인터넷에 연결된 기기가 집 안에 몇 대나 있는지 알고 있는가? 나는 잘 모른다. 요즘에는 온도조절기, TV, 전구, 에어컨, 냉장고에 이르기까지 거의 모든 것이 인터넷에 연결되어 있다. 지난 몇 주간 몇 가지 대화를 통해 나는 이 스마트 홈 기기들이 얼마나 많은 데이터를 생산하고 있는지, 그리고 얼마나 많은 사람이 원하는 경우 이 데이터에 접근할 수 있는지 알게 되었다.

‘IoT 포렌식’이라 불리는 분야에서 일하는 사람들과 이야기를 나눴다. 포렌식은 이러한 기기를 탐색하여 데이터와 궁극적인 단서를 찾는 일을 의미한다. 미국의 법률 집행 기관과 법원에서 IoT 기기의 데이터를 직접 언급하는 경우는 많지 않으나, 이 기기는 사건 해결에 있어 점차 더 중요한 부분이 되고 있다. 이는 범죄 현장에 있는 IoT 기기가 육안으로는 보이지 않는 비밀을 담고 있기 때문이다. 누가 언제 불을 껐는지, 커피를 끓였는지, TV를 켰는지 등의 비밀은 수사의 중요 단서가 될 수 있다.

마티아 에피파니(Mattia Epifani)도 IoT 포렌식 전문가 중 한 명이다. 그는 자신을 해커라 부르지는 않지만, 기기 내 데이터 추출 여부를 조사하는 데 도움이 필요할 때 경찰이 찾는 사람이다. 에피파니는 산스 연구소(SANS Institute)의 디지털 포렌식 전문가이자 강사로, 전 세계의 변호사, 경찰, 일반 의뢰인과 일하고 있다. 

에피파니는 “나는 마치.. 집착하는 것 같다. 기기를 볼 때마다 어떻게 저 기기로부터 데이터를 추출할 수 있을지 생각한다. 물론 항상 테스트용 기기나 허가받은 상황에서만 한다”고 말한다. 

경찰이 수사 지원을 위해 압수하는 기기의 종류는 스마트폰과 컴퓨터가 가장 일반적이지만, 에피파니는 범죄의 증거는 모든 장소에서 나올 수 있다고 말한다. 에피파니는 “위치가 될 수도 있고, 메시지가 될 수도, 사진이 될 수도 있다. 무엇에서든 증거가 나올 수 있다. 사용자의 심박수나 걸음 수 일 수도 있다. 이 모든 것은 기본적으로 전자기기에 저장된다”고 덧붙였다. 

삼성의 냉장고를 예로 들면, 에피파니는 미국의 디지털 포렌식 연구소인 VTO 랩스(VTO Labs)의 데이터를 사용해 스마트 냉장고가 소유자의 정보를 얼마나 많이 보관하고 있는지 조사했다. 

VTO 랩스는 삼성 냉장고에 테스트용 데이터를 넣어 데이터 저장 시스템을 역설계(reverse-engineer)한 후, 이 데이터를 추출한 데이터베이스 사본을 연구자들이 사용할 수 있도록 웹사이트에 공개했다. VTO 랩스의 CEO 스티브 왓슨(Steve Watson)은 이 작업이 냉장고 내부 및 외부, 즉 앱 또는 외부 클라우드 저장공간 등 데이터를 저장할 수 있는 모든 장소를 찾아내는 일이라고 설명했다.

그가 발견한 것은 개인 정보의 보물창고였다. 에피파니는 냉장고 근처에 연결된 블루투스 장치 정보, 사용자 이메일 주소와 가정용 와이파이(Wi-Fi)와 같은 삼성 사용자 계정 정보, 온도 및 지리적 위치 데이터, 시간별 에너지 사용량 통계 등의 정보를 발견했다. 냉장고는 사용자가 아이하트라디오(iHeartRadio) 앱을 통해 음악을 재생한 시간을 저장했다. 에피파니는 냉장고 내부에 장착된 소형 카메라 덕분에 냉장고 선반에 있는 다이어트 콜라와 스내플(Snapple, 아이스티 음료 상품)의 사진에도 접근할 수 있었다. 더 나아가, 에피파니는 중앙화된 개인 정보 및 가족 공유 계정을 통해 냉장고를 다른 삼성 디바이스에 연결하면, 훨씬 더 많은 데이터를 냉장고에 저장할 수 있다는 사실을 발견했다. 

냉장고 구입 시 이러한 사실이 사람들에게 비밀로 되었거나 숨겨져 있는 것은 아니다. 하지만 내가 수사 대상이 되었을 때, 나는 영장을 보유한 경찰관이 내가 냉장고를 열 때마다 배고픈 얼굴로 치즈를 찾고 있는 모습을 볼 수 있을 것이라 예상하지는 않았을 것이다. 삼성 측은 MIT 테크놀로지 리뷰 취재에 답하진 않았지만, IoT 세계에서 이들은 꽤 표준적인 관행을 따르고 있다. 이러한 많은 IoT 기기는 유사한 유형의 데이터에 접근하고 이를 저장한다. 

왓슨과 에피파니에 따르면 범죄 수사에 유용한지 증명하기 위해 특별히 정교해질 필요도 없다. 

두 사람은 스마트 냉장고보다 더 은밀한 장치들을 연구해 왔다. VTO 랩스는 마약 밀매업자의 선박 이동 데이터가 포함되어 있는지 파악하기 위해 부표의 회로기판을 검사한 적도 있다. 왓슨은 이 회로기판을 통해 위성통신 제공사와 밀수업자와 관련된 계좌번호를 알 수 있었다고 말한다. 

수많은 보안 및 개인정보 보호 위험은 물론, 많은 IoT 기기는 보안에 취약한 오래된 운영체제에서 운영된다. 이는 사용자들이 운영체제를 업데이트해야 한다는 점을 거의 떠올리지 못하기 때문이다. 에피파니는 “사람들이 냉장고를 업데이트하는 모습을 상상할 수 있는가? 있을 수 없는 일이다”라고 말한다. 

보안 및 개인정보 보호 문제는 인터넷과 연결된 사물이 점점 많아지면서 더욱 커질 것이다. 최근 미국 시사지 <애틀랜틱(Atlantic)>은 스마트 TV가 소파에 앉은 시청자의 데이터를 수집하는 것에 대해 훌륭한 기사를 썼다. 필자의 동료인 에일린 구오(Elieen Guo)는 룸바 로봇 청소기가 어떻게 사생활 침해 사진을 찍을 수 있는지에 대한 조사를 통해 제품 테스트 사용자들로부터 데이터가 수집된 방법을 보여줬다. 

왓슨은 정부나 테크 기업이 온도 조절 장치를 통해 사용자를 염탐하는 것 자체를 걱정하지는 않는다. 그는 데이터 브로커가 사용자의 데이터를 판매하고 수집하는 방식을 더 걱정하고 있다.  

왓슨은 “사람들이 이해하지 못하는 위험이 여기 있다. 침대가 내 수면을 추적하고, 심박수를 측정하고, 침대 회사가 이 정보를 보험회사에 팔아서 내가 수면을 취할 때마다 심장마비가 올 뻔했는지, 무호흡증이나 기타 문제를 앓고 있는지 등을 보험회사가 알게 될 수 있다”고 말힌다. 

“기술이 모든 면에서 우리 삶에 침투할수록 … 우리는 기술이 어디로 가는지, 얼마나 수집되는지, 누가 그것을 손에 넣고, 그것으로 무엇을 하고 있는지 통제할 능력을 상실하게 될 것”이라고 왓슨은 덧붙였다.