스마트폰의 수요가 폭발적으로 증가하면서 다양한 웨어러블 디바이스들의 수요 역시 함께 증가하고 있습니다. 그리고 이 웨어러블 디바이스 시장을 주도하는 기기가 바로 ‘스마트 워치 ’입니다.
스마트 워치는 기본적으로 스마트폰과 연동되어 사용되고 있습니다. 따라서 스마트폰에 관련 App을 설치해야만 사용할 수 있습니다.
최근에는 시계 본연의 기능에 충실하면서도 개인의 건강과 운동 관련 정보를 기록하여 분석해주는 헬스케어 기능, 차량렌탈 서비스, 운동경기 결과 실시간 확인, 집안 또는 차량의 보안상태 확인 등 다양한 서비스 APP 생태계가 확대되고 있으며 이에 따라 스마트 워치는 이 다양한 기기와 서비스들의 허브 역할을 수행할 것으로 기대되고 있습니다.
스마트 워치를 찾는 이들은 날이 갈수록 늘어가고 있지만 이와는 반대로 스마트 워치의 보안성은 상당히 허술하게 돌아가고 있어 많은 문제가 되고 있습니다.
많은 사용자는 스마트 워치에 직접 저장된 데이트가 적기 때문에 그 해킹의 피해 역시 과소평가하는 경향이 있습니다. 하지만, 위에서도 말씀드렸던 것처럼 스마트 워치는 휴대폰과 APP을 통해 작동하게 됩니다. 즉, 스마트워치와 스마트폰이 서로 APP을 이용해 통신할 때 이를 이용해 연락처 정보를 빼내거나 멀웨어를 설치할 수 있는 것입니다.
HP는 10종의 인기 스마트워치를 테스트한 후, 모든 제품에서 중대한 보안 문제를 발견했다고 밝히기도 했습니다. 이 발표 내용에 따르면 절반가량의 제품에 비밀번호나 잠금 기능이 없었고, 누구나 시계를 입수하면 데이터에 접속할 수 있었다고 밝혔죠. 또한, 보안 업그레이드, 인증, 암호화가 취약한 제품 역시 많았으며, 연결된 앱에서도 개인정보가 침해될 수 있는 보안 문제가 존재했다고 밝혔습니다.
운영체제별 보안 이슈
자, 그럼 왜 이런 보안에 취약하다는 이야기들이 흘러나오고 있는 것일까요?
가장 대표적인 이유로는 스마트 워치가 작동하는 ‘운영체제’에 있습니다.
안드로이드 기반으로 작동하는 스마트 워치의 경우 기존 안드로이드 스마트폰에 대한 악의적인 접근 및 해킹 등에 취약할 수밖에 없습니다. 즉, 플랫폼의 소스가 공개되어 있기에 APP 개발 시 다양한 응용 프로그램을 개발할 수 있는 환경을 제공하지만, 소프트웨어의 취약점이 쉽게 노출될 수밖에 없기 때문에 다양한 공격들로 인해 보안이 무력화될 수 있습니다.
또한, 자바 가상 머신(JAVA Virtual Machine, JVM) 에서 실행되는 안드로이드 앱은 바이트 코드(Byte code)로 이루어져 있는데, 이는 역컴파일이 쉽게 이루어지기 때문에, 악의적인 목적을 가진 해커들이 앱을 리패키징하여 위/변조를 할 가능성 역시 가지고 있고, 시스템 전체를 분석하여 결제 우회 방법과 취약점을 알아내어 다양한 공격 역시 가능하게 합니다.
이 외에도 안드로이드의 가장 흔하고도 무서운 보안 취약점은 바로 ‘루팅(Rooting)’입니다. 이는 iOS 기반 기기의 탈옥(Jailbreak)와 비슷한 개념으로, 사용자가 운영체제의 루트 권한을 얻어내는 것을 말합니다.
이러한 루팅은 해커가 아닌 기기를 이용하는 사용자가 자발적으로 행하는 경우가 많습니다. 바로 보다 ‘다양한 기능을 사용하기 위해서’ 인데요, 하지만 이를 노린 해커들이 사용자가 의도치 않게 과금을 하게 만들거나 개인정보를 빼내는 등의 심각한 문제를 야기시키고 있습니다.
또한, 사용자의 기기를 해커가 자신의 지배하에 두어 DDoS(distribution Denial of Service) 공격 등에 활용하기도 합니다.
iOS 기반의 애플워치 역시 마찬가지입니다.
iOS 기반의 기기들은 안드로이드에 비해 비교적 안전하다는 평가를 받고 있습니다. 이는 iOS에서 응용프로그램 계층의 모든 활동이 샌드박스(Sandbox) 상에서 실행되기 때문입니다. 샌드박스란 응용프로그램이 시스템의 리소스나 메모리에 접근하지 못하게 하거나, 다른 프로세스의 데이터에 접근하지 못하게 하는 환경을 말하는데, 이는 응용프로그램이 홈 디렉토리 외의 경로에 접근하는 것을 원천적으로 차단하고, 카메라, GPS 등의 하드웨어 리소스를 사용할 수 있도록 인터페이스 클래스를 제공합니다. 하지만 이 덕분에 폐쇄적이라는 비판을 받기도 합니다.
하지만 이런 안전한 보안도 탈옥(Jailbreak) 앞에서는 무력화됩니다. 안드로이드를 사용하는 일부 사용자들처럼 iOS 기반의 기기를 사용하는 사람들 역시 ‘보다 편리하게 사용하고 싶어서’라는 이유로 휴대폰의 권한을 임의로 탈취하는 탈옥을 하곤 합니다. 하지만 이 탈옥하는 순간 다양한 악성코드 및 해커들이 스마트폰 및 스마트 워치로 들어오는 문을 열어주게 되며 이를 통해 개인정보를 빼가는 등의 해킹을 당할 수 있게 되죠.
무선 통신의 보안 이슈
앞서 말씀드린 것처럼 스마트 워치가 작동하기 위해서는 스마트폰의 ‘APP’과 연결하여 구동하게 되는데 이때 연결하기 위해 사용되는 기술이 바로 Bluetooth와 무선 WIFI입니다. 최근에는 이 외에도 셀룰러 연결성을 자체적으로 내장하여 GPS 위치 및 기타 데이터를 제공하는 스마트 워치도 있죠.
해커들은 바로 이 점을 노리게 되는데요, 이 무선 통신의 취약점을 이용하여 공격하는 것입니다. 만약 이때 휴대폰이 기업의 디렉토리 및 기타 기업 데이터에 연결되어 있다면 기업의 데이터가 해킹될 가능성 역시 분명 가지고 있답니다.
스마트 워치 해킹 대응방법은?
가장 중요한 부분은 바로 데이터 송수신의 보안, 즉 데이터 암호화를 실행해야 합니다.
앞서 말씀드렸던 것처럼 스마트 워치는 스마트폰과 통신을 통해 데이터를 가져와 동작하게 되며, 해커들은 이 통신하는 부분을 공격하여 정보를 탈취하게 되죠. 따라서 이를 막기 위해서는 데이터를 암호화하여 확실하게 보호해야만 해커들의 공격에서 벗어날 수 있답니다. 모든 보안이 그러하듯 가장 손쉽고도 확실한 방법은 바로 ‘암호화’랍니다.
두 번째는 스마트워치와 통신하는 APP을 보호해야 합니다.
이 역시도 가장 위에서 말씀드렸던 부분인데요. 스마트워치와 스마트폰 혹은 기타 기기와 통신을 이루어주는 것이 바로 APP입니다. 아무리 데이터를 암호화하여 보호한다 한들 가장 기본인 APP을 보호하지 않는다면 해킹에 취약해질 수밖에 없답니다.
마지막으로 지속적인 보안 업데이트가 필요합니다.
해킹방법은 날이 갈수록 진화하고 있으며 그 모양 역시 다양해지고 있습니다. 특히 요즘에는 단 한 번에 해킹을 이루어주는 ‘해킹 툴’까지 등장하고 있어 스마트 워치 외에도 모든 보안이 취약해지고 있는 상황이죠. 따라서 지속적인 보안 업데이트를 통해 날로 모습을 바꿔 가는 해킹에 대응해야만 합니다.