전 세계에 판매되고 있는 애플워치, 안드로이드워치 등을 포함한 톱10 스마트워치가 모두 개인정보 유출, 불충분한 사용자 인증, 암호화 기능 부재 등 보안문제를 안고 있는 것으로 나타났다. 충분한 보안조치가 이뤄지기 전까지는 자신의 스마트워치를 자동차나 가정 내 기기들과 연결시켜서는 써서는 안 된다는 분석이다.
HP 스마트워치 시큐리티 연구를 통해 공개된 보고서에 따르면 스마트워치와 같은 웨어러블기기가 부상할수록 여러가지 보안문제가 불거지고 있는 실정이다.
HP는 디지털툴과 애플리케이션 보안테스트 서비스인 HP 포티파이 온 디멘드를 통해 iOS와 안드로이드 기반 스마트워치를 포함한 톱10 스마트워치에 대한 핵심취약점을 발견해냈다.
분석에 따르면 HP는 불충분한 사용자 인증(authentication), 사용허가(authorization)가 이들 스마트워치에서 발견된 공통적인 취약점이었다고 지적했다. 분석 대상 스마트워치들은 3대 중 1대 꼴로 사용자 인터페이스에서 투팩터인증이나 비밀번호 입력이 실패했을 때 계정을 잠그는 등의 기능이 제대로 구현되지 않고 있었다.
데이터를 전송하는 구간에 대한 암호화 통신도 취약했다. 모든 기기들은 SSL/TLS 프로토콜을 기반으로 하는 암호화 통신을 적용하고 있지만 이들 중 40% 기기는 푸들 취약점이 악용될 수 있는 것은 물론 구 버전 암호화 프로토콜인 SSL2.0 등을 사용하고 있어 낮은 보안수준을 가졌다.
전체적으로 30% 스마트워치가 클라우드 기반 웹인터페이스를 사용하고 있었다. 때문에 계정목록이 노출될 수 있다는 위험성도 제기됐다. HP는 공격자들이 비밀번호 재설정 서비스를 통해 사용자 계정을 획득할 수 있다고 밝혔다.
분석 대상 기기 10대 중 7개는 펌웨어 업데이트와 관련된 문제를 안고 있었다. 업데이트가 암호화된 형태로 진행되지 않는 탓에 공격자가 쉽게 해당 업데이트 파일을 다운로드받아 분석할 수 있다는 것이다.
끝으로 HP는 스마트워치가 개인정보를 보호하는데 위협이 될 수 있다고 분석했다. 모든 스마트워치는 개인식별정보를 수집하지만 이에 대한 별다른 보안조치를 취하지 않아 유출될 경우 악용될 가능성이 높았다.
관련기사
- "애플워치 400만대 판매…순식간에 75% 점유"2015.07.25
- 최신 스마트홈, 보안 전문가가 직접 해킹해 봤더니...2015.07.25
- IoT보안 강화하려면 기기-암호화 잡아라2015.07.25
- 게임, AI에 반하다…캐릭터 생성·시스템 개발 '전방위 활용'2024.05.03
제이슨 슈미트 HP 포티파이 담당 제이슨 슈미트 제너럴매니저는 "스마트워치는 이제 막 우리 생활과 함께 하기 시작했다"며 "새로운 기능들을 제공하는 만큼 사용자의 민감한 정보나 활동이 새로운 위협에 노출될 가능성 또한 커졌다"고 강조했다. 그는 특히 "개인정보를 전송하거나 스마트워치를 기업 네트워크와 연결할 때 이러한 정보들이 (공격자들에게) 오남용될 가능성이 있다"고 덧붙였다.
이어 HP는 충분한 보안조치가 이뤄지기 전까지 웨어러블기기를 자동차나 집과 같이 민감한 영역까지 제어할 수 있도록 권한을 부여해서는 안된다고 조언했다. 이와 함께 공격자가 쉽게 풀어낼 수 없는 강력한 비밀번호를 쓰고, 투팩터 인증 등을 통해 기기 내 중요 데이터를 안전하게 보호하는 방법을 제안했다
