개인의 건강 데이터 수집하는 앱 통해 드러난 미군 위치
위치 정보가 위험할 수 있는 조직에서는 개인 기기라도 설정 간섭해야

[보안뉴스 문가용 기자] 체력 및 건강 관리 앱인 스트라바(Strava)가 스트라바 랩스(Strava Labs) 웹사이트를 통해 ‘글로벌 열기 지도(Global Heatmap)’를 발표했는데, 이 때문에 미군에서 난리가 났다. 해당 데이터는 지난 11월에 발견된 것이지만, 최근에야 한 호주 학생에 의해 문제점이 드러난 것이다.


스트라바는 핏비트(Fitbit)나 조본(Jawbone)과 같은, 이른바 ‘피트니스 트래커(fitness tracker)’라고 하는 무선 기기들로부터 데이터를 수집하고, 이를 통해 흥미로운 통찰을 제공한다. 약 2천 7백만 사용자로부터 3조개의 좌표 값을 받아 저장하고, 이를 지도 위에 찍어내거나 하는 식으로 구성해 재미있는 자료들을 발표하는 것이다. 그 중 하나가 ‘열기 지도(heat map)’였다.

그리고 최근 그 열기 지도를 통해 전 세계 미군의 위치와, 어떤 경로로 이동하는지가 드러났다. 특히 멕시코 국경선에서 미군이 어떤 방식과 이동 경로를 선택해 순찰을 하는지가 나타났는데, 이 때문에 미군은 발칵 뒤집혔고, 현재 군 병력에 의한 피트니스 트래커 사용 방침을 새롭게 결정하고 있다고 한다.

외신 워싱턴포스트(Washington Post)는 쿠웨이트의 미국 중부사령관의 말을 인용해 “새롭고 혁신적인 정보 기술 덕분에 삶의 질이 높아지기도 하지만, 반면 군 병력 운용과 유지, 보호에 있어서 새로운 위협이 되기도 한다”고 지적했다. 또한 “새로운 가이드라인을 통해 와이파이 설정과 프라이버시 설정, 보안 설정을 어떻게 해야 하는지 세부적으로 정할 예정”이라고도 보도했다.

보안 업체 사일런스(Cylance)의 수석 관리자인 톰 보너(Tom Bonner)는 SC매거진(SC Magazine)이라는 보안 전문 외신을 통해 “아직도 많은 정부 기관이나 조직들이 ‘보안 운영’에 익숙하지 않은 모습을 드러내며, 이 사건 역시 좋은 예시”라고 분석한다. 개인의 사물인터넷 장비로 생성되고 전송되는 데이터에 아무도 관심이 없던 것이 바로 ‘보안 운영’에 대한 개념이 부족했기 때문이라는 것이다.

새로운 시대에 맞는 ‘프라이버시’ 이해도가 부족하다는 지적도 있다. 보안 업체 임퍼바(Imperva)의 CTO 테리 레이(Terry Ray)가 그러한 사람 중 하나다. 개인 장비를 통해 생성되는 데이터를 조직의 IT 담당자가 관여할 수 없는 게 현실이기 때문에 관심이 있더라도 어쩔 수 없었을 것이라는 게 그의 의견이다. 개인의 사생활과 연결된 데이터가 모이고 모여, 조직 전체를 위협하게 되는 이러한 현상은 새롭게 정립하고 규정해야 할 과제라는 것이다.

하지만 군 전문가들은 “원래 군 작전 시 개인 모바일 전화기 사용은 금지되는 게 보통”이라며 “왜 피트니스 트래커의 정보 전송 기능을 무시했는지 이해하기 어렵다”고도 말한다. 군대처럼 특수한 성격을 가진 조직이라면 이미 엄격하게 조직 차원의 사생활 관리가 들어가므로, 변명의 여지가 없다는 뜻이다.

보너는 “군대 내 개인 통신 기기의 사용 자체를 금지시킬 수 없다면 최소 위치정보 서비스는 금지시켜야 한다”고 주장한다. 군대 뿐 아니라 위치 정보가 민감하게 작용할 수 있는 조직이라면 구성원들의 기기 사용을 무제한으로 허용해줄 수 없다고도 말한다.

또 다른 보안 업체 알러트로직(Alert Logic)의 책임자인 올리버 핀슨록스버그(Oliver Pinson-Roxburgh)는 “그 동안 위치정보 전송에 왜 신경 써야 하고, 왜 관리해야 하는지 묻는 보안 담당자들도 제법 있었다”며 “이번 사건으로 그러한 논란이 수그러들 수 있을 것도 같다”고 희망했다. “누구나가 다 그런 건 아니지만, 군 부대라면 위치가 대단히 민감한 정보가 됩니다. 그 위치들을 이어붙인 ‘경로 정보’도 마찬가지고요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>