세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
야구 사인 훔치기 악용됐던 핏비트, 개인정보 유출 위험도 있어
  |  입력 : 2017-09-20 10:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
건강 정보 기록·분석하는 웨어러블 기기 핏비트 취약점 발견

[보안뉴스 오다인 기자] 심박수, 칼로리 소모량, 운동량 등을 기록할 때 착용하는 웨어러블 기기 핏비트(Fitbit)가 개인정보 유출 위험이 크다는 연구가 나왔다.

[이미지=iclickart]


15일 영국 에든버러 대학교 연구팀은 핏비트에서 제조한 웨어러블 기기 중 가장 인기 있는 제품인 핏비트원(Fitbit One)과 핏비트플렉스(Fitbit Flex)를 심층 분석했다고 밝혔다. 그 결과, 웨어러블 기기와 클라우드 서버 간 전송되는 메시지를 가로챌 수 있었으며 이에 개인정보 유출 및 프라이버시 침해 우려가 있다고 지적했다.

웨어러블 기기는 사용자 활동 정보를 클라우드 서버로 보내는데, 이후 클라우드 서버에서 정보 분석이 이뤄진다. 따라서 그 정보를 도중에 가로챌 수 있다면 웨어러블 기기 사용자의 개인정보와 건강정보 등을 모두 빼돌릴 수 있는 것이다.

게다가 해당 취약점을 이용해 건강과 관련한 허위 정보를 만들어낼 수도 있는 것으로 나타났다. 이렇게 조작한 정보를 보험회사에 보고하면 원래 지불해야 할 비용보다 더 저렴한 가격으로 보험에 가입할 수도 있다고 연구팀은 경고했다.

보안 업체 시놉시스(Synopsys)의 수석 컨설턴트 댄 라이온(Dan Lyon)은 해외 의료 전문 매체 뉴스메디컬(News Medical)을 통해 “아직까진 물리적으로 접근해야만 이런 공격을 펼칠 수 있지만 신체 활동 정보에 대한 (보안) 중요성이 얼마나 커졌는지를 보여주는 사건”이라고 말했다. 또한, “이런 정보의 금전적인 가치가 향후 훨씬 더 커질 것”이라고도 지적했다. 앞으로는 금전적인 목적에서 개인의 건강 정보를 겨냥한 공격이 훨씬 많아질 것이라는 뜻이다.

에든버러대 연구팀은 핏비트 제품의 시스템 보안 장치인 종단간 암호화(end-to-end encryption) 역시 우회할 수 있었다고 밝혔다. 이 연구팀은 기기를 분해하고 메모리에 저장된 정보를 수정한 결과, 암호화 시스템을 피해 저장된 정보에 접근할 수 있었다고 설명했다.
취약점 발견 후 핏비트는 소프트웨어 패치를 개발했다고 밝혔다. 연구팀의 폴 파트로스(Paul Patros) 박사는 “핏비트가 취약점을 보고받은 뒤 전문가다운 태도를 보여줬으며 영향권 안의 서비스를 시기적절하게 개선시켰다는 사실을 높이 평가한다”고 말했다.

한편, 미국 야구팀 보스턴 레드삭스(Red Sox)가 상대팀 뉴욕 양키스(Yankees)의 핏비트 스마트워치를 해킹해서 사인(수신호) 훔치기를 했다는 사실이 드러나면서 파장이 일기도 했다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)