갤럭시 워치를 중심으로 본 스마트워치 활용 기술유출의 위험성 및 대응방안에 대한 연구

[1] 서론

- 기술 및 경영상의 정보유출에 대한 피해 규모가 큼

- 정보유출의 주된 주체가 기업 내부인이라는 것을 확인 가능

- 이러한 문제에 대응하기 위하여 가장 대중화되었고 휴대하기 간편한 IoT 기기인 스마트 워치를 연구

- 스마트 워치가 그 자체로 기밀 정보유출의 도구로 사용될 때의 포렌식 조사 방안에 대한 연구

- 스마트폰에 대한 대응은 많지만 스마트 워치에 대한 사전 대응은 부족한 상황

 

 

 

 

 

[2] 선행연구

 

Rughani, Dahiya - Android Wear 운영체제의 스마트워치 분석

Android Wear OS : 최신 스마트워치에 탑재되고 있는 Wear OS 운영체제의 전신으로, 안드로이드 4.3 이상의 기기와 연결

- dd 명령어를 사용하여 스마트워치의 이미지를 덤프하여 아티팩트를 분석하는 방법을 사용

-> 분석결과 연견될 기기 정보, 음성 명령 이력, 알림 내역, DropBox 아티팩트 등을 파악 가능

 

Odom et al. - Tizen OS를 사용하는 삼성의 Galaxy Gear S3와 Watch OS를 사용하는 애플의 Apple Watch Series 3 분석

- 호스트 기기인 스마트폰과 연결되어 사용하는 블루투스 연결 방식과 독립적으로 사용하는 Stand-Alone방식을 비교하여 스마트워치 내부에 남는 연락처, 일정, 알람, 리마인더, 노트, 비밀번호, 이메일, 멀티미디어, 전화 기록, SMS(Short MessageService), MMS(Messengers MultimediaMessage), IM(Instant Messenger), 음성명령, 건강 기록 등을 확인 

-> 분석 결과 통하여 GearGadget (Galaxy Gear S3) 분석 도구 제작

 

Kim et al. - 삼성의 Galaxy Gear S3와 애플의 Apple Watch 5, Garmin Vivosport 분석, 포렌식 모델을 제안

 - 논리적 추출을 목적으로 PC와의 연결을 통한 포렌식방법, 물리적 추출을 위하여 PCB(Printed Circuit Board) Service Port, PCB Debugging Port, Chip Off 등의 방식을 통한 포렌식 방법을 사용

-> 제조사별로 기기에서 추출 및 분석할 수 있었던 정보들을 정리. 특히 기기 정보와 건강 관리 정보 분석에 초점을 맞춤

 

앞선 선행연구들에 사용했던 OS들은 다른 OS로 대체되거나 시장 점유율이 급감되는 등 더 이상 유의미하지 않음

- 본 연구는 최신 웨어러블 운영체제인 Wear OS Powered by SAMSUNG을 중심으로 스마트워치가 직접적인 범행 도구로 직접 활용되는 시나리오 

 

 

 

 

 

 

 

 

[3] Wear OS 특징과 제원

 

Wear OS Powered by SAMSUNG의 특성

• 삼성과 Google의 협력으로 개발된 운영체제
• Tizen OS와 Wear OS의 장점을 결합한 시스템
• OneUI Watch 인터페이스를 사용하는 OS
• ADB 사용이 가능한 시스템

 

시스템 사양

• Android 11을 기반으로 동작하는 시스템
• ARMv7 기반 32비트 아키텍처를 사용하는 기기
• armeabi-v7a를 CPU ABI로 채택한 기기
• ADB 명령어로 시스템 정보 확인이 가능한 기기

 

 

 

 

 

 

 

[4] 범행 도구로의 스마트워치

- 스마트폰은 이미 보안 위험이 예견되어 엄격한 보안 절차가 존재
- 스마트워치는 악용 가능성이 저평가되어 보안 규정이 미흡함.
- 스마트폰 대신 스마트워치를 정보유출 도구로 활용할 위험 존재

 

[4-1] 스마트워치 전용 상용 애플리케이션을 이용한 정보유출

• Wear OS Powered by SAMSUNG 스마트워치는 구글플레이에서 Watch 항목을 통해 애플리케이션을 설치할 수 있다.
• 일정 관리, 건강 관리 외에도 FTP 기능을 제공하는 애플리케이션(File Explorer FTP Server)이 존재한다.
• Wi-Fi 망을 통해 PC와 스마트워치를 연결해 파일 송수신이 가능하다.
• FileZilla, XFTP 7 같은 프로그램이나 탐색기 주소창에 FTP 주소와 포트 입력으로도 연결할 수 있다.

 

-> 상용 애플리케이션을 이용한 정보유출은 ADB(android debug bridge)를 경험한 적 없는 안드로이드 비전문가도 간편하게 정보유출 수단을 스마트워치에 설치하고 PC 내 정보를 스마트워치로 이동시킬 수 있다.

 

[4-2] 스마트폰 전용 애플리케이션 설치를 통한 정보유출

• File Explorer FTP Server는 암호화되지 않은 FTP 프로토콜을 사용해 파일 이동이 식별될 수 있다.
• 스마트워치 애플리케이션 시장이 건강 관리와 일정 관리에 초점이 맞춰져 있어 악용할 만한 앱을 찾기 어렵다.
• 구글플레이를 통한 설치는 계정에 기록이 남아 증거 인멸이 어렵다.
• ADB 명령어(‘adb install’)를 통해 구글플레이 외부에서 APK 파일을 설치할 수 있다.
• 64비트 APK 파일은 스마트워치의 ARMv7 32비트 아키텍처와 호환되지 않는다.
• 32비트 애플리케이션(SSH Server)은 문제없이 스마트워치에 설치할 수 있다.
• 스마트폰용 앱은 화면 크기와 비율의 차이로 UI가 깨지거나 버튼이 중첩될 수 있다.
• 설정을 조작해 SFTP 및 SSH 서버를 활성화하면 PC와 스마트워치 간 데이터 전송 및 정보유출이 가능하다.

 

[4-3] 소형카메라 통제 기기로의 스마트워치

• 스마트워치에 스마트폰용 소형카메라 애플리케이션 설치 -> 스마트워치의 WiFi 기능 이용하여 소형카메라와 스마트워치 연결 가능 (Lookcam(com.view.ppcs)이 이러한 가정을 입증할 수 있는 스마트폰용 소형카메라 연결 애플리케이션)
• 최신 소형카메라는 WiFI로 스마트폰이나 스마트워치와 같은 기기로 무선 통제가 가능

- 이 취약점을 이용한 정보유출

• 일부 기업은 퇴근 시 반출 물품만 검사하고 출근 시 반입 물품에 대한 검사를 생략
• 소형카메라를 티슈곽 등으로 위장하여 반입한 후, 스마트워치와 Wi-Fi로 연결해 카메라를 원격 제어
• 충분한 정보 수집 후, 소형카메라를 분해하여 폐기하면 퇴근 시 진행되는 물품 검사에서도 발각되지 않음
• 유출된 정보는 스마트워치에 저장하여 외부로 반출 가능

-> 스마트워치 관련 보안 절차가 개선되어야 한다는 점 강조

 

 

 

 

 

 

[5] 포렌식 방법

 

[5-1] 스마트워치 포렌식과 스마트폰 포렌식의 차이점

 

1. USB 단자의 부재

 

- 최신 스마트워치는 충전 시 무선 충전을 주로 이용 -> USB 단자 생략

=> USB 단자를 이용해 PC와 유선 연결한 후 MD-NEXT와 같은 모바일 데이터 획득 도구를 통해 기기 내 데이터를 이미징하고 분석 도구를 통해 분석하는 기존 스마트폰 포렌식의 방법을 사용 불가

 

- Android 11 이후PC와의 유선 연결이 없으면 접근 불가하도록 제한됨.

 무선연결만 가능한 스마트워치 -> 접근 어려움

=> 분석 가능 경로에서의 차이

 

 

 

2. 펌웨어 비공개와 루팅의 어려움

 

- 스마트폰 포렌식에서는 /data/data 경로에 저장된 애플리케이션 패키지 데이터가 주요 분석 대상
-> 이 경로에 접근하려면 SU(SuperUser) 권한이 필요

 

- 스마트폰에서는 Full File System 이미징 기법을 사용해 SU 권한 없이도 이 경로의 데이터를 확보 가능

-> Wear OS Powered by SAMSUNG을 사용하는 스마트워치는 펌웨어가 공개되어 있지 않아 루팅이 어려움.

=>따라서 /data/data 경로에 접근할 수 없어 해당 데이터의 분석이 불가능

 

 

차이점을 반영한 스마트워치 분석 방법: ADB를 활용한 접근

- 스마트폰에서 APK 파일을 설치할 때와 마찬가지로 ADB의 무선 디버깅 기능을 이용하면 수사관의 PC와 스마트워치를 연결 가능

- SU 권한을 획득할 수 없더라도, ADB가 허용하는 권한 내에서 파일을 PC로 옮기는 작업이 가능

- 특히, dumpsys 로그와 같은 개발자용 로그를 분석하면 사용자 행위 분석이 가능

 

 

---

 

 

[5-2] dumpsys 명령어를 통한 안드로이드 로그 분석

 

1. dumpsys usagestats – 앱 사용 기록 분석

• usagestats 로그는 사용자가 어떤 앱을 언제 사용했는지를 추적하며, /data/system_ce/usagestats/0 경로에 저장됨
• 그러나 이 경로에 접근하려면 SU(SuperUser) 권한이 필요해, 스마트워치에서는 직접 접근이 어려움
• 대신 ADB 무선 디버깅을 통해 dumpsys usagestats 명령어로 앱 사용 로그를 수집 가능

usagestats 로그의 주요 항목

• “Last 24 hour events”: 실행 시각 기준 최근 24시간 동안의 이벤트 정보
  -> 어떤 앱의 액티비티가 활성화되거나 비활성화되었는지, 알림(notification) 발생 여부를 추적 
• “In-memory weekly/monthly/yearly stats”:
  -> 주간, 월간, 연간 단위로 앱 동작을 요약하지만, 시·분·초 단위의 세부 정보는 제공되지 않음
  -> 앱의 마지막 사용 날짜, 사용 빈도 등의 정보 확인 가능

 

 

 

 

2. dumpsys netstats – 스마트워치가 연결한 Wi-Fi 네트워크 접속 정보 제공

 

netstats 로그의 주요 항목

• networkId: 연결된 Wi-Fi 망의 SSID(네트워크 이름)
• st: Wi-Fi 접속 시작 시각 (단, 1시간 단위로 기록됨)
  -> 예: 2023년 5월 10일 20시 40분에 연결된 경우도 **20시(1683716400)**로 기록.
• rb와 rp: 수신된 데이터 크기와 패킷 수
• tb와 tp: 송신된 데이터 크기와 패킷 수

 

 

 

 

 

3. dumpsys network_stack – 네트워크 스택 정보

• dumpsys network_stack 명령어는 네트워크 인터페이스 및 토폴로지와 관련된 정보를 제공
• 또한 DHCP 프로토콜을 통해 스마트워치가 할당받은 사설 IP 주소를 시간별로 확인 가능
  -> 이 정보를 활용하면 스마트워치가 특정 시각에 어떤 네트워크에 연결되었는지 추적 가능

한계점

- 스마트워치를 재부팅하면 기존 네트워크 기록이 삭제되고 새로운 기록이 저장되므로 재부팅 전 기록은 복원 불가

 

 

 

 

---

 

 

 

 

[5-3] 케이스 스터디

 

 

1. 스마트워치, PC 간 FTP 이용 정보유출

 

usagestats 로그

- 2023년 5월 11일 01시 14분 16초에 File Explorer FTP Server(com.corproxy.files) 애플리케이션이 활성화된 것을 확인

 

netstats 로그

- 해당 시간에 스마트워치가 KT_GiGA_5G_EFB7 Wi-Fi 망에 연결되었으며 약 47MB의 데이터가 전송된 것을 확인

 

network_stack 로그

- 스마트워치가 KT_GiGA_5G_EFB7에 연결될 때 172.30.1.76의 사설 IP 주소를 부여받음

 

 

 

 

2. 스마트워치, PC 간 SFTP 이용 정보유출

 

 

usagestats 로그

- 2023년 5월 11일 21시 10분 06초에 SSH Server(net.xnano.android.sshserver) 애플리케이션이 실행된 것을 확인

 

netstats 로그

- 해당 시간에 스마트워치가 outgoingowl이라는 Wi-Fi 망에 연결됨

 

network_stack 로그

- 스마트워치가 outgoingowl Wi-Fi 망에서 192.168.35.52의 사설 IP를 할당받음

 

 

 

 

3. 스마트워치, PC 간 SFTP 이용 정보유출

 

 

usagestats 로그

- 2023년 5월 9일 13시 59분에 Lookcam(com.view.ppcs) 애플리케이션이 실행된 것을 확인했다.

 

netstats 로그

- 해당 시간 동안 스마트워치가 F818026FNMEN Wi-Fi 망에 연결되었으며, 총 31MB의 데이터를 전송받았다.

- 추가로, 5월 8일 21시에도 해당 Wi-Fi 망에 연결되어 약 125MB의 데이터를 수신한 것을 확인했다.

 

usagestats 로그

-5월 8일 21시경에 Lookcam 애플리케이션의 활성화 기록이 usagestats 로그에서 누락
-> 24시간이 경과하면 상세 로그가 삭제되고 마지막 사용 시간만 남는 특성 때문에

 

 

 

---

[6] 토의

 

 

6.1 한계

1. 유지 기간의 짧음
- ADB 로그는 짧은 유지 기간을 가지고 있어 포렌식 분석에서 제약으로 작용
usagestats 로그는 사용자가 범행을 저지른 후 24시간이 경과하면 애플리케이션의 가장 마지막 사용 시간과 총 사용 횟수만 기록되기 때문에, 여러 번의 범행이 발생한 경우 각각의 정확한 범행 시점을 알기 어려움

 

2. 휘발성 로그
- network_stack 로그는 스마트워치가 재부팅될 경우 사라지는 휘발성을 가짐
스마트워치의 배터리 용량이 적기 때문에 자주 방전되기 쉽고 이로 인해 로그 데이터가 손실되는 큰 문제가 발생 가능

 

3. 모호함

- netstats 로그는 1시간 단위로 연결된 Wi-Fi 망의 SSID와 송수신한 데이터 크기를 저장함

만약 스마트워치가 1시간 안에 여러 Wi-Fi 망에 연결되었다면, 정확한 연결 시간을 파악하기 어렵고, network_stack 로그와 결합했을 때 어떤 SSID를 가진 Wi-Fi 망이 어떤 사설 IP를 부여했는지를 알기 힘들어짐

 

4. 데이터 삭제 문제

- ADB 로그를 통해 스마트워치와 PC가 연결된 적이 있다는 것을 입증할 수 있지만 사용자가 범행 후 스마트워치로 송신한 데이터를 삭제했을 경우, 어떤 데이터가 PC에서 스마트워치로 송신되었는지 확인하기 어렵다는 문제점 존재

 

 

 

 

6.2 예방 방안

 

스마트워치 사용 규정 업데이트

- 기업의 기술 보호 규정에 스마트워치 사용에 대한 내용을 업데이트 필. 특히 대기업은 보안 스티커 및 모바일 기기 관리(MDM) 솔루션을 통해 모바일 기기로 인한 정보 유출 취약점을 방어할 수 있음

 

네트워크 접근 통제

- 회사 내 Wi-Fi 차단 솔루션과 화이트리스트 방식의 네트워크 접근 통제 솔루션을 활용하여 기술 및 경영 정보 유출 범죄를 방어 가능

 

스마트워치 보안 규제 강화

- 스마트워치의 보급률과 유출 도구로서의 성능에 비해 관련 보안 규제가 부족하다는 점을 인식해야 함.

  스마트워치의 비인가 구역과 사용 상황을 정의하고, 사내 보안팀이 이를 정기적으로 감사하는 시스템이 필요하다

 

기술 보호 규정 재정 및 업데이트

- INFOWATCH의 보고서에 따르면, 64.5%의 기술 및 경영 정보 유출은 내부자에 의해 발생. 따라서 기업 내 직원들에게 유출 관련 경각심을 고취할 필요가 있음

 

스마트워치용 MDM 제작:

- 상대적으로 기술적인 보안 조치가 우수한 대기업의 경우 스마트워치용 MDM 솔루션을 개발하는 것이 예방 방안으로 제시될 수 있음 ADB 로그 분석에서 나타난 바와 같이 스마트워치와 PC 간의 연결은 주로 Wi-Fi를 통해 이루어지므로, 스마트워치에 대한 다양한 제어 기능이 필요

 

 

---

 

 

[7] 결론

 

 

- 제시한 로그를 통해 스마트워치의 앱 사용 정보와 네트워크 통신 관련 정보를 확인할 수 있었으나 ADB dumpsys 명령어로 얻은 로그는 유지 시간이 짧고 시간 정보가 1시간 단위로 기록되는 경우가 많아 짧은 수명과 모호함이라는 한계가 존재

- 스마트폰과 달리 USB 단자가 존재하지 않고 스마트워치의 펌웨어가 비공개인 점 때문에 현재 스마트폰에 적용 가능한 포렌식 방법을 스마트워치에 바로 적용할 수 없는 문제점도 확인됨

 

- 현재 정보 유출 범죄에서 스마트워치가 범죄 수단으로 사용되는 경우는 많지 않지만 스마트워치의 성능 발전 속도와 안드로이드 애플리케이션 개발의 용이성을 고려할 때, 기술 유출 범죄의 수단으로 충분히 사용될 가능성이 존재

- 현재 많은 기관에서 보안 정책이 스마트워치를 통제하지 않고 있으며 기밀 유출 범죄 발생 시에도 이메일, 클라우드, 모바일 저장 매체 등이 주로 조사 대상이 되지만 스마트워치에 대한 고려는 부족함.

 

- 스마트워치의 보안 위협을 고려하여 선제적으로 보안 정책에 반영하려는 노력이 필요함.

- 스마트워치의 Full File System 분석을 위한 취약점 연구가 필요하며 스마트워치의 데이터 확보를 용이하게 할 수 있도록 모바일 데이터 획득 도구의 무선 연결 및 무선 디버깅 기능이 추가 개발되어야 함

 

 

 

 

 

주제 선정 이유: 전공 과목에서 스마트워치 정보 유출 공격에 대해 배웠는데 관련 논문이라 흥미로워서 선정했다.

 

느낀 점: 스마트폰에 비해 스마트 워치 보안에 허점이 많음을 알게 되었다. 나도 스마트워치를 사용하고 있는데 사용에 조심해야겠다고 생각하였으며, 스마트워치에 보안에 더욱 관심을 가지는 계기가 되었다.

 

갤럭시 워치를 중심으로 본 스마트워치 활용 기술유출의 위험성 및 대응방안에 대한 연구.pdf

10.22MB