.gif)
주변 환경의 밝기에 따라 화면 밝기를 자동으로 조절해 주는 조도 센서 기능이 프라이버시를 위협할 수 있다는 연구 결과가 나왔다. 실질적인 위협이 되는 건 아닌, 실험실 연구 결과이긴 하지만 의미가 없지는 않다.
[보안뉴스 = 네이선 에디 IT 칼럼니스트] 최신 스마트폰들에 대부분 탑재되어 있는 주변 환경 조도 센서가 사이버 공격에 활용될 수 있다는 연구 보고서가 나왔다. MIT의 연구원들이 실제 실험을 통해 증명해낸 것으로, 경우에 따라 심각한 프라이버시 침해를 초래할 수 있다고도 한다.
[이미지 = gettyimagesbank]
연구원들은 실험을 위해 먼저 이미징 알고리즘을 하나 개발했다. 조도 센서들이 사용자의 제스처를 기록하고 있다는 사실을 보여주기 위해서였다. ‘제스처 기록’은 조도 센서의 잘 알려지지 않은 기능 중 하나라고 연구원들은 짚었다. “게다가 카메라와 달리 조도 센서들은 네이티브 애플리케이션이나 서드파티 애플리케이션을 필요로 하지 않습니다. 그러니 사용자에게 권한을 따로 요청하지 않아도 된다는 것이고, 익스플로잇 됐을 때 꽤나 민감한 정보가 유출될 수 있다는 뜻입니다.”
조도 센서가 카메라처럼 사진 기록을 남기는 건 아니다. 다만 사용자가 스마트폰 장비를 손으로 만질 때 그 움직임을 기록하고 남긴다. 화면을 손가락으로 스와이핑 한다든지 무언가를 클릭한다든지 하는 행위들이다. 그렇게 하는 이유는 화면을 손으로 가렸을 때 빛이 얼마나 세게 혹은 흐리게 비치는지를 탐지하고, 그에 따라 화면 밝기를 조정하기 위해서다.
MIT의 양 리우(Yang Liu)는 “그러한 정보를 해커들이 가져갔을 때 프라이버시가 침해될 수 있다”고 경고한다. “조도 센서라는 것이 제스처를 스캔해 가져가는데, 사용자가 아무런 권한 설정을 할 수 없는데다가 항상 켜져 있기까지 하다는 건 리스크의 주재료인 게 보통입니다. 게다가 실제 사용자들 대다수가 조도 센서의 그러한 스캔 기능에 대해서는 인지하지 못하고 있죠. 위험한 것은 죄다 가지고 있다고 볼 수 있습니다.”
보안, 최신 스마트폰과 태블릿의 조도 센서도 알아두어야
위험은 거기서 끝나지 않는다. “조도 센서는 한 가지 정보를 더 가져갈 수 있는데, 바로 ‘색’입니다. 현대 스마트 장비들 대부분 다채널 조도 센서를 갖추고 있어 색 온도까지도 감지해 화면에 반영합니다. 그냥 어두워지고 밝아지는 것이 아니라 색의 온도까지도 자동으로 맞춰주는 게 요즘 조도 센서들의 기능인 것입니다. 그렇다는 건 조도 센서를 통해 색깔이 입혀진 이미징 데이터를 가져갈 수 있다는 뜻이 됩니다. 흑백보다 훨씬 정교한 데이터 수집이 이뤄질 수 있습니다.”
또 하나, 현대 장비들이 계속해서 ‘더 밝은’ 화면을 추구한다는 것도 조도 센서를 더 위험한 것으로 만든다고 리우는 지적한다. “게다가 이제는 인공지능 기술까지 탑재한 장비들이 시장에 쏟아져 나오는 실정입니다. 충분히 훈련된 인공지능 알고리즘이라면 훨씬 적은 정보만을 가지고도 정교한 이미징을 할 수 있을 겁니다. 그렇다면 조도 센서만이 아니라 우리가 지금 상상하지도 못한 사소한 기술들도 프라이버시 침해를 유발할 수 있습니다.”
정보율을 줄이는 게 해결책
리우는 소프트웨어를 활용함으로써 조도 센서의 권한을 줄이고 조도 센서가 처리하는 정보의 양을 제한하는 게 가능하다고 말한다. “OS를 개발하는 회사들이 이런 센서들을 사용자가 제어할 수 있도록 장치를 넣어주는 게 중요하다고 봅니다. 마치 카메라에 여러 옵션을 달아두는 것처럼 말이죠. 최소한 그런 장치들을 포함시켜야 면책이 될 수 있지 않을까요? 보안을 잘 아는 사용자들은 좀 더 안전해질 수 있고 말이죠.”
리우는 조도 센서가 안전이라는 측면에서 의미를 가지려면 속도가 1~5Hz 수준으로 낮아지고, 양자화 레벨이 10~50럭스로 감소해야 한다고 본다. “이렇게만 해도 정보율이 지금의 2~3배 수준으로 낮아질 겁니다. 그 정도 수준이라면 의미 있는 프라이버시 침해가 발생하기 힘듭니다.”
눈덩이처럼 불어나는 사물인터넷 보안 위협
보안 업체 비아쿠(Viakoo)의 CEO인 버드 브룸헤드(Bud Broomhead)는 “이번 발견이 실질적으로 우리 모두를 위험하게 하느냐, 하면 그건 아니”라고 말한다. “모든 조도 센서 관련 기능을 해제시키거나 그런 하드웨어를 기피해야 한다거나 그런 의미를 갖는 건 아닙니다. MIT의 연구 결과를 상세히 보면 손의 제스처를 3.3분마다 한 번씩 캡쳐한다고 하는데, 이 정보를 아무런 방해 없이 고스란히 가져간다고 하더라도 공격자가 얻어낼 게 그리 많아 보이진 않습니다. 시간 낭비만 될 뿐이죠.”
그렇다고 이번 연구가 아주 의미 없는 건 아니라고 브룸헤드는 강조한다. “디지털 기술로 구현되고 인터넷에 항시 연결되어 있는 장비들은 언제 어디서 터질 지 모르는 시한폭탄 같은 존재라는 걸 다시 한 번 상기시켰다는 점에서 가치가 있는 연구입니다. 조도 센서가 프라이버시 위협의 잠재력을 가지고 있다고 누가 생각이나 했겠습니까? ‘당연히 안전하다’라고 여길 만한 게 우리 주변에서 점점 사라지고 있다는 걸 기억한다는 중요한 일입니다.”
보안 컨설팅 업체 밤베넥 컨설팅(Bambenek Consulting)의 존 밤베넥(John Bambenek)은 “결국 우리는 우리가 사용하는 장비들이 정확히 어떤 데이터를 가져가는지 모른 채로 살아가고 있다는 것”이라고 지적한다. “모든 걸 사실상 제조사의 손에 맡겨두고 있지요. 투명성을 기업들로부터 요구한 지도 얼마 되지 않았고, 그나마도 거대한 기업들 일부에만 국한되어 있고요. 우리는 데이터라는 측면에서 모두가 장님처럼 살아가고 있습니다.”
밤베넥은 “그런 가운데 눈 뜬 사람이 아예 없지는 않은데, 대부분 공격자들”이라고 계속해서 경고한다. “이들은 그냥 눈을 뜨고 있을 뿐만 아니라 눈에 불을 켜고 새로운 침투 방법들을 찾고 또 찾습니다. 장님들 사이에서 시력도 대단히 좋고 보고자 하는 의지마저 강력한 늑대가 살아가고 있다는 겁니다. 인공지능을 훈련시키려고 온갖 방법을 동원해 데이터를 가져가려 하는 여러 IT 기업들도 조심해야 할 존재들이고요. 개개인이 자립해서 보안을 좀 더 깊이 알아야 합니다.”
글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 = 네이선 에디 IT 칼럼니스트] 최신 스마트폰들에 대부분 탑재되어 있는 주변 환경 조도 센서가 사이버 공격에 활용될 수 있다는 연구 보고서가 나왔다. MIT의 연구원들이 실제 실험을 통해 증명해낸 것으로, 경우에 따라 심각한 프라이버시 침해를 초래할 수 있다고도 한다.
[이미지 = gettyimagesbank]
연구원들은 실험을 위해 먼저 이미징 알고리즘을 하나 개발했다. 조도 센서들이 사용자의 제스처를 기록하고 있다는 사실을 보여주기 위해서였다. ‘제스처 기록’은 조도 센서의 잘 알려지지 않은 기능 중 하나라고 연구원들은 짚었다. “게다가 카메라와 달리 조도 센서들은 네이티브 애플리케이션이나 서드파티 애플리케이션을 필요로 하지 않습니다. 그러니 사용자에게 권한을 따로 요청하지 않아도 된다는 것이고, 익스플로잇 됐을 때 꽤나 민감한 정보가 유출될 수 있다는 뜻입니다.”
조도 센서가 카메라처럼 사진 기록을 남기는 건 아니다. 다만 사용자가 스마트폰 장비를 손으로 만질 때 그 움직임을 기록하고 남긴다. 화면을 손가락으로 스와이핑 한다든지 무언가를 클릭한다든지 하는 행위들이다. 그렇게 하는 이유는 화면을 손으로 가렸을 때 빛이 얼마나 세게 혹은 흐리게 비치는지를 탐지하고, 그에 따라 화면 밝기를 조정하기 위해서다.
MIT의 양 리우(Yang Liu)는 “그러한 정보를 해커들이 가져갔을 때 프라이버시가 침해될 수 있다”고 경고한다. “조도 센서라는 것이 제스처를 스캔해 가져가는데, 사용자가 아무런 권한 설정을 할 수 없는데다가 항상 켜져 있기까지 하다는 건 리스크의 주재료인 게 보통입니다. 게다가 실제 사용자들 대다수가 조도 센서의 그러한 스캔 기능에 대해서는 인지하지 못하고 있죠. 위험한 것은 죄다 가지고 있다고 볼 수 있습니다.”
보안, 최신 스마트폰과 태블릿의 조도 센서도 알아두어야
위험은 거기서 끝나지 않는다. “조도 센서는 한 가지 정보를 더 가져갈 수 있는데, 바로 ‘색’입니다. 현대 스마트 장비들 대부분 다채널 조도 센서를 갖추고 있어 색 온도까지도 감지해 화면에 반영합니다. 그냥 어두워지고 밝아지는 것이 아니라 색의 온도까지도 자동으로 맞춰주는 게 요즘 조도 센서들의 기능인 것입니다. 그렇다는 건 조도 센서를 통해 색깔이 입혀진 이미징 데이터를 가져갈 수 있다는 뜻이 됩니다. 흑백보다 훨씬 정교한 데이터 수집이 이뤄질 수 있습니다.”
또 하나, 현대 장비들이 계속해서 ‘더 밝은’ 화면을 추구한다는 것도 조도 센서를 더 위험한 것으로 만든다고 리우는 지적한다. “게다가 이제는 인공지능 기술까지 탑재한 장비들이 시장에 쏟아져 나오는 실정입니다. 충분히 훈련된 인공지능 알고리즘이라면 훨씬 적은 정보만을 가지고도 정교한 이미징을 할 수 있을 겁니다. 그렇다면 조도 센서만이 아니라 우리가 지금 상상하지도 못한 사소한 기술들도 프라이버시 침해를 유발할 수 있습니다.”
정보율을 줄이는 게 해결책
리우는 소프트웨어를 활용함으로써 조도 센서의 권한을 줄이고 조도 센서가 처리하는 정보의 양을 제한하는 게 가능하다고 말한다. “OS를 개발하는 회사들이 이런 센서들을 사용자가 제어할 수 있도록 장치를 넣어주는 게 중요하다고 봅니다. 마치 카메라에 여러 옵션을 달아두는 것처럼 말이죠. 최소한 그런 장치들을 포함시켜야 면책이 될 수 있지 않을까요? 보안을 잘 아는 사용자들은 좀 더 안전해질 수 있고 말이죠.”
리우는 조도 센서가 안전이라는 측면에서 의미를 가지려면 속도가 1~5Hz 수준으로 낮아지고, 양자화 레벨이 10~50럭스로 감소해야 한다고 본다. “이렇게만 해도 정보율이 지금의 2~3배 수준으로 낮아질 겁니다. 그 정도 수준이라면 의미 있는 프라이버시 침해가 발생하기 힘듭니다.”
눈덩이처럼 불어나는 사물인터넷 보안 위협
보안 업체 비아쿠(Viakoo)의 CEO인 버드 브룸헤드(Bud Broomhead)는 “이번 발견이 실질적으로 우리 모두를 위험하게 하느냐, 하면 그건 아니”라고 말한다. “모든 조도 센서 관련 기능을 해제시키거나 그런 하드웨어를 기피해야 한다거나 그런 의미를 갖는 건 아닙니다. MIT의 연구 결과를 상세히 보면 손의 제스처를 3.3분마다 한 번씩 캡쳐한다고 하는데, 이 정보를 아무런 방해 없이 고스란히 가져간다고 하더라도 공격자가 얻어낼 게 그리 많아 보이진 않습니다. 시간 낭비만 될 뿐이죠.”
그렇다고 이번 연구가 아주 의미 없는 건 아니라고 브룸헤드는 강조한다. “디지털 기술로 구현되고 인터넷에 항시 연결되어 있는 장비들은 언제 어디서 터질 지 모르는 시한폭탄 같은 존재라는 걸 다시 한 번 상기시켰다는 점에서 가치가 있는 연구입니다. 조도 센서가 프라이버시 위협의 잠재력을 가지고 있다고 누가 생각이나 했겠습니까? ‘당연히 안전하다’라고 여길 만한 게 우리 주변에서 점점 사라지고 있다는 걸 기억한다는 중요한 일입니다.”
보안 컨설팅 업체 밤베넥 컨설팅(Bambenek Consulting)의 존 밤베넥(John Bambenek)은 “결국 우리는 우리가 사용하는 장비들이 정확히 어떤 데이터를 가져가는지 모른 채로 살아가고 있다는 것”이라고 지적한다. “모든 걸 사실상 제조사의 손에 맡겨두고 있지요. 투명성을 기업들로부터 요구한 지도 얼마 되지 않았고, 그나마도 거대한 기업들 일부에만 국한되어 있고요. 우리는 데이터라는 측면에서 모두가 장님처럼 살아가고 있습니다.”
밤베넥은 “그런 가운데 눈 뜬 사람이 아예 없지는 않은데, 대부분 공격자들”이라고 계속해서 경고한다. “이들은 그냥 눈을 뜨고 있을 뿐만 아니라 눈에 불을 켜고 새로운 침투 방법들을 찾고 또 찾습니다. 장님들 사이에서 시력도 대단히 좋고 보고자 하는 의지마저 강력한 늑대가 살아가고 있다는 겁니다. 인공지능을 훈련시키려고 온갖 방법을 동원해 데이터를 가져가려 하는 여러 IT 기업들도 조심해야 할 존재들이고요. 개개인이 자립해서 보안을 좀 더 깊이 알아야 합니다.”
글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)