내 운동 기록이 온라인에 그대로 올라왔다고?

- Advertisement -

전 세계 사람들의 피트니스 활동 기록이 온라인에 그대로 노출된 것이 뒤늦게 알려졌다.

보안 연구원 예레미아 파울러는 온라인에서 암호가 설정되지 않은 데이터베이스를 발견했다. 여기에는 총 6100만여 개에 달하는 데이터가 들어있었으며 IoT, 헬스, 피트니스 트래커 장치와 관련된 것으로 파악됐다.

암호화되지 않은 데이터베이스에는 전 세계 사람들의 건강 데이터가 들어있었다. (출처 : websiteplanet)

데이터베이스를 통해 개인 정보와 거주 지역까지 확인할 수 있다. (출처 : websiteplanet)

리스트에는 사람들의 이름과 닉네임, 생년월일, 키와 체중, 성별, 거주 지역 같은 개인 정보가 들어있었다. 회원 관리에 필요한 것으로 보이는 고유 ID도 그대로 드러났다. 이름과 성별, 사는 지역을 통해 사람을 특정할 수 있기 때문에 이 정보들은 피싱에 악용될 여지가 있다. 또한 특정인의 건강 상태를 파악할 수도 있다.

GetHealth

데이터베이스를 관리하는 회사는 뉴욕에 있는 ‘겟헬스(GetHealth)’로 밝혀졌다. 겟헬스는 웨어러블과 의료기기, 헬스, 웰빙 데이터를 통합 관리하는 앱을 개발한 회사다. 겟헬스 앱은 구글 핏빗, 삼성 헬스, 애플 헬스키트, MS 밴드, 소니 라이프로그를 비롯한 대기업들의 피트니스 트래커 데이터를 동기화시킬 수 있다.

이번에 유출된 데이터에는 이 정보들이 일부 포함된 것으로 드러났다. 파울러가 데이터베이스에서 2만 개 이상의 샘플을 뽑아 분석해 보니 구글 핏빗으로부터 동기화된 데이터가 2766개, 애플 헬스키트에서 가져온 데이터가 17764개 발견됐다고 한다.

파울러는 건강 관련 데이터를 수집하고 저장하는 것은 위험하다며 보안에 신경 써야 한다고 지적했다. 의료기술 산업이 발전하면서 건강 데이터의 중요도가 높아졌다. 스마트워치나 피트니스 트래커를 통해 수집되는 데이터는 해커의 표적이 될 가능성이 매우 높다.

그는 보안 회사 트러스트웨이브(Trustwave)가 공유한 보고서의 내용을 인용하면서 개인의 의료 데이터는 다크웹 같은 암시장에서 최대 250달러에 판매될 수 있다고 전했다. 이는 5달러 대에 불과한 신용카드 기록보다 훨씬 비싸다.

파울러가 겟헬스에 연락을 취한 덕분에 데이터베이스는 정상적으로 암호화됐다. 하지만 이 데이터베이스가 얼마나 오랫동안 온라인에 노출돼있었는지 모른다. 그동안 아무도 이 데이터에 접근하지 않았을 것이라고 단정할 수도 없다. 겟헬스는 고객들의 개인 정보를 안일하게 취급한 것에 대해 비난을 피할 수 없을 것으로 보인다.

테크플러스 에디터 이병찬

tech-plus@naver.com

[fv0012]

- Advertisement -

Related Stories