웨어러블 디바이스의 보안 문제

웨어러블 디바이스 시대

 웨어러블 디바이스 시장은 삼성전자, 애플, 구글 LG, 소니, 모베아, 가르민, 페블, 마샨, 넵퓬, 퀄콤 등의 다수 기업뿐만 아니라 나이키, 아디다스와 같은 스포츠 용품 업체들까지 다양한 영역에서 제품들이 출시되고 있다. 스마트폰 광풍 이후의 차세대 스마트 디바이스로써 사업자들에게 새로운 사업기회 영역으로 각광받고 있다. 가볍고 사용이 용이한 디바이스 및 기술들의 등장과 함께 시장규모 확대로 가격 하락과 수집된 데이터의 기계학습(Machine Learning) 등의 실시간 분석 기술의 발달로 더욱 활성화 되었다.

 

웨어러블에 장착된 센서

• 행동(Behavioral) 영역
  - IMU(Inertial Measurement Unit) 센서
  - BLE 센서
  - 압력 센서
• 생리(Physiological) 영역
  - 심장박동(PPF(Photoelectric pulse PlethysmoGraph) 센서
  - Piezo-resistive 센서
  - Skin Temperature 센서
  - GSR(Galvance Skin Resistance) 센서
  - 호흡수 센서
• 인식(Cognitive) 영역
  - 시선추적(Eye Tracking) 센서
  - 뇌파(ElectroEncephaloGra-m, EEG) 센서

웨어러블 디바이스 활용 분야

• 의료용
  - 임신 준비에 도움을 주는 디바이스: 'Ovula Ring'
  - 바이탈 커넥스타에서 개발한 바이어 센서로 환자의 심박 수, 호흡 수, 피부 온도 및 신체 자세를 측정 및 추적하는 디바이스: 'HealthPatch MD'
  - 애보트사의 당뇨방환자용 디바이스: 'FreeStyle Libre Flach Glucose Monitoring System'
  - 메드 트로닉사의 인슐린 분배 기기: 'MniMed 530G System with Enlite Sensor'
• 운동과 건강관리용
  - 수면시간을 측정: 'Pebble Time'
  - 심박동수를 측정: 'Fitbit Charge'
  - 스트레스 정도를 확인: 'PIP', 'Fitbit Aria 2'
• 군사용
  - 응답시간을 향상해 주는 기기: 'DARPA blast gauge', 'EFVS(Enhanced flight vision system)
  - 미장착시 쉽게 이착률할 수 있도록 도와주는 기기: 'ClearVision Enhanced Vision System'
  - 전투 상황 시뮬레이션 기기: 'Augmented Immersive Team Training(AITT)'
  - 홍채 스캐너를 통해 사람의 정보를 수집하는 기기: 'Iris Tracker'
• 안전, 보안 분야
  - 영유아의 호흡이나 수면 시간 등을 모니터링 하는 기기: 'Mimo Smart Baby Monitor'
  - 긴급 상황 발생 시 도움을 청할 수 있는 기기: 'V.ALRT VSN400 Personal Emergency Response Device'
  - 범죄 가해자를 모니터링하는 기기: 'Defender 24/7'
  - 소형 블루투스 추적기: 'Tile'
• 보험 영역
  - Oscar NY의 기기: Misfhnit(Flash)
  - John Hancock의 기기: Fitbit
  - UnitedHealthcare의 기기: Fitbit Vitality Health, Aetna Cigna

웨어러블 디바이스 보안 이슈

• H/W 측면
  - 웨어러블 디바이스를 착용하거나 사용자의 몸에 부착하므로 개인정보에 물리적인 접근이 보다 용이하다는 보안 취약점이 있다.
  - 디바이스 오작동 시 신체에 물리적인 피해가 가해질 수 있고 보호되지 않은 펌웨어를 사용하거나 패치되지 않는 시스템 OS를 사용할 경우 수집되는 정보가 공격자에게 유출될 가능성이 있다.
  - 웨어러블 디바이스 특성상 연산 능력과 저장능력, 통신 능력 등에 있어 기존의 암호 기법을 그대로 사용하기에 한계가 존재하여 디바이스 자체에 취약성이 크다.
• S/W 측면
  - 웨어러블 디바이스에 들어가는 OS의 경우 경량화와 저전력이므로 최소한의 기능을 올리는 것이 대부분이므로 외부의 공격에 보다 취약하며 공격을 받을 시, 개인정보들이 악용되거나 디바이스의 오작동을 일으킬 수 있다.
• N/W 측면
  - 웨어러블 디바이스와 모바일 디바이스 간에 BLE(Bluetooth Low Energy)를 이용함으로 무선 통신의 특징인 패킷 캡처가 용이하며 데이터 송수신시 암호/복호화에 최소 56bit의 키를 사용함으로 캡처된 패킷 내부의 암호문(ciphet text)이 공격자에 의해 복호화될 수 있다.
  - 대규모 디바이스에 악성코드를 감염시켜 트래픽이 폭주할 가능성이 존재한다. 이로 인해 DDoS공격에 가담될 가능성이 높아 주의가 요구된다.
• Data 측면
  - 웨어러블 디바이스는 사용자의 다양한 개인정보를 수집 및 저장하는 동시에 민감한 정보를 다루므로 웨어러블 디바이스가 공격의 타깃이 되기 쉽다.
  - 보안 정책이 취약한 디바이스의 경우 데이터 기밀성이 깨질 위험성이 존재한다.
  - 디바이스에서 생성한 정보들은 스마트 폰의 앱(APP)에 저장되는데, 서드 파티 등 외부에서 제공되는 앱을 사용하는 경우, 사용자의 개인 정보 유출에 관련한 정책이 미흡하여 개인 정보유출의 위험이 존재한다.
• 그 외
  - 웨어러블 디바이스는 최소기능의 임베디드 OS를 사용하므로 보안 기능이 더욱 취약하다. 통신은 주로 블루투스 페어링을 사용하는데 유추 가능한 초기비밀번호도 취약점 중의 하나이다.
  - 추가적인 중요 문제점은 프라이버시 침해의 위험성을 내포하고 있다는 것이다.
  - 운동을 할 때 신발이나 스마트워치를 해킹하여 위치를 파악하여 범죄를 저지르는 사례도 있다.
  - 악성코드인 랜섬웨어 또한 애플워치, 안드로이드웨어 등, 안드로이드 심플로커(Android Simplocker)에 감염된 스마트폰을 사용할 경우 연동된 스마트워치에 랜섬웨어가 푸시되고 쉽게 감염되기도 한다.

웨어러블 기기: 지능형, 예측형 보안 기술 필요

정찰, 준비, 표적화, 재접속, 데이터 수집, 유지의 사이버 공격의 각 단계마다 위협 요인이 존재한다. 통합되고 중앙 집중화된 보안 관리 기능을 제공하고 광범위한 위협을 다방면으로 분석하여 보안 위협을 예측하고 대응 방안을 제시하는 보안 인텔리전스 서비스 제공이 필요하다. 또한 예측형 보안 기능을 제공하고 빅데이터 기술을 활용하여 새로운 개념의 사이버 특성인자 모델 정립이 필요하고 보안에 특화된 분석 방법론이 필요하다. 웨어러블 디바이스가 단순한 만보기, 피트니스와 라이프로그 등의 기능뿐 아니라, 지속적인 사용을 위해 사용자가 만족하고 사용할 수 있는 다양한 콘텐츠 차별화가 필요하며 향후 지능화되고 더욱 다양한 형태의 온˙오프라인 디지털 범죄에 대한 준비가 필요하다.

• 정보보안 강화를 위한 예방 방법
  - 인증방식에 대한 보완과 데이터 암호화를 통한 디바이스간의 데이터 송수신의 보안
  - 시큐어코딩으로 펌웨어에 대한 보안
  - 예측형 보안기술: 다양한 소스의 대용량 데이터를 분석할 수 있는 전용 보안 분석 기술
• 보안기법
  - 응용프로그램 암호화
  - 난독화 기법(버스마크기법)
  - 권한 세분화 기법
  - 권한 상승 공격에 대한 대응(Felt 제안 기업)