보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

스마트폰 기반의 IoT서비스, 개인정보를 탐하다

2015.10.15

20,134

 

 

 

1. 스마트폰 기반의 사물인터넷 서비스

스마트폰을 이용한 사물인터넷 서비스가 활성화되고 있다. 이 서비스들은 사물인터넷의 특징인 디지털과 아날로그, 즉 온·오프라인 경계를 허무는 O2O(Online to Offline)서비스를 이용한 오프라인 인터넷 플랫폼 사업 방식을 이용한다. 이 때, 클라우드 컴퓨팅이나 빅데이터는 백엔드(back-end, 특정 프로세스의 마지막 단계)에서 다양한 O2O 서비스를 지원하는 인프라가 되며, 이를 다른 말로 하면 ‘오프라인 인터넷’이라고 할 수 있다. 제레미 리프킨*이 최근 사물인터넷을 공유경제와 엮어 ‘비즈니스 혁신 인프라’로 해석한 시각이 있으며, 이 일례로 국내〮외 스마트폰을 이용한 사물인터넷 서비스 활용 사례를 살펴 보겠다.


*제레미 리프킨(Jeremy Rifikin): ‘미국 펜실베니아 대학교 교수를 역임하고 현재 경제동향연구재단 이사장을 맡고 있는, 경제학자, 한계비용 제로 사회’의 저자.


1) UBER –데이터 기반 서비스 사업의 혁신
무려 40조 원의 기업 평가액을 기록하며 화제가 된 기업 우버(UBER)의 성공 비결은 ‘공유 택시 기업’이 아니라 ‘오프라인 인터넷 인프라 구축과 관련 플랫폼 제공 기업’으로 포지셔닝한 것이다. 우버는 신뢰 기반 인터넷 인프라와 동적 가격 결정 체계, 그리고 ‘간편 결제 시스템’으로 대변되는 O2O 전반의 혁신 인프라의 가능성을 보여준다.

 

 

UBER의 서비스 이미지

 

우버에서 ‘서비스 이용자(고객)’와 ‘서비스 제공자(승용차 기사)’는 서로가 서로를 평가하고, 서비스 이용자는 서비스 제공자의 평판을 집단적으로 관리하며, 반대로 서비스 이용자 평가의 신뢰성과 매너 역시 서비스 제공자에 의해 점수 매겨진다. 서비스 가격은 수요·공급의 원칙에 따라 실시간으로 바뀌며 모든 지불과 결제는 즉각적으로 진행된다. 신뢰 기반 ICT 서비스를 제공하는 신규 오프라인 인터넷 플랫폼 사업의 예이다. 시발점이자 모범사례인 우버는 사물인터넷의 핵심이 온·오프라인 연계 기술 보급이 확대되며 나타나는 사업 혁신(business innovation)임을 알려 준다.

 

2) YAP – 비콘 서비스를 활용한 원스탑 커머스 서비스
국내 최초 비콘(Beacon*) 기술에 기반한 O2O(Online to Offline) 커머스 플랫폼 YAP(얍)은 고주파와 블루투스만의 장점을 결합한 독자적인 비콘 기술로 사용자의 정확한 동선에 맞춘 서비스를 제공한다. 위치 기반을 통해 매장 근처에 있거나 방문 시 소비자에게 해당되는 할인혜택 및 행사를 자동으로 알려주고 소비자가 가입한 업체의 멤버십 카드 및 모바일 스탬프 적립 및 할인쿠폰 제공은 물론 상품을 미리 주문하여 픽업, 모바일 결제까지 가능하다. 얍 역시 소비자들에 의한 업체의 리뷰확인을 통해 자신이 이용하고자 하는 업체의 정보를 실시간으로 공유할 수 있다. 정보검색, 쿠폰, 멤버십, 결제까지 한번에 이루어지는 원스탑서비스를 제공하는 이 어플리케이션은 올해 6월 배타버전이 출시된 이후 약 2개월 만에 500만 명이 넘는 회원을 유치하였다. 아래 그래프에서 볼 수 있듯이, 얍을 이용하는 소비자들은 자신의 활동 반경 및 소비패턴과 아주 밀접하게 연결되어 소비의 유형에 구애 받지 않고 더 간편하고 용이한 서비스를 선호하는 것을 확인할 수 있다.

* Beacon : 반경 50~70m 범위 안에 있는 사용자의 위치를 찾아 메시지 전송, 모바일 결제 등을 가능하게 해주는 스마트폰 근거리통신 기술

 

 

2. 스마트폰 기반의 사물인터넷, 과연 좋기만 한 것인가?


사물인터넷에 관련한 ICT 전 영역에서 기술혁신과 일반화의 적용을 일반 개인들이 가장 체감할 때는 스마트폰과 관련된 사물인터넷서비스를 이용하는 순간일 것이다. 스마트폰이라는 사물인터넷 디바이스는 물리적인 현실과 온라인을 활용한 커뮤니티 성격의 가상, 현재 서비스를 이용하고 있는 개인과 같은 서비스를 공유하는 집단의 경계를 허문다. 스마트폰 기반의 사물인터넷 서비스의 수요는 급격히 증가하고 있으며, 아래 그래프에서 확인할 수 있듯이 앞으로도 꾸준할 것으로 예상된다.

 

 

부문별 세계 IoT 시장 전망, Machina

 

스마트폰을 이용한 사물인터넷서비스, 과연 편리하고 개인의 생활을 풍요롭게만 해주는 수단일까?
답은 ‘그렇지 않다’이다. 사물인터넷이 대두되면서 함께 거론되는 주요 이슈 중 하나는 ‘사물인터넷 보안’이다. 초기 사물인터넷 성장 당시에 커넥티드 단말 증가에 초점이 맞춰졌었다면, 최근에는 사물인터넷으로 인한 데이터 생성 규모 확장에 따른 ‘데이터 활용’ 방식에 대한 고민과 그것에 초점을 맞춘 서비스들이 사물인터넷 시장을 선도하고 있다. 위에서 예를 들었던 서비스들 역시 기존에 없었던 새로운 데이터 활용을 통해 인기를 끈 사물인터넷 활용의 성공적인 예이다. 이 서비스들의 성격을 바탕으로하여 스마트폰 기반의 사물인터넷의 위험성을 알아보자.

 


3. 개인정보가 파도 치는 스마트폰


잠금 설정이 되지 않은 스마트폰을 주웠다고 가정해보자. 우리는 그 스마트폰을 통해 그 사람의  얼굴, 연령대, 인맥, 스케줄, 성향, 행동반경 등 거의 모든 ‘개인적인 정보’를 어렵지 않게 습득할 수 있다. 우리는 스마트폰에 자신의 모든 정보를 입력하거나 연동하고 있다. 사물인터넷은 이런 개인들의 정보를 활용하여 1:1 맞춤서비스를 제공할 수 있는 것이다.


그러나, 우리는 이런 서비스를 이용할 때 자신이 얼마나 많은 ‘나의 정보’를 제공하는지, 하나의 서비스를 이용하기 위해 나의 정보가 얼마나 많은 기관에 연계 및 제공되어 이용되고 있는지 쉽게 인지하지 못한다. 

우리는 얍(YAP)같은 서비스를 이용하기 위해 얼만큼의 정보를 서비스사업자에게 제공하게 될까? 비콘기술을 통한 실시간 위치정보를 통한 서비스 이용자의 동선, 쿠폰 및 할인 서비스를 이용하기 위한 소비자의 멤버십 가입업체와 가입정보, 이용한 업체의 지점 및 횟수, 금액 등을 통한 개인의 소비패턴 및 성향, 후기 글에 나타나는 성격과 개인 소장 사진의 공개, 결제를 위한 카드 및 신용정보 등이 있을 것이다. 이는 한 사람의 스마트폰에 설치되어있는 수십 개의 어플리케이션 중 단 하나의 어플리케이션을 이용하기 위한 개인정보이다. 또한 이런 정보는 ‘실시간’으로 수집되며, 서비스 제공업체에 전달되어 서비스개선 및 마케팅 활용 등의 이유로 이용자의 동의 없이 민감한 데이터를 활용하거나 보안사고로 데이터가 유출될 수 있다.

 

 

2013년 상반기 중국내 인기 스마트폰 앱이 획득한 프라이버시 권한, 중국 치후 360 360 인터넷보안센터


스마트폰 속에서 사물인터넷을 활용한 어플리케이션은 당신의 어플리케이션들 중 대다수를 차지하고 있을 것이다. 검색, 게임, SNS, 다이어트 앱 등 수많은 어플리케이션이 당신의 개인정보를 보유하고 있으며, 이용자 중심의 서비스를 제공하기 위해 더 많은 정보를 탐하고 있다.

 


4. 사물인터넷 위협 및 대응 동향


일반 소비자를 대상으로 하는 스마트폰 서비스를 통한 사물인터넷 서비스의 대중화로 업계 및 정부는 사물인터넷 보안위협에 대한 보안강화를 새로운 과제로 삼게 되었다. 데이터를 생성, 보관하고 처리하는 컴퓨팅 기능을 가진 시스템과 이런 기능이 탑재된 사물인터넷 단말은 사이버공격의 표적이 되기 쉬우며, 현재 스마트폰과 같이 사물인터넷 수용을 빠르게 하고 있는 단말은 대체로 컴퓨티 기능이 단순하고 보안성이 취약한 경우가 많기 때문이다. 스마트폰이 여타 정보처리시스템과 달리 더욱 취약한 이유는 아래와 같다.

 

① 고도의 보안솔루션을 도입하기 어렵다.
(보안 HW모튤을 장착하거나 전체 제어 시스템에 보안솔루션을 적용하는 등 별도 노력이 필요)


② 외부에서 해킹 사실을 확인할 수 없다.
(해킹에 노출을 실시간으로 파악하는 솔루션이 보편화 되지 않음)


③ 복잡한 네트워크 구조로 침투 경로가 다양하다.
(통신기술 표준의 미 정립 및 이종네트워크 간 연동 시 일정 보안수준을 유지하기 어려움)


사물인터넷 보안에 대한 새로운 고민으로, 주요 국가들은 사물인터넷 보안 대응방안을 마련하고 있으며, 그 내용은 아래와 같다.

 

 주요국가

 대응 방안

 미국​​

공공-민간 전문가 의견수렴들 통한 사물인터넷 보안정책 수립 초기단계 진입 

 유럽

 권고사항 및 가이드라인 형태의 사물인터넷 보안 지침을 통해 기장 자율규제를 촉구하며, 사물인터넷 보안기술 개발 및 인증, 표준화 작업에 초점

 중국

 사물인터넷 발전 10개 전문 행동계획을 수립하고, 핵심 보안기술 개발 및 보안 테스트 평가 픔랫폼 구축 추진 중

 한국

 사물인터넷 정보보호 로드맵(2014.10) 정책을 발표하고, 미래창조과학부에서 사물인터넷 보안 전략을 세움

 


타국가에 비해 사물인터넷 보안에 선행 대응을 안 한국의 보안전략은 다음과 같다.

 

 전략

내용 

 보안 내재화된 기반 확립

(Security Native)

ㆍ사물인터넷 사업을 7개 분야로 규정하고 각 산업에 대해 공통적인 보안원칙을 수립하는 한편, 분야별 세부 보안 고려사항을 개발하여 업계의 수용을 유도
ㆍ1단계 보안내재화 15년부터 추진(홈/가전, 의료, 교통), 16년부터 나머지 사업
ㆍ민관 합동기구인 ’사물인터넷 보안 협의체’ 구성 및 운영
ㆍ국가 차원의 사물인터넷 보안 취약점 관리
ㆍ사물 인터넷 보안 인증제도를 도입하고 민간 주도의 인증시스템 운영​ 

 보안 선도기술 개발

(Security Frontier)

ㆍ단말, 네트워크, 플랫폼/서비스 3계층 별 3개 씩 핵심 원천기술 개발
ㆍ기술연구를 통한 7개 사물인터넷 분야 실증사업을 추진하고 R&D결과물에 대한 시험, 검증
ㆍ미국, 유럽 등의 국가와 국제 협력을 통한 R&D 역량강화 및 확보한 원천기술의 표준화 추진​ 

 보안 산업경쟁력 강화

(Security Premier)

ㆍ사물인터넷 보안 우수기업 발굴 위한 중소벤처 창업 및 육성지원, 사물인터넷 융합보안 실증사업 추진
ㆍ사물인터넷 보안취약점 신고 포상제
ㆍ사물인터넷 보안 교육​ 

 


5. 맺음말


스마트폰을 통한 사물인터넷 서비스는 우리의 삶을 무한히 풍요롭게 할 수 있지만, 아직까지는 그에 정비례하는 위험이 있다. 사물인터넷의 보안 위협의 파급 효과는 거대하지만, 정부와 업계의 노력으로 앞으로 우리의 삶은 더욱 윤택해질 수 있을 것이다. 그러나 ‘개인’소유 단위의 기기와 정보는 타인이 관리해주는데 한계가 있다. 우리는 개인단위로 스마트폰에 MDM(Mobile Device management)이나 MAM(Mobile Application Management)같은 솔루션을 설치할 수 없다. 따라서 사물인터넷 서비스를 이용할 경우 자신에게 맞는 서비스인지, 어느 수준의 정보를 공개할 의사가 있는지 고심한 뒤 이용하고, 이용 중간마다 자신의 기기와 정보를 스스로 관리할 수 있도록 해야 할 것이다.

 


참고 문헌
사물인터넷 보안 위협 동향 / IT업계의 사물인터넷 데이터 활용 동향 – KISA(한국인터넷진흥원)
IoT 현황 및 주요 이슈 – IITP(정보통신기술진흥센터)
사물인터넷(IoT) 정보보호 3개년 시행계획 / 사물인터넷(IoT) 정보보호 로드맵 – 미래창조과학부
사물인터넷(IoT)을 말한다_①무엇을 위한 사물인터넷인가? – SMASUNG TOMORROW 전문가칼럼(정지훈 경희사이버대 모바일융합학과 교수)
http://www.calcutta.co.kr – App Column
中 스마트폰 이용자 ‘사진·동영상 유출’ 가장 우려 – 보안뉴스 온기홍 특파원
사물인터넷 – 두산백과​