중국 저가형 스마트워치, 1만5천명 개인정보 노출했었다

AV테스트, 수년간 판매된 M2 기기서

컴퓨팅입력 :2019/11/26 13:33    수정: 2019/11/26 13:44

유럽에 널리 보급된 중국 제조사의 스마트워치와 연동 앱에서 사용자 계정과 위치 정보로 무단 접근을 허용하는 보안 허점이 발견됐다.

보안 제품 평가 기관 AV테스트의 사물인터넷(IoT) 테스트 부서는 중국 기업 SMA가 자사 스마트워치 'M2'의 보안 허점을 조사한 결과를 25일(미국시간) 밝혔다.

M2는 부모가 앱을 사용해 자녀의 위치를 추적하고, 지정된 지역을 벗어날 때 알림을 받을 수 있으며 음성 통화를 지원한다. 가격은 35달러(약 4만1천원)이다. 이 제품은 수 년간 판매됐다.

AV-테스트 최고경영자 겸 기술 전문가인 메이크 모겐스턴은 이 제품이 누구나 접근 가능한 웹 API를 통해 스마트워치의 백엔드에 접근, 부모의 스마트폰에 설치된 앱에서 나타나는 데이터를 검색할 수 있게 돼 있었다고 설명했다. 무단 접근을 방지하기 위한 인증 토큰이 존재했지만, 서버에서 인증 토큰의 타당성을 검증하지 않았다.

출처=SMA 웹사이트

이를 통해 공격자는 자녀의 현재 지리적 위치와 장치 유형, 가입자인증모듈(SIM)카드의 국제고유 식별번호(IMEI) 등의 데이터를 수집할 수 있었다. 부모의 계정에 연계된 이메일 주소와 암호를 입력하지 않아도 계정에 연동된 스마트워치와 페어링이 가능했다. 스마트워치에서 지원하는 음성 통화, 위치 추적 등도 사용할 수 있었다. 이런 기능을 사용하는 동안 부모의 스마트폰과의 연결을 차단하는 것도 가능했다.

메이크 모겐스턴은 이 기술을 이용해 5천명 이상의 M2 사용자와 사용자 부모의 계정 1만개 이상을 식별할 수 있었다고 밝혔다.

관련기사

AV테스트 분석에 따르면 M2를 이용자는 네덜란드, 폴란드, 터키, 독일, 스페인, 벨기에 등 주로 유럽 전역에 있었다. 다만 중국, 홍콩, 멕시코에서도 M2가 활성화돼 있는 것으로 확인됐다.

M2의 보안 취약점에 대해 AV테스트가 발표한 이후 독일 유통업체 펄은 M2 판매를 중단했다. AV테스트는 미국 연방 정보기술안정청(BSI)에도 이 사실을 알렸다.