동 계획과 끔찍한 실천 현황을 마치 거북선 위 이순신 장군처럼 아무에게도 알리고 싶지 않다면 일단 에이서 리퀴드 립(Acer Liquid Leap)은 피하는 편이 나을 것이다. 그렇다고 핏비트 차지(FitBit Charge)가 더 나으냐 하면 그것도 아니다. 최근 AV테스트(AV-TEST)에서 발표한 보고서에 의해 대부분의 피트니스 관련 앱들이 스마트 기기에서 클라우드까지의 통신은 ‘안전하게’ 설정하지만 손목대 등 신체에 직접 접촉하는 장치부터 스마트 기기까지의 통신에는 별 다른 신경을 쓰지 않고 있는 것이 나타났기 때문이다.

AV테스트는 에이서 리퀴드 립, 핏비트 차지, 가민 비보스마트(Garmin Vivosmart), 화웨이 토크밴드 B1(Huawei TalkBand B1), 조본 Up24(Jawbone Up24), LG 라이프밴드 터치 FB84(Lifeband Touch FB84), 폴라 룹(Polar Loop), 소니 스마트밴드 토크 SWR30(Sony Smartband Talk SWR30), 위씽즈 펄스 Ox(Withings Pulse Ox) 등 아홉 가지 유사 앱을 분석해 위에 언급한 보고서를 작성했다.

그중 가장 리스크가 낮은, 즉 가장 안전한 앱은 소니의 스마트밴드 토크인 것으로 나왔는데 유일한 결함이 사용자가 손목밴드의 블루투스 옵션을 꺼둘 수 없다는 것이었다. 그 다음으로 안전한 건 폴라 룹인 것으로 나타났다.

공격 가능성이 가장 높은 제품은 에이서 리퀴드 립이었는데, 소니 제품의 블루투스 해지 기능 부재는 물론 지나친 호환성 때문에 그 어떤 사용자의 확인이나 허가 없이 아무 스마트폰과 페어링을 발동하며 심지어 동시에 여러 대와도 페어링을 할 수 있게 되어 있었다. 게다가 코드를 난독화하는 기능도 없었고, 로그 데이터는 그대로 공개했다.

그 다음 위치는 핏비트 차지가 차지했다. 에이서 리퀴드 립이 가진 결함 대부분을 그대로 가지고 있었으며, 무엇보다 손목밴드가 데이터를 공유하는 데에 있어 그 어떤 확인 장치나 제한기능이 존재하지 않아서 분석하던 연구원들은 경악을 금치 못했다고 한다. “블루투스만 되면 암호화되지 않은 정보를 묻지도 않았는데 그냥 막 퍼주더라고요.”

그에 반해 소니의 스마트밴드 토크는 손목밴드와 스마트 기기를 연결할 때 굉장히 ‘까다로웠다’고 한다. 손목밴드에 등록되어 있는, 신뢰할만한 기기와만 자동연결을 한 것이다. 또한 한 기기와 연결이 되면 블루투스가 활성화 되어 있는 기기 목록에서 사라져 동시에 두 대 이상의 기기와는 연결이 불가능했다.

미국에서는 건강 관련 앱을 사용해서 좋은 컨디션을 유지하고 있는 사람일수록 보험료가 싸게 책정된다. 즉, 이렇게 사용자가 앱을 통해 흘리고 다니는 건강 관련 정보를 누군가 가로채 일종의 보험사기를 치는 게 굉장이 용이해질 수 있다는 것이다.

또한 정보를 얼마나 활용하느냐에 따라 표적 공격이 시작되는 것도 아예 불가능한 이야기는 아니라는 우려도 제기됐다. 또한 정보를 조작하는 것도 큰 위험으로 이어질 수 있다는 목소리도 있었다. “만약 이렇게 흘러나오는 정보를 조작할 수 있다면, 예를 들어 옆에서 뛰고 있는 사람의 심장박동수나 혈압수치를 갑자기 바꾸는 장난을 칠 수도 있을 겁니다. 그 잘못된 정보로 실제 당사자는 굉장히 놀라겠죠. 그러면 뭔가 필요 없는 조치를 취할 테고요. 작은 장난이 어떤 사고로 이어질지는 터져봐야 알 수 있는 겁니다. 지금 건강 관련 앱과 스마트 기기들은 건강을 지키는 것보다 이전에 없던 보안사고를 활성화시키는 역할을 할 가능성이 더 높습니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>