매일 전 세계 수백만 명의 사람들이 소위 셀프 트래킹(self-tracking)을 통해 본인의 삶, 생각, 경험 또는 성취한 것들에 대해 적극적으로 기록합니다. 이러한 활동을 자가측정(Quantified Self) 또는 라이프 로깅(life logging)이라고 합니다. 사람들은 다양한 이유로 셀프 트래킹을 합니다. 이렇게 각처에서 방대한 양의 개인 정보가 생성, 전송, 저장되는 만큼 이러한 기기와 애플리케이션을 이용하는 사용자 입장에서 개인 정보 보호 및 보안은 중요한 문제입니다. 시만텍은 다수의 셀프 트래킹 기기와 애플리케이션에서 보안 위험을 발견했습니다. 그중에서도 가장 심각한 문제 중 하나는 조사 대상에 포함된 모든 웨어러블 활동 트래킹 기기(유명 브랜드 제품 포함)에 대해 위치 추적이 가능하다는 것입니다.
실제로 시만텍 연구 팀에서 Raspberry Pi 미니컴퓨터를 사용하여 여러 개의 스캐닝 기기를 만든 다음 스포츠 경기장 및 번화한 공공 장소에서 사용해본 결과, 개개인을 모두 추적하는 것이 가능했습니다.
또한 시만텍은 개인 데이터를 저장하고 관리하는 방식에서도 암호가 평문 형태로 전송되고 세션 관리가 제대로 이루어지지 않는 등의 취약점을 찾아냈습니다.
셀프 트래킹 시스템의 작동 원리
많은 사람들이 셀프 트래킹에 전자 손목시계, 스마트 시계, 펜던트 심지어 스마트 의류 등의 기기를 사용합니다. 일반적으로 이러한 기기는 무수히 많은 센서, 하나의 프로세서, 메모리, 통신 인터페이스로 구성됩니다. 사용자는 이러한 기기를 통해 손쉽게 데이터를 수집, 저장하고 처리 및 분석을 위해 다른 시스템으로 전송합니다.
그림 1. 일반적인 자가측정(Quantified Self) 기기의 구성
전문 기기의 사용도 늘고 있지만 가장 보편적으로 사용되는 셀프 트래킹 수단은 스마트폰일 것입니다. 첨단 스마트폰에는 다양한 센서가 장착되어 있으며, 이는 각종 셀프 트래킹 애플리케이션에서 활용 가능합니다. 이미 많은 사람들이 스마트폰을 휴대하고 있으며, 무료 셀프 트래킹 앱이 확산되면서 더 손쉽게 셀프 트래킹을 접할 수 있게 되었습니다.
그림 2. 각종 센서가 장착된 첨단 스마트폰
여러 앱 마켓에서 제공하는 다양한 앱 중 하나를 골라 설치한 후 계정을 등록하면 곧바로 셀프 트래킹을 시작할 수 있습니다. 각 세션이 끝나면 사용자는 수집된 데이터를 검토하고 클라우드 기반 서버와 동기화하여 저장합니다.
그렇다면 내가 이용하는 자가측정(Quantified Self)은 얼마나 안전할까요?
개인 정보와 자가측정(Quantified Self) 데이터를 서비스 제공업체에 넘겨줄 때 과연 이 업체를 신뢰해도 되는 것일까요? 업체에서 내 개인 정보와 사생활을 보호하기 위해 필요한 조치를 취하고 있음을 확인하려면 어떻게 해야 할까요? 이를 파악하기 위해 시만텍은 셀프 트래킹의 실상이 어떠한지 살펴보았습니다. 벤더들이 어떻게 서비스 이용자를 보호하는지 알아보기 위해 시장에서 가장 인기 있는 몇몇 자가측정(Quantified Self) 기기와 앱을 면밀하게 조사했습니다.
웨어러블 기기의 위치 추적
모든 웨어러블 활동 트래킹 기기는 무선 프로토콜 전송을 통해 추적 또는 위치 확인이 가능합니다.
현재 많은 웨어러블 스포츠 활동 트래킹 기기가 출시되어 있습니다. 일반적으로 이러한 기기에는 동작 감지 센서가 있지만, 대부분은 위치 추적 용도로 설계되어 있지 않습니다. 이러한 기기에서 수집한 데이터는 대개 다른 기기 또는 시스템과 동기화되어야 확인할 수 있습니다. 많은 제조사는 편의를 위해 Bluetooth Low Energy를 사용하여 기기와 스마트폰 또는 시스템과의 무선 데이터 동기화를 지원합니다. 하지만 이러한 편리함에는 대가가 따릅니다. 실제로 기기에서 유출되는 정보가 위치 추적에 사용될 가능성이 있습니다.
시만텍은 이러한 기기를 어떻게 추적할 수 있는지 테스트하고자 Raspberry Pi 미니컴퓨터 및 상용 부품(Bluetooth 4.0 어댑터, 배터리 팩, SD 카드 등)을 사용하여 휴대용 Bluetooth 스캐닝 기기를 제작했습니다. 모든 부품은 일반 소매점에서 구입 가능한 것입니다. 여기에 오픈 소스 소프트웨어와 일부 맞춤 스크립트를 추가했습니다. 각 기기를 만드는 데 든 비용은 75달러를 넘지 않았고 기본적인 IT 기술만 있으면 누구나 쉽게 조립할 수 있는 수준이었습니다.
그림 3. 시만텍이 직접 제작한 휴대용 Bluetooth 스캐너, 일명 Blueberry Pi
그런 다음 아일랜드와 스위스의 공공 장소 여러 곳에서 이 휴대용 스캐너를 들고 다니면서 과연 무엇을 찾아낼 수 있는지 살펴보았습니다. 또한 주요 스포츠 경기장으로 가져가 일정한 장소에 고정해 두고 경기가 진행되는 동안 선수들을 추적했습니다. 이 스캐너는 패시브 모드에서 작동했으며 검색된 기기와의 연결을 시도하지 않았습니다. 단지 전파를 검사하면서 각종 기기에서 나오는 신호를 찾았습니다.
이번 테스트에서 우리가 접한 모든 기기는 해당 기기로부터 전송되는 고유 하드웨어 주소를 사용하여 쉽게 추적할 수 있었습니다. (구성에 따라 다르지만) 일부 기기는 원격 질의도 가능합니다. 즉, 제3자가 물리적으로 기기에 접속하지 않고도 가까운 거리에서 기기의 일련 번호나 기기 속성 조합 등의 정보를 알아낼 수 있습니다.
그림 4. 대부분의 웨어러블 활동 트래킹 기기는 추적 가능
이러한 조사 결과를 볼 때, (업계 선두 주자를 비롯하여) 이러한 기기의 제조사들이 기기 착용자의 개인 정보 보호 문제를 심각하게 고려하지 않았거나 해결하지 않은 것 같습니다. 그 결과, 기본적인 기술력과 몇 가지 저렴한 툴만 마련하면 누구라도 손쉽게 그러한 기기와 기기 착용자를 추적할 수 있습니다.
우려되는 이유
도둑이나 스토커가 악의적인 의도로 위치 추적 정보를 이용할 수 있습니다. 실제로 위치 추적 시스템을 이용한 빈집털이 사건이 발생했습니다.
평문 형태로 전송되는 트래킹 데이터 및 개인 정보
앱의 20%가 평문 형식으로 사용자 인증 정보를 전송합니다.
자가측정(Quantified Self) 앱과 서비스 중 상당수에는 클라우드 서버 기반 구성 요소가 포함되어 있으며, 사용자는 앱과 서비스에서 수집된 데이터를 안전하게 보관하고 분석하기 위해 이러한 구성 요소를 업로드하고 저장해야 합니다. 일부 서비스는 활동 관련 데이터를 저장하는 데 그치지 않고 생년월일, 인적 관계, 주소, 사진, 기타 개인 통계 정보 등 다양한 개인 정보도 수집합니다. 이러한 서비스는 사용자 데이터에 대한 무단 액세스를 방지하기 위해 항상 사용자 계정을 필요로 하며, 해당 계정은 사용자 이름 및 암호 인증으로 보호됩니다.
시만텍이 확인한 문제는 이러한 앱과 서비스 상당수가 사용자 이름(예: 이메일 주소), 암호와 같은 중요한 사용자 데이터를 안전하게 처리하지 않는다는 것입니다. 실제로 로그인 정보를 포함하여 사용자가 생성한 데이터를 어떠한 보호 장치(예: 암호화)도 없이 인터넷과 같이 안전하지 않은 매체를 통해 전송하는 곳이 많습니다. 따라서 공격자가 손쉽게 데이터를 가로채고 읽을 수 있습니다. 이 단계에서 기본적인 보안 기능을 갖추지 않은 것은 중대한 결함이며, 이러한 서비스의 서버에 저장된 정보를 처리하는 방식에 대해 큰 의구심을 가지게 합니다.
우려되는 이유
인증 정보가 평문 형식으로 전송되는 것은 로그인 정보를 여러 사이트에서 재사용하는 사람들이 많다는 점에서 더욱 심각한 문제가 됩니다. 한 서비스에서 이와 같이 재사용되는 로그인 정보를 훔쳐낸 다음 이메일 계정, 온라인 쇼핑 계정 등 더 큰 기밀성이 요구되는 서비스에 대한 액세스 권한을 확보하는 데 이용할 수도 있습니다.
개인 정보 보호 정책의 부재
이번에 조사한 앱의 52%에는 개인 정보 보호 정책이 없었습니다.
셀프 트래킹 앱과 서비스는 그 특성상 개인 정보를 수집하고 분석합니다. 따라서 사람들은 개인식별정보를 수집하고 관리하는 기업에서 개인 정보 보호 정책을 마련하고 눈에 잘 띄는 곳에 게재할 것으로 기대하며, 실제로 많은 지역에서 법적 의무(예: Online Privacy Protection Act 2003)로 규정되어 있습니다. 개인 정보 보호 정책은 가급적 법에 정통하지 않은 사람도 쉽게 이해할 수 있도록 작성되고, 사용자가 신중하게 생각한 다음 서비스 이용을 결정할 수 있도록 서비스 가입 전에 제시되어야 합니다.
개인 정보 보호 정책의 중요성에도 불구하고 시만텍이 조사한 앱 중 상당수에는 그러한 정책이 없었습니다.
우려되는 이유
개인 정보 보호 정책의 부재는 온라인 셀프 트래킹 서비스의 개발 및 프로비저닝 단계에서 보안 문제를 어떻게 다루었는지 보여주는 지표가 될 수 있습니다. 사용자는 서비스 가입에 앞서 충분한 정보를 제시받고 심사숙고해야 합니다.
의도하지 않은 데이터 유출
하나의 앱에서 접속하는 고유 도메인 수는 최대 14개, 평균 5개입니다.
이번에 조사한 앱들은 평균적으로 5개의 인터넷 도메인에 접속했습니다. 심지어 짧은 실행 시간에 무려 14개의 도메인에 접속한 앱도 있었습니다. 앱에서 수집된 데이터를 전송하고 광고 등을 위해 특정 API에 액세스하는 과정에서 몇몇 도메인에 접속할 수도 있겠지만, 다양한 목적으로 10개 이상의 도메인에 접속하는 앱이 그토록 많은 것은 다소 충격적인 소식일 수 있습니다. 또한 많은 앱이 분석 서비스에 보고하는 기능을 수행하는데, 이러한 서비스는 마케팅 목적으로 앱 또는 사용자 행동을 수집하여 분석하는 것입니다. 일부 앱은 앱 분석 기능을 통해 앱 자체의 성능을 점검하고 성능 문제 및 충돌 현상을 보고합니다.
설령 앱 개발자의 의도가 좋았더라도, 앱에서 타사 서비스를 이용하는 방법 때문에 사용자의 활동 관련 정보가 매우 뜻밖의 방식으로 유출될 우려가 있습니다. 이를테면 성생활을 트래킹하는 한 앱에서는 각 세션을 시작하거나 종료할 때 분석 서비스 URL에 특정 요청을 전송합니다. 그러한 통신 과정에서 앱은 앱 인스턴스의 고유 ID, 앱 이름 그리고 트래킹된 활동의 시작과 종료를 나타내는 메시지를 전달합니다.
위에 소개된 시나리오 외에도 사람의 실수, 사회공학적 수법, 부주의한 데이터 취급 등으로 인해 의도치 않게 데이터가 유출될 가능성은 무궁무진합니다.
우려되는 이유
많은 사람들이 세세한 일상의 풍경을 가족 및 친구와 함께 즐기려 하지만, 공유하고 싶어 하지 않는 것들도 많습니다. 내가 어떤 것을 공유하지 않기로 결정했다면 서비스 제공업체에서 나를 대신하여 직간접적으로 그러한 정보를 공유하는 것도 원치 않을 것입니다.
그 밖의 보안 취약점
모든 공유 서비스에서 사용자 계정은 해당 사용자의 상태와 데이터를 다른 사용자의 것과 구분하는 데 사용됩니다. 여기서는 세션을 사용하여 데이터의 흐름 및 처리를 관리하므로 사용자는 본인의 데이터에만 액세스하고 액세스 가능한 데이터에 대해서만 작업을 수행할 수 있습니다. 하지만 세션 관리가 부실하면 사이버 범죄자가 세션을 가로챈 다음 다른 사용자로 위장할 위험이 있습니다. 이는 정보 유출, 데이터 파괴, 기타 문제의 원인이 될 수 있습니다.
시만텍은 이번 조사에서 사용자 세션을 올바르게 처리하지 않는 사이트 몇 군데를 발견했습니다. 일부 사이트에서는 다른 이용자의 개인 데이터를 탐색할 수도 있었습니다. 또한 공격자가 데이터베이스에 테이블을 생성하는 명령과 같은 SQL 문을 서버에 업로드하여 실행하는 것이 가능한 경우도 있었습니다. 이 모두가 중대한 보안 결함이며, 사용자 데이터베이스의 대량 정보 유출로 이어질 수 있습니다.
우려되는 이유
부실한 시스템 설계 또는 구현은 심각한 취약점을 노출시키고 익스플로잇 공격을 초래할 수 있습니다. 그로 인해 서비스 제공업체의 사용자 데이터가 완전히 유출되기도 합니다. 어느 정도로 민감한 성격의 데이터가 저장되었는지에 따라, 사용자가 오늘 마신 물의 양과 같은 사소한 정보부터 사용자의 현재 위치와 같은 더 중요한 정보까지 포함될 수 있습니다.
해결 방법
셀프 트래킹과 개인 정보 보호가 언뜻 상충되는 것처럼 보일 수도 있습니다. 실제로 본인에 대한 방대한 양의 데이터를 기록하면서 동시에 개인 정보를 보호하는 것이 가능할까요? 시만텍이 지금까지 확인한 보안 및 개인 정보 보호 문제로 미루어볼 때, 개인 정보 보호를 중요하게 여긴다면 셀프 트래킹을 전혀 하지 않는 것이 최선책입니다!
자가측정(Quantified Self))은 보안 및 개인 정보 보호와 관련된 잠재적 위험성에도 불구하고 빠르게 성장하고 있으며, 앞으로도 몇 년간 그 추세가 계속될 것입니다. 사용자가 안전하게 이러한 활동을 즐기려면 개인 정보 및 셀프 트래킹 정보 유출의 위험으로부터 보호받기 위한 몇 가지 기본적인 보안 예방 조치를 취해야 합니다.
- 기기에 대한 무단 액세스를 방지하기 위해 화면 잠금 또는 암호를 설정하십시오.
- 여러 사이트에서 동일한 사용자 이름과 암호를 재사용하지 마십시오.
- 강력한 암호를 사용하십시오.
- Bluetooth가 필요하지 않을 때는 이 기능을 꺼두십시오.
- 불필요한 정보 또는 지나치게 많은 정보를 요구하는 사이트와 서비스를 경계하십시오.
- 소셜 공유 기능을 이용할 때는 주의하십시오.
- 소셜 미디어에서 위치 정보 공유를 삼가십시오.
- 개인 정보 보호 정책을 명시하지 않은 앱과 서비스는 이용하지 마십시오.
- 앱 및 서비스의 개인 정보 보호 정책을 읽고 숙지하십시오.
- 앱 및 운영 체제의 업데이트가 제공되면 설치하십시오.
- 가능하다면 장치 기반 보안 솔루션을 사용하십시오.
- 가능하다면 전체 장치 암호화 기능을 사용하십시오.
추가 정보
이 주제와 관련된 자세한 내용은 시만텍의 최신 백서, How safe is your quantified self?를 참조하십시오.
