테크플러스

내가 차곡차곡 쌓아놓은 운동 데이터를 볼 수 없다면? 또 개인 기록이 유출된다면? 과연 어떤 일이 벌어질까?

최근 강력한 트래킹 기능을 지원하는 스마트워치로 알려진 웨어러블 기업 가민(Garmin)이 랜섬웨어(Ransomware) 공격을 받았다. 이 때문에 지난 23일(현지시간) 가민은 해커의 공격으로 시스템 일부가 암호화됐다고 밝혔다. 사용자 활동 데이터 동기화, 웹사이트 기능, 고객 지원 등 여러 서비스가 중단됐다.

지불 정보 등 고객 데이터에 접근했거나 유출됐다는 증거는 없다고 밝혔으나 가민 이용자는 물론 피트니스 트래킹 관련 앱을 이용하는 많은 사람들은 불안해질 수밖에 없었다. 아찔한 일이다. 아직 모든 것이 면밀하게 밝혀진 것은 아니니 정확한 피해 상황은 더 지켜봐야 한다. 다른 분야와 마찬가지로 피트니스 트래킹 서비스를 대상으로 한 해킹도 언제든 이뤄질 수 있다.

사용자 활동 데이터가 유출됐다는 그 자체가 현실에서 어떤 문제와 연결되는지 실감 나지 않을 것이다. 그래서 이번에는 뭔가 와닿는 구체적인 사례를 소개한다. 

2년 전, 인기 피트니스 트래킹 앱 스트라바(Strava)에서 공개한 사용자의 이동 경로 데이터가 문제가 됐다. 당시 군사 분석가들은 스트라바가 공개한 데이터가 매우 민감한 정보를 제공하고 있다고 주장했다. 군사 시설에서 근무하는 사람들이 스트라바를 사용했던 것이 화근이었다.

앱 이용자가 남긴 이동 경로를 따라가다 보면 전체적인 기지 규모와 내부 구조, 통행로 등을 파악할 수 있었다. 군사 시설이 대개 인적이 드문 곳에 있다 보니 식별은 더 쉽다. 철저한 보안으로 비밀을 유지해왔던 군사 기지가 피트니스 트래킹 앱 하나 때문에 발가벗겨진 셈. 해커가 몰래 데이터를 빼낼 필요도 없었다. 무심코 기록된 피트니스 정보가 중요한 국가 정보로 탈바꿈하는 것은 한순간이었다. 전 세계 군 관계자들이 화들짝 놀랄만한 소식이었다.

물론 나쁜 의도는 아니었을 것이다. 스트라바 측은 데이터를 시각화한 직관적인 지도를 보여주고 싶었고 사용자들은 그저 자신의 활동을 기록하고 이를 다른 사람들과 공유하면서 긍정적인 자극을 주고받고자 했을 것이다. 

좀 더 범위를 확대해보면 피트니스 관련 앱에서 수집한 사용자의 신체나 운동 정보 유출로 논란이 된 것이 어제오늘 일은 아니다. 2018년에는 피트니스 앱을 대상으로 한 대규모 사용자 계정 해킹이 이뤄지기도 했다. 스포츠 브랜드 언더아머의 건강관리 앱 마이피트니스팔(MyFitnessPal)에서 사용자의 이름과 이메일 주소, 비밀번호를 포함한 개인 정보가 유출됐는데 피해 계정만 무려 1억 5000만 개였다. 유출 규모만 놓고 보면 역대 계정 유출 상위권에 무난히 오른다. 당시 회사는 신용카드 정보는 노출되지 않았다고 밝혔다.

스마트워치, 피트니스밴드, 스마트안경 등 웨어러블 기기를 늘 소지하고 온라인에 연결된 시대에 주의하지 않으면 언제든 디지털 발자국이 남게 된다. 다시 또 비슷한 사고가 발생할 수 있다는 말이다. 기업 입장에서는 피트니스 트래킹 앱의 취약성을 바로 잡고 보안에 신경 써야 하겠다. 

테크플러스 에디터 나유권

tech-plus@naver.com