보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

비콘을 활용한 스마트 기술과 보안위협

2018.04.04

24,034

 

 

서비스사업본부 보안분석팀 김수미

 

 

1. 개요

 

거리를 걷다가 좋아하는 브랜드 매장을 지나칠 때면 그 매장의 혜택정보가 스마트폰 알람을 통해 들어온다 던가 모바일을 통해 커피주문을 하면 카운터에서 기다릴 필요 없이 바로 픽업할 수 있는 서비스를 한번쯤은 이용해 본적이 있을 것이다. 이용자가 소지한 모바일 기기를 온라인과 오프라인을 연결하는 O2O(Online To Offline) 서비스를 통해 각종 쇼핑/이벤트 정보, 할인 쿠폰 등을 제공하여 오프라인 매장의 매출 향상을 도모하려는 기업들이 늘어나고 있다. 스마트폰 보급 초기에는 NFC가 핵심기술로 주목 받았지만 접촉식으로 통신거리가 짧다는 단점이 존재했다. 비콘(Beacon)은 근거리에 있는 모바일 기기를 인식하여 데이터를 전송할 수 있는 무선 통신 장치로 NFC를 대체할 차세대 기술로 주목 받았다. 다른 말로는 블루투스 비콘(Bluetooth Beacon)이라고도 불리며 근거리 무선 통신인 NFC가 10cm 이내의 거리에서만 사용할 수 있다면 비콘은 최대 70m 거리에서까지 동작이 가능하다. 

 

블루투스라 이름 붙여진 근거리 무선 통신기술은 1989년 Ericsson Mobile의 CTO인 Dr. Nils Rydbeck과 Dr. Johan Ullman에 의해 개발되었으며 현재 5.0 버전까지 발전되어 왔다. 비콘은 블루투스(4.0LE 이상)를 기반으로 한 기술이며 스마트폰의 배터리를 많이 소모하지 않으면서도 GPS 기술로 파악이 어려운 정밀한 실내 위치 정보 등을 쉽게 알 수 있는 장점이 존재한다. 2013년을 기점으로 빠르게 성장한 비콘 서비스는 기존 상품홍보를 위한 마케팅을 시작으로 현재는 스마트홈(IoT), 입출입(출결)관리, 미아방지, 반려동물, 여권 분실 등 위치를 기반으로 제공될 수 있는 모든 서비스에 사용되고 있다.

 


 

[그림 1] 빠르게 성장하는 글로벌 비콘 기반 서비스 (자료 : 한국과학기술정보연구원(KISTI))

 

 

2. 근거리 무선 통신 기술 비교

 

비콘은 블루투스, NFC와 달리 페어링과 태깅을 하는 사용자의 수동적인 작업이 필요 없으며 최대 70m의 넓은 범위로 서비스가 가능하다는 뛰어난 장점이 있다. 특히 기존의 위치 정보는 GPS나 Wi-Fi를 통해 서비스를 제공했으나 구체적인 위치 정보 파악이 불가능했다. 그러나 BLE를 활용한 비콘 기술은 사용자가 단말기로부터 얼마나 떨어져 있는지 정확히 어디에 있는지까지 파악이 가능하다. 대표적으로 애플에서 서비스하는 iBeacon은 5cm가량의 좁은 거리까지 식별이 가능한 것으로 알려져 있다.

 

 

구분

Bluetooth

NFC

BLE Beacon

범위

~ 10m

10cm 내외

~ 70m

운영 체제

블루투스 버전마다 상이

Android 4.0이상, Window Phone 8, Blackberry X

Android 4.3이상, iOS 7

기반 기술

주파수 호핑 방식

1940년대 RFID1) 기술

블루투스 4.0LE 기술

보안

버전이 높아질수록
보안성 향상

보안/비보안 데이터 통신 세션 지원, 보안 세션은 비접촉 카드를 위해 개발됨

단방향 통신으로
내재적 보안 위협은 없음

비콘 복제, 서버 해킹 우려

동작

페어링 필요

태깅 필요

자동

토폴로지

1:N

1:1

1:N, N:N

전력 소모

모바일 기기 전력 사용

모바일 기기 전력 사용

동전 모양 전지로
최장 2년 사용 가능

 

[표 1] 근거리 무선 통신 기술 비교 

 

 

3. 비콘을 이용한 서비스 유형

 

비콘을 이용한 서비스 유형은 크게 5가지로 분류할 수 있다. 마케팅, 트래킹, 정보, 자동화, 결제 서비스이다. 비콘 성장 초기에는 쿠폰, 광고 등 마케팅에 많이 활용되었지만 현재는 입/출입 및 출결시스템, 지갑/여권 분실, 관광/의료/종교, 안심서비스 등 다양한 방면에 사용되고 있다. 

 

 

[그림 2] 비콘 서비스 유형

 

 

국내 편의점, 카페, 은행, 극장, 약국 등 강남 일대에만 2,000개 이상의 비콘이 설치, 보급화되어 있으며 최근에는 이런 마케팅 측면이 아닌 공공서비스 분야에서도 많이 활용되고 있다. 강남구는 보행로에 비콘 센서를 설치하고 스마트폰 앱을 통해 시각장애인이 음성정보를 통한 정확한 위치와 주변시설 정보를 제공받을 수 있는 ‘無장애길’ 사업을 추진 중이며 부산시 지하철에는 임산부를 위한 ‘핑크라이트’ 캠페인을 진행하고 있다. 임산부가 열쇠고리 모양의 비콘을 소지하고 전동차에 타면 임산부 배려석 옆 수신기가 핑크색 불빛을 깜빡여 임산부의 존재를 알리는 방식이다. 또 강동구에서는 공중화장실, 공원, 공영주차장에 비콘을 설치하여 위급상황 시 스마트폰을 흔들면 경찰청과 입력해둔 보호자의 전화번호로 위치가 전송되는 안심서비스를 제공하고 있다. 

 

 

 

[그림 3] 공공서비스 분야 비콘 활용 예시 (출처: 부산시, 휴먼케어, 강동구청)

 

 

4. 비콘의 동작 원리

 

그 동안 방문객이나 외주인력의 출입관리 및 물리적 보안을 위해 신분증을 안내데스크에 맡기고 출입증을 받아 스마트폰 카메라에 보안스티커를 붙이는 방식을 택해왔다. 하지만 스티커로는 카메라 외 마이크, 테더링, USB, 블루투스, 화면캡처, 외장메모리 등을 사용하는 악의적인 행위는 대응할 수 없기 때문에 내부정보 유출의 위험성이 존재한다. 따라서 보안효과 증대를 위한 MDM2) 솔루션을 사용하는 기관 및 기업들이 늘어나기 시작했다. 

 

 

 

[그림 4] 하드웨어 기능 통제 가능 항목

 

 

다음은 MDM 솔루션을 통한 출입관리 프로세스를 예로 들어 비콘의 동작원리를 설명한 것이다. 외부출입자가 사전에 방문신청을 하고 관리자가 방문신청을 승인하면 단말기 등록 서버에서는 MDM 클라이언트 앱을 다운로드 할 수 있는 URL을 SMS로 사용자에게 전송한다. 사용자는 해당 앱을 설치하여 인증을 완료한다.

 

 

 

[그림 5] 비콘을 이용한 출입관리 프로세스 (1)

 

 

앱을 설치한 사용자가 스피드게이트를 지나가면 주변에 있는 비콘이 반경 70m 안에 등록된 단말기의 신호를 잡아 MDM 정책 서버의 정책을 단말기로 내려 받는다. 기업에서는 내부 규정에 따라 스마트폰 하드웨어 기능들 중 선택적으로 제어할 수 있다. 안드로이드는 대부분의 하드웨어 기능이 제어가 되지만 iOS는 애플 정책상 일부 기능만 제어가 가능하다. ( iOS 버전에 따라 상이)

 

 

 

[그림 6] 비콘을 이용한 출입관리 프로세스 (2)

 

 

5. 보안 위협

 

비콘 기술은 IoT 서비스와 접목하여 다양한 분야에서 위치 기반 서비스를 제공하며 사용의 편리함을 강점으로 대중화되고 있지만 기술 시장이 더 성장하기 위해선 개선되어야 할 문제점들도 존재한다. 문제점은 크게 개인정보보호와 기술적 보안 위협으로 나누어 볼 수 있다.

 

기술적 보안 위협의 첫 번째는 비콘 관리 서버의 해킹이다. 사용자의 개인정보가 담겨있는 서버일 경우 개인정보유출로 인한 2차적인 피해까지 발생할 수 있다. 또한 마케팅 서버일 경우 관련된 공격으로 쿠싱(Cushing)이 존재한다. 쿠싱은 쿠폰(Coupon)과 피싱(Phishing)의 합성어로 해커가 비콘 관리 서버를 해킹하여 악성코드를 삽입 하면 사용자가 비콘이 동작할 수 있는 구역을 지나갈 때 감염된 비콘 서버에서 사용자 스마트폰에 정보나 쿠폰에 악성코드를 같이 보내는 공격이다. 비콘 특성상 넓은 반경과 별도의 인증 없이 연결이 되기 때문에 핀테크와 같은 결제서비스를 사용할 경우 위험도가 더욱 높아질 것으로 예상된다.

 

두 번째는 비콘 자체의 보안성이다. 비콘은 공개된 위치에 존재하고 128비트의 보편적인 고유 식별자인 UUID의 사용 및 주번호와 부번호를 이용하여 브로드캐스팅 하므로 해당 비콘을 복제하거나 패킷조작을 통한 클로닝(Cloning) , 스푸핑(Spoofing)의 위험성도 제기되고 있다. 

 

비콘은 사생활 침해와 개인정보유출 논란이 끊이지 않고 있다. 한 기업에서 MDM 솔루션 설치를 강제로 권유하고 있어 이슈가 된 적이 있다. 사내보안을 위해 개발했다고 하지만 통화기록, 메시지, 개인위치, 인터넷 열람기록 등 필요이상의 광범위한 접근권한을 요구하고 있었다. 회사가 마음만 먹으면 스마트폰에 있는 모든 자료를 수집할 수 있고 사생활 침해가 가능하다는 얘기이다. 개인정보처리방침도 ‘수집된 개인정보의 보유기간은 계정등록 하신 후 해지(탈퇴신청 등)시까지’ 라는 내용으로 허술하다.

 

 

 

[그림 7] 필요이상의 권한을 요구하는 사내 보안 앱

 

 

6. 마무리

 

금번 기고를 통해 비콘과 비콘에서 발생할 수 있는 보안위협에 대해 알아 보았다. 비콘은 그 기술적 특성상 공개된 위치에서 광범위한 신호를 발생시키기 때문에 복제나 스푸핑의 위험으로부터 벗어나기 어렵다. 이에 대응하기 위한 방안으로 암호화나 브로드캐스팅 되는 UUID를 포함하는 패킷을 시간 주기로 랜덤으로 생성하는 안티-스푸핑 방안들이 제시되고 있다. 

 

또 하나의 해결할 숙제는 개인정보보호이다. 개인정보수집에 대한 논란은 비콘이 활성화 되기 초창기부터 끊임없이 공론화 되고 있다. 개인의 위치정보 수집에 대한 사용자 알림 및 약관 동의 절차를 앱 단에서 수집하고 있지만 약관에 대한 내용에 모두 동의하지 않으면 앱을 설치할 수 없는 구조로 되어 있다. 사용자가 원하지 않을 경우 위치정보 및 개인정보를 수집하지 않도록 선택적 동의가 필요하다. 필요이상의 사용자 정보수집에 대한 정확한 법적인 규제가 필요하며 서비스 사업자는 해당 가이드라인을 준수해야 할 것이다. 

 

 

 

1) RFID(Radio-Frequency Identification): 주파수를 이용해 ID를 식별하는 SYSTEM으로 일명 전자태그로 불림. RFID 기술이란 전파를 이용해 먼 거리에서 정보를 인식하는 기술

2) MDM(Moible Device Management): 스마트폰, 태블릿과 같은 모바일 기기를 보호, 관리, 감시, 지원하는 솔루션