배터리 성능 향상을 위한 배터리 상태 API가 문제의 근원

너무 자세한 정보 수집해 사용자 몰래 식별 정보 부착 가능해

[보안뉴스 문가용] 스마트폰의 배터리도 프라이버시를 위협할 수 있다. 웹사이트에서 배터리 수명과 관련된 데이터를 추적해 모바일 기기를 식별하는 게 가능하다는 연구결과가 발표되어 보안업계의 관심을 끌고 있다.

수수께끼의 핵심은 월드와이드웹 컨소시엄(World Wide Web Consortium, 이하 W3C)에서 2012년 발표한 배터리 상태 API(battery status API)로 이는 모바일 기기로 웹사이트에 접속했을 경우 배터리 수명을 최대한 아껴줄 목적으로 개발된 것이었다. API가 있으면 웹사이트에서 기기의 남은 배터리 상태를 확인해 상황에 따라 절전모드라던가 최대 출력 모드로 자동 전환이 가능하다.

모바일 시대에 활발하게 접어들기 시작했던 당시로서는 사용자들을 고려한 아주 획기적인 아이디어였다. 하지만 여기에 문제가 있었다는 건 당시 아무도 몰랐거나 간과했다. 먼저 W3C가 당시 함께 발표한 세부사항에 따르면 사용자가 이 정보를 공개할지 안 할지 선택할 수가 없다. 문서에는 이렇게 쓰여 있다. “(배터리 상태 정보는) 프라이버시나 지문 채취 등에 거의 영향을 주지 않으므로 사용자의 허가 없이 공개가 가능하다.”

하지만 프라이버시에 거의 영향을 주지 않는다는 전제 자체가 문제라는 게 전문가들의 의견이다. 일단 해당 정보를 통해 기기에 대한 다른 정보도 추출하는 게 가능하기 때문이다. 여기에는 배터리가 완전히 방전되기까지 남은 예상시간(초 단위)와 남은 배터리 용량의 퍼센트가 포함된다.

문제는 이 둘이 합쳐졌을 때다. 사이트 방문자가 사용하는 기기를 예측할 수 있게 해주기 때문이다. 이 데이터는 30초마다 한 번씩 갱신되는데, 데이터의 고유 특성과 수집 주기 등이 기기마다 조금씩 차이가 있어 갱신되는 데이터나 패턴을 잘 관찰하면 꽤 높은 확률로 기기 식별이 가능해진다는 것.

“덕분에 아주 짧은 시간 안에 사용자의 기기 종류를 식별하는 게 가능해집니다. 이를 방지하려면 프라이빗 모드(Private Mode)를 켜거나 쿠키 등 클라이언트 측의 식별자들을 일일이 삭제해야 합니다. 하지만 짧은 시간 내에 여러 번 같은 사이트를 방문할 경우, 배터리 정보와 상태 정보, 충전 및 방전 정보를 조합하여 새로운 식별자와 오래된 식별자를 구분하는 게 가능해집니다. 그러면 쿠키 등 식별자의 리스포닝(respawning)이 가능해집니다.”

웹 사이트를 방문했을 때 기기 종류를 알게 되면 웹사이트에서 반영구적인 식별자를 부착하는 게 가능해진다. 이는 원치 않는 추적으로 이어질 소지가 다분한 현상이다. 이와 같은 배터리 API 문제는 2012년부터 제기되어왔지만 아직까지 별 다른 변화가 없는 상태다. 전문가들은 배터리 API 정보와 수치를 조금만 덜 구체적으로 바꾸기만 해도 많은 문제가 해결될 것이라고 입을 모으고 있다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>