• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

스마트워치 보안 보고서 : 안전과 거리 멀다 2015.07.25

10대 실험, 단 한 대도 기초적인 보안기능 가지고  있지 않아

아직 제조사들 보안의식 낮아 사용자가 정책 마련을 통해 해결해야


[보안뉴스 문가용] 네트워크 기능과 통신 기능이 장착된 시계인 스마트워치가 사이버 공격의 또 다른 전선이 되고 있다. 새로운 IT 제품을 개발하는 기업들의 안일한 보안 인식을 고스란히 드러내는 스마트워치 관련 보고서가 HP를 통해 작성, 공개되었다. HP는 자사가 개발한 안드로이드 및 iOS용 클라우드 애플리케이션 요소와 모바일 애플리케이션 요소들을 가지고 10가지 종류의 스마트워치들을 실험했으며, 이를 통해 심각한 취약점들을 대거 발견했다. 10개 중 취약점 없는 스마트워치는 단 하나도 없었다.

 


HP는 먼저 스마트워치 관리 기능과 네트워크 통신 기능, 모바일 인터페이스, 클라우드 인터페이스 등 취약점이 주로 나타나는 부분들을 살폈다. HP가 실험한 기기들은 한 대도 예외 없이 이름, 주소, 생년월일, 몸무게, 성별, 심장박동수 등의 개인 정보를 수집했다. 그런 정보에 대해 프라이버시 보호와 정보보안을 위한 적절한 기능을 장착한 기기 역시 단 한 대도 없었다.


단 한 대도 없었다

예를 들어 HP가 실험한 10대의 스마트워치들 중 모바일 인터페이스에서 2중인증 기능을 갖춘 기기는 없었다고 한다. 로그인 시도를 무수히 반복했을 때 잠금 조치를 취하는 인터페이스 역시 없었다. 40%가 전송 계층에서 약한 암호화 알고리즘을 사용하고 있었으며 70%는 펌웨어에서부터 취약했다.


“스마트워치 통신은 가로채기가 너무 쉽습니다. 이번 실험에서 90%의 확률로 성공할 수 있었습니다. 스마트워치 펌웨어 70%가 암호화도 없이 전송되기도 했고요” 이번 실험을 지휘한 다니엘 미슬러(Daniel Miessler)의 설명이다. “수치가 너무 높아서 통계라고 할 것도 없을 정도입니다. 걱정되죠. 게다가 인터페이스, 펌웨어, 전송 계층의 취약점이라뇨. 해커들이 이 보고서를 더 반길까 걱정입니다. 스마트워치 사용자가 이대로 늘어난다는 건 재앙입니다.”


현재까지 스마트워치의 기능이라고 해봐야 메시지 보내기, 스케줄 관리하기, 알람 맞추기 등 기존 스마트폰에서 하던 활동과 건강관리에서 크게 벗어나지 않는다. 이는 아직까지 스마트 폰이나 태블릿 등 중간 매체가 필요하기 때문이며 실제로도 현 기술력으로는 스마트워치는 독립적인 기기로서는 불완전하다. 그렇다면 이런 중간 매체와의 통신이 안전해야만 한다는 건데, 이는 통신 자체와 게이트웨이의 보안을 뜻한다.


“그러나 보안과 현재의 스마트워치는 거리가 멉니다. 게다가 사용자들은 계정도 여러 개 만들며, 암호도 약하게 하고, 스마트워치 인터페이스에서는 잠그는 기능도 없습니다. 이는 해커들의 계정 탈취를 매우 간단하게 만들죠. 브루트포스라는 간단한 공격만으로도 가능할 정도고요, 이런 경우 해커들은 딱히 멀웨어를 배포하지 않고도 사기 행각을 벌일 수 있죠.”


또한 이는 스마트워치를 구매한 소비자 개인의 문제가 아니다. 네트워크의 연결성을 생각해보면, 직원 한 명이 스마트워치를 구매해서 출근하면 곧바로 회사 전체에 비상경보를 울려야 할 정도다. 미슬러는 이것이 단지 스마트워치에만 해당하는 이야기가 아니라고 한다. “모든 사물인터넷 기기들의 사정이 다 비슷합니다. 앞으로 한동안은 사물인터넷 기기가 영내 반입되는 걸 금지시키는 회사가 많을 겁니다. 그래야 맞고요. 그게 아니라면 웨어러블 및 사물인터넷 기기들을 회사 네트워크와는 분리시켜야 합니다.”


통신에 대한 대책이 제대로 서있지도 않은 상태에서 스마트워치 기능 자체는 발전하고 있다는 것도 문제가 될 수 있다. 예를 들어 기록 및 저장 기능이 그렇다. “스마트워치를 사용하면 사용자들이 문서를 아주 쉽게 저장할 수 있습니다. 다른 사람 눈에 띄지도 않고 말이죠. 스마트폰보다 더 쉽습니다.” 이는 정보유출 사고의 전조가 될 수 있다는 게 HP의 경고다.


그렇다면 대책이 필요하다. 스마트워치와 사물인터넷 기기들이 주는 위협들은 어떻게 줄여나가야 할까? 일단 어떤 종류의 위협에 노출될 가능성이 높은지 파악해야 한다. 그건 좀 더 구체적으로 말해 내가 가지고 있는 기기에 어떤 종류의 센서들이 부착되어 있는지를 파악해야 한다는 것과 비슷하다. “오디오 센서가 있으면 소리를 내는 것에 조심해야 하고, 비디오 센서가 있으면 촬영하는 것을 조심해야 할 것입니다. 추가로 데이터 전송 시 출처와 도착점을 제대로 파악하는 것도 중요합니다.” 


“그런 게 모이고 모이면 정책이 되고 사물인터넷 관리 방안이 되는 것입니다. 결국 기업 내 정책이나 제도를 마련하려면 새로운 기술이 무엇인지, 어떻게 활용될 수 있는지를 잘 알아야 합니다. 알려고 하는 태도와 실제로 알고 있는 지식에서부터 쌓아올린 정책은 규율과 통제 이상의 힘을 발휘합니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>