[내용 요약]
Abstract
스마트워치는 스마트폰과 페어링을 하여 사용합니다.
페어링 이후 사용자의 관여 없이도 데이터 전송이 가능하고, 스마트폰의 다양한 데이터가 복제되어 스마트워치로 넘어옵니다.
해당 논문(연구)은 스마트폰으로 넘어오는 데이터를 사용 시점별(t0, t1, t2, t3)로 추출하여 분석합니다.
또한 스마트워치 사용자를 대상(205명)으로 실시한 보안관련 인식에 대한 설문조사를 바탕으로 개인 정보보호관점에서의 데이터별 위험도 평가를 수행하고 대응방안을 고찰합니다.
실험 과정 및 결과 분석
# 실험 환경
실험 환경은 위와 같이 Android Wear, Tizen, WatchOS의 세 가지 플랫폼에서 작동하는 5가지 스마트워치를 준비하였고,
스마트폰에서 데이터를 복제하여 스마트워치로 넘어가는 현상을 관찰하기 위해 사용시간의 순서에 따라 위 그림과 같이 t0, t1, t2, t3로 시점을 나누어 분석을 진행하였습니다.
각각의 사용시간은 아래와 같습니다.
|
Time(t)
|
Descript
|
|
t0
|
스마트워치 출고
|
|
t1
|
스마트폰과 페어링 |
|
t2
|
일반적인 사용
|
|
t3
|
추가적인 어플리케이션 사용
|
여기서 t3는 t2에 이어서 추가적으로 피트니스 어플리케이션인 Strava와 Endomondo라는 어플리케이션을 사용하며 데이터 복제 현상을 관찰하는 단계입니다.
# 데이터 추출
데이터 추출은 각 디바이스 마다 다르게 하였는데,
Apple Watch -> 루트 권한 획득 불가능 / 데이터 추출 불가 -> 스마트워치 이용후 각 단계별 데이터를 스마트폰으로부터 데이터 복제 현상 관찰
Android Wear -> 루트 권한 획득 -> ADB를 이용하여 데이터 디렉터리 PC로 가져옴 -> 커스텀 리커버리 이미지를 이용하여 부팅 및 USB 디버깅
Tizen -> SDB를 통해 스마트워치에서 PC로 디렉터리 가져옴 -> 삼성 모바일 장치 플래싱 도구를 이용하여 수정 -> 수정된 이미지를 스마트워치로 플래싱 -> SDB를 활성화한 후 파일을 PC로 추출
위와 같은 과정을 거쳐 데이터를 추출하였습니다.
# 실험 결과 및 분석
실험 결과
다음과 같이 각 단계에 따라 연락처 정보, SMS/MMS, 피트니스 데이터, 사진, WiFi SSID/비밀번호 및 호스트 기기 정보 등의 데이터가 복제되어 넘어왔습니다.
특히 Android Wear의 경우 t3에서 암호화된 잠금 패턴이 넘어오게 되는데, 이는 rainbow attack을 통해 쉽게 복호화가 가능했습니다.
위험도 평가 및 대응방안
위험도 평가는 앞서 실험한 내용과 사용자 인식에 대한 설문조사를 토대로 진행했습니다.
# 스마트워치 보안에 대한 사용자 인식
해당 논문에서는 스마트워치를 사용하는 205명을 대상으로 설문조사를 실시했습니다.
설문 결과 74.1%가 스마트폰보다 스마트워치가 더 취약하다고 답하였고, 73.2%가 스마트폰에서 스마트워치로의 데이터 복제에 대해 알고있음에도 69.8%가 스마트워치에 동일한 비밀번호를 설정하고 있거나 설정할 것이라고 답하였다고 합니다.
# 데이터 분류
데이터 분류는 기기제어 정보, 교류 정보, 센서 수집정보 및 사용자 작성 정보의 네 가지 범주로 분류합니다.
또한 위험도 평가는 위 그림과 같이 보안 및 개인정보보호의 두 가지 관점에서 3가지 수준으로 나누어 고려하였습니다.
[Score / Descript]
- 5 : 암호 / 잠금 패턴 -> 높은 위협 초래
- 4 : GPS, e-mail, SMS/MMS -> 사용자 행동 추적에 용의
- 3 : 사진, 피트니스 데이터 -> 개인정보 문제 야기
- 2 : 기기 제어 정보 -> 보안위협 X but 개인정보보호 관점에 영향
- 1 : 설치된 어플리케이션 종류 -> 식별하는 측면에 의미가 없음
따라서 위와 같은 결과가 도출되었습니다.
# 대응방안
Android Wear기반의 스마트 워치의 경우 데이터 복제에 대한 알림이 존재했지만 Tizen, WatchOS의 경우는 그렇지 않습니다.
따라서 이를 알리는 알림기능의 확대가 필요합니다.
또한 페어링이 종료되었거나 사용 후 일정시간이 지난 후에는 위험도가 높은 순서에 따라 선별적으로 삭제될 수 있는 방안을 제안합니다.
[장점과 단점]
먼저 장점에 대해 얘기를 해보려고 합니다.
# 주제 선정이 좋았다고 생각합니다.
웨어러블 기기는 발전 가능성이 다분한 영역이라고 생각하기 때문에 추후 관련 연구에 해당 논문이 많이 인용될 것이라고 생각합니다.
또한 지극히 개인적인 생각이지만 어려워보이는 주제와는 달리 쉽게 설명이 되어있다고 느꼈습니다.
# 대응방안이 확실하고, 효율적입니다.
문제점이 데이터 복제가 사용자가 인지하지 못한 상태에서 이뤄지기 때문에 이를 인지하게끔 해주면 해결방안이 되는데요.
이를 알림기능의 확대라는 단순하지만, 펌웨어 개발 방면에서 비용효율적인 방법을 통해 해결할 수 있으니 결론을 잘 맺었다고 느꼈습니다.
다음으로 단점에 대해 얘기를 해보겠습니다.
이 논문에서 얘기하고자 하는 부분은 다음과 같다고 판단했습니다.
- 스마트폰과 스마트워치간의 데이터 복제 과정에서 사용자가 과연 인지를 하고 있을까?
- 어떠한 데이터가 복제되고 있을까?
- 해당 데이터의 위험도는 어느정도가 될까?
또한 결론적으로 위 3가지의 내용을 토대로 위험도에 대한 표를 제시함으로서 다음에 진행될 연구에 기여합니다.
따라서 해당 논문이 도출한 결과는 '표'라고 생각합니다.
하지만 이 '표'가 도출되는 과정 가운데, 스마트워치 보안에 대한 사용자 인식을 조사하는 과정을 설문을 통해 조사를 했고,
이 설문에 대한 자세한 설명이 기재가 되지 않아 아쉬웠습니다.
205명이라는 숫자는 너무 적다는 생각이 들었고,
해당 설문이 어떤 형식으로 진행이 되었고, 어떤 질문들이 있었는지에 대한 내용이 들어가 있었다면 더 좋았을 것이라고 생각이 됩니다.
마지막으로 공학의 발전을 위해 연구에 힘써주시는 연구원님들에 대한 경의를 표하며 포스팅을 마치겠습니다.
감사합니다.
