세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
야구 사인 훔치기 악용됐던 핏비트, 개인정보 유출 위험도 있어
  |  입력 : 2017-09-20 10:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
건강 정보 기록·분석하는 웨어러블 기기 핏비트 취약점 발견

[보안뉴스 오다인 기자] 심박수, 칼로리 소모량, 운동량 등을 기록할 때 착용하는 웨어러블 기기 핏비트(Fitbit)가 개인정보 유출 위험이 크다는 연구가 나왔다.

[이미지=iclickart]


15일 영국 에든버러 대학교 연구팀은 핏비트에서 제조한 웨어러블 기기 중 가장 인기 있는 제품인 핏비트원(Fitbit One)과 핏비트플렉스(Fitbit Flex)를 심층 분석했다고 밝혔다. 그 결과, 웨어러블 기기와 클라우드 서버 간 전송되는 메시지를 가로챌 수 있었으며 이에 개인정보 유출 및 프라이버시 침해 우려가 있다고 지적했다.

웨어러블 기기는 사용자 활동 정보를 클라우드 서버로 보내는데, 이후 클라우드 서버에서 정보 분석이 이뤄진다. 따라서 그 정보를 도중에 가로챌 수 있다면 웨어러블 기기 사용자의 개인정보와 건강정보 등을 모두 빼돌릴 수 있는 것이다.

게다가 해당 취약점을 이용해 건강과 관련한 허위 정보를 만들어낼 수도 있는 것으로 나타났다. 이렇게 조작한 정보를 보험회사에 보고하면 원래 지불해야 할 비용보다 더 저렴한 가격으로 보험에 가입할 수도 있다고 연구팀은 경고했다.

보안 업체 시놉시스(Synopsys)의 수석 컨설턴트 댄 라이온(Dan Lyon)은 해외 의료 전문 매체 뉴스메디컬(News Medical)을 통해 “아직까진 물리적으로 접근해야만 이런 공격을 펼칠 수 있지만 신체 활동 정보에 대한 (보안) 중요성이 얼마나 커졌는지를 보여주는 사건”이라고 말했다. 또한, “이런 정보의 금전적인 가치가 향후 훨씬 더 커질 것”이라고도 지적했다. 앞으로는 금전적인 목적에서 개인의 건강 정보를 겨냥한 공격이 훨씬 많아질 것이라는 뜻이다.

에든버러대 연구팀은 핏비트 제품의 시스템 보안 장치인 종단간 암호화(end-to-end encryption) 역시 우회할 수 있었다고 밝혔다. 이 연구팀은 기기를 분해하고 메모리에 저장된 정보를 수정한 결과, 암호화 시스템을 피해 저장된 정보에 접근할 수 있었다고 설명했다.
취약점 발견 후 핏비트는 소프트웨어 패치를 개발했다고 밝혔다. 연구팀의 폴 파트로스(Paul Patros) 박사는 “핏비트가 취약점을 보고받은 뒤 전문가다운 태도를 보여줬으며 영향권 안의 서비스를 시기적절하게 개선시켰다는 사실을 높이 평가한다”고 말했다.

한편, 미국 야구팀 보스턴 레드삭스(Red Sox)가 상대팀 뉴욕 양키스(Yankees)의 핏비트 스마트워치를 해킹해서 사인(수신호) 훔치기를 했다는 사실이 드러나면서 파장이 일기도 했다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)