고기능 스마트폰이나 스마트워치에는 디바이스 기울기나 가속도를 검지하는 가속도계가 탑재되어 있어 보수계나 전도 검출 기능 등에 응용되고 있다. 그런데 한 보안 연구자가 가속도계로 수집할 수 있는 정보는 사람들이 상상하는 것보다 넓고 iOS 앱은 아이폰이나 애플워치 가속도계가 수집한 데이터에 사용자 허가 없이 액세스 가능하다고 밝혀 경종을 울리고 있다.
아이폰에는 모션 데이터를 검출하기 위한 가속도계와 자이로스코프가 탑재되어 있는데 이 보안 연구자는 편의상 이런 센서를 정리해 가속도계라고 부른다. 가속도계 데이터를 활용하는 많은 앱이 있지만 사용자는 이 앱이 가속도계 데이터를 수집하고 있다고 의식하지 않는다. 이는 앱이 위치 데이터, 블루투스, 카메라 등에 액세스할 때 사용자의 명시적 동의가 필요한 반면 가속도계 데이터에 대한 액세스는 명시적 허가가 필요하지 않기 때문이다.
앱이 가속도계 데이터에 액세스할 수 있는 건 포그라운드에서 활성화된 경우에만 백그라운드에서 실행되는 앱은 데이터에 액세스할 수 없다. 하지만 보안 연구자는 앱이 가속도계 데이터에서 수집할 수 있는 개인 정보는 다양하며 사용자 프라이버시를 위협할 수 있다고 지적한다.
그가 지적하는 가속도계를 통한 데이터 수집 시나리오는 이렇다. 가속도계 데이터는 스마트폰을 잡는 방법과 움직임 방법을 반영하기 때문에 앱을 사용 중인 사용자가 누워 있는지 앉아 있는지 걷고 있는지 사이클링을 하는지 여부와 같은 정보를 알 수 있다. 또 아이폰은 앱이 보수계에 액세스하는 걸 제한하고 있지만 가속도계에서 보수를 추측하는 고정밀 알고리즘도 존재하기 때문에 사용자 보수를 조사하는 것도 가능하다는 것.
또 아이폰에는 기압과 고도를 측정하는 기압 센서도 탑재하고 있어 앱은 가속도계와 마찬가지로 기압 센서 데이터에도 명시적인 허가 없이 액세스할 수 있다. 그 결과 앱을 사용하는 동안 고도와 기압을 측정할 수 있어 사용자가 버스를 타고 있는지 기차를 타고 있는지 아니면 비행기를 타고 있는지를 알 수 있다.
다음은 심박수와 호흡수. 가속도계는 아이폰을 보유한 사용자 손과 몸으로부터 전해지는 미세 진동을 검출할 수 있어 이 데이터를 이용해 심박수를 추출할 수 있다는 연구 결과도 보고되고 있다. 다시 말해 iOS 앱은 가속도계 데이터를 수집하는 것으로 앱 사용 중 심박수를 검출할 가능성이 있다는 것. 또 심박수와 마찬가지로 가속도계를 사용해 호흡수를 측정할 수 있다는 연구 결과도 있기 때문에 호흡수에서 추측할 수 있는 특정 질병을 진단하는 것도 가능하다고 말한다.
다음은 정확한 위치 정보. 가속도계 데이터에는 위치 정보가 포함되어 있지 않지만 특정 환경에 고유 진동 패턴을 이용해 정확한 위치 정보를 추측할 수 있다고 말한다. 예를 들어 A라는 사람이 위치 공유를 사용 중지한 앱을 열고 특정 버스를 타는 경우 앱은 A 위치 정보를 알 수 없다. 한편 같은 버스에 위치 공유를 켜고 같은 앱을 열고 있는 사람 B가 타고 있을 경우 앱은 B 위치 정보를 알 수 있다.
앱이 A와 B 스마트폰에서 가속도계 데이터를 수집하는 경우 앱은 두 스마트폰이 공통 진동 패턴을 갖는다는 걸 알 수 있다. 그 결과 앱은 스마트폰 2대가 같은 장소에 있다고 판단해 위치 정보 공유를 오프로 하고 A 정확한 위치 정보를 알 수 있다고 한다.
다음은 오디오 기록. 전화 스피커로부터 발하는 음파는 진동이 되어 스마트폰에 전해져 가속도계에서도 독특한 진동 패턴을 검출하고 있다는 것. 2019년 연구에선 가속도계 데이터로부터 음성 데이터를 재구축할 수 있었다고 보고됐으며 앱을 열면서 이뤄진 통화 오디오 기록을 수집할 수 있을 가능성이 있다는 지적이다.
실제로 이 보안 연구자는 애플 통합 개발 환경 엑스코드(Xcode)에 있는 아이폰 시스템 로그를 표시하는 옵션을 사용해 여러 앱에 대해 가속도계 데이터를 일고 있는지 여부를 조사했다. 그 결과 페이스북과 메신저, 인스타그램, 왓츠앱, 시그널, 슬랙, 텔레그램, 틱톡, 트위터, 위챗 등 앱으로 가속도계 데이터를 수집하고 있는 걸 알았다고 한다. 여러 앱이 특정 기능과 관련된 경우에만 데이터를 수집했지만 페이스북은 가속도계 관련한 것으로 보이는 기능을 꺼도 항상 데이터를 수집하고 있었다고 한다.
이렇게 가속도계 데이터는 적절한 알고리즘을 이용하면 다양한 개인 정보로 변환하는 게 가능하다고 지적하면서 개인 정보 보호 관점에서 가속도계에 대한 액세스도 보호해야 한다고 지적한다. 관련 내용은 이곳에서 확인할 수 있다.