비콘서비스 ‘봇물’…보안 이대로 괜찮은가?

비콘이 IT 시장에서 뜨거운 주목을 받고 있다. 해외는 물론 국내 통신업계나 O2O 서비스 업체에서도 비콘 서비스를 활용해 인프라를 구축하고 있다.

비콘은 블루투스 저에너지(Bluetooth Low Energy, BLE) 통신 규약에 의한 저전력 기술을 통해 근거리(20cm) 서비스 NFC 대비 최대 지원 범위 50M내에서 정확한 위치기반 서비스, 일대다 또는 다대다 맞춤 정보 제공 등의 다양한 정보를 제공하는 서비스다.

또 디바이스 자체에서 ID값을 사용자의 스마트기기에 발신해 사용자 정보를 접수하고 블루투스를 통해 비콘 매니저 또는 서버에 정보를 제공한다. 비콘 매니저와 서버는 접수 받은 사용자 정보와 ID값 발신 장소를 분석해 그에 맞는 정보를 사용자에게 재발신한다.

통신 업계나 O2O 서비스 업체들은 비콘의 특성을 활용해 위치에 맞게 정보를 송·수신 할 수 있는 O2O 플랫폼을 지속적으로 출시하고 있다. 그러나 일부 정보통신 관계자들은 블루투스 기반의 비콘 서비스가 O2O플랫폼을 통해 사용자의 개인정보를 활용하다 보니 스니핑이나 DDoS(서비스 거부 공격), 해킹 등의 보안위협에 취약해 질 것이라는 우려를 표하고 있다.

해외, 서비스 전문성 강화·국내, 서비스 다양화로 편의성 강화
비즈니스인사이더에 따르면 비콘의 전세계 시장규모는 2015년 400만달러에서 2018년에는 4500만달러에 달해 약 10배 이상의 성장을 이를 것으로 전망했다.

해외의 비콘 서비스 사례를 보면 지난 2013년 애플이 출시한 아이비콘(iBeacon)은 근처의 iOS 디바이스에게 공원의 경로 표시, 박물관 전시물, 매장의 상품 진열 등 사용자 위치 인식을 앱에 제공한다.

실제로 애플은 미국 뉴욕에 위치한 메츠 구장에 아이비콘을 설치해 iOS 디바이스 사용자에게 자기 위치, 구장 및 경기 정보, 좌석안내 등을 제공하고 있다.

온라인 결제 서비스를 제공하고 있는 페이팔(Paypal)은 비콘 서비스와 결합해 이용자가 매장 진입 시 이용자의 스마트폰에 있는 자사 모바일 앱과 매장의 비콘 기기가 연동해 정보가 매장 서버에 전달된다. 매장은 전달된 정보를 활용해 이용자 신원을 확인하고 그동안 기록된 매장 동선, 구매한 제품 등의 정보를 활용해 이용자에게 맞춤 정보를 제공한다. 이후 이용자가 페이팔로 결제한다고 매장에 전달하면 자동결제로 쇼핑금액을 지불한다.

국내 시장 같은 경우 미래창조과학부에 따르면 지난해 국내 사물인터넷 시장은 전년 대비 28% 성장해 4조8천억 원 규모를 기록했고 KT경제경영연구소는 O2O 서비스를 통한 온라인 상거래 규모가 약 51조원이라고 밝혔다.

김현진 신한금융투자 연구원은 “비콘은 스마트폰과 BLE 기술의 서비스 결합을 통해 통신업계와 O2O업체가 주목하고 있는 가운데 비콘 서비스는 온·오프라인의 유기적 연계를 통해 소비자 편의성을 제공했다”며 “비콘은 BLE 기술로 향후 홈 오토메이션, 헬스케어, 커넥티드카 등 다방면에서 대중화가 진행돼 높은 성장성이 기대된다”고 전했다.

국내 활성화된 비콘 시장에는 크게 통신업계와 O2O 서비스 업체가 있다. 대표적으로 SK텔레콤과 얍(YAP)이 비콘과 O2O 서비스와 결합해 제공하고 있다.

SK텔레콤은 지난해 하반기부터 최근까지 자사의 위치기반 플랫폼과 IoT 서비스를 활용해 다양한 비콘 서비스를 지속적으로 출시하고 있다.

지난 2015년 7월 SK텔레콤은 자사 위치기반 플랫폼 위즈턴(WIZTURN)을 활용해 사용자 스마트폰 블루투스 자동 온·오프(ON·OFF)기능과 구역별 개별 설정 정보 제공 기능인 마이크로 펜스를 통해 사용자에게 특정위치를 지날 때마다 정보를 제공하는 서비스를 출시했다.

경기장에 위즈턴과 전파 직진성 강화 및 신호의 각을 제한해 특정방향으로 전파를 송출하는 지향성 비콘을 기반으로 플레이 위드(PLAY With)를 제작했다. 회사측은 사용자들에게 경기장 이용 시 당일 정보, 좌석, 편의 시설 안내 등 애플의 i비콘과 유사한 기능을 제공하고 있다.

IoT레스토랑 서비스 일환으로 음식점과 제휴를 맺어 자리마다 비콘벨을 지원한다. 이용자가 블루투스를 통해 스마트폰과 비콘 기기를 연동해 음식 메뉴 주문, 서빙시간, 콘텐츠를 제공 할 예정이다.

SK텔레콤은 비콘과 실내 위측 기술 플랫폼을 통해 제휴 업체가 자체적으로 O2O 서비스를 개발하도록 지원 하고 융합서비스와 결합을 통해 지속적으로 서비스를 개발할 예정이라고 전했다.

얍

(YAP)은 고주파 기술과 BLE 기술을 결합한 자체 기술 하이브리드 비콘을 기반으로 이용자들이 실생활에서 사용하는 애플리케이션과 업체와 제휴를 통해 서비스를 제공하고 있다.

지하철 앱에 자사의 인프라를 제공해 지하철 정보와 인근 지하철역의 맛집, 주변 매장의 할인 혜택 등의 정보를 사용자가 제공 받을 수 있게 했다. 서울 시내버스에도 자사 비콘 기기를 설치해 지하철 앱과 같은 서비스를 제공한다.

프렌차이즈 매장과 협약해 하이브리드 비콘 기기를 국내 제휴 매장에 설치했다. 이에 따라 이용자는 별도 앱을 사용하지 않고 해당 매장의 정보를 받아 활용 할 수 있다. 또한 업체에 대한 정보 및 할인혜택을 받고 결제 할 수 있는 바로결제서비스를 제공한다. 휴대폰 소액 결제, NFC, 바코드 스캔 등의 결제 서비스를 지원하고 있다.

얍 관계자는 “얍은 2014년 6월 론칭 이후 사용자 위치기반 O2O 커머스 플랫폼을 계속해서 제공할 예정이고 앞으로 소비자 접점을 다각화 하는 것에 주력할 것”라며 “소상공인, 자영업자와 앱 사용자간의 O2O 커머스를 활성화 시키고 외식과 쇼핑영역의 콘텐츠를 강화 할 예정이다”고 전했다.

국내외 사례를 보면 해외의 비콘 서비스는 제품 기능과 서비스 성향에 집중해 정보 제공, 결제 등 각각의 서비스를 전문적으로 제공한다. 반면, 국내는 다양한 업체와 제휴를 통해 하나의 제품 안에서 다양한 정보와 서비스를 제공해 이용자에게 편의성을 제공하고 있는 것으로 파악됐다.

비콘 보안 위협 요소 미연방지·체계 확립 필요
비콘 서비스가 O2O서비스와 결합되고 나아가 IoT 서비스와 융합되면서 소비자의 편의성은 상승했으나 많은 이용에 따른 위험부담이 커지고 있다. 비콘이 블루투스를 이용한 무선통신이다 보니 무선통신보안위협에 쉽게 노출되는 것.

블루투스 v4.1 비콘 기반 쿠폰 융합서비스에서의 보안위협 연구(2015)에 따르면 비콘 서비스를 활용한 O2O 서비스를 주 공격 대상으로 스미싱 공격행태의 쿠폰(Coupon)과 피싱(Phishing)의 합성어인 쿠싱(CUshing)이 보안위협에 피해가 될 것이라고 전망했다.

쿠싱은 일정 관계 지역을 지나갈 때 비콘 서비스가 동작해 이용자의 스마트폰에 자동적으로 정보나 쿠폰을 보내면 공격자가 정보 및 쿠폰에 악성 코드를 같이 보내는 방식이다.

쿠싱 공격은 공격자가 비콘 매니저 서버에 수집한 개인정보를 기반으로 특정 사용자들에게 악성 앱 설치용 쿠폰을 발송한다. 이 때 이용자가 쿠폰 속 단축 URL을 클릭하거나 쿠폰을 받는 순간 악성 앱을 설치함과 동시에 감염된다. 이를 통해 공격자는 자유롭게 피해자 스마트폰의 권한을 획득할 수 있게 돼 개인정보나 금융정보 등을 탈취할 수 있게 된다.

이근호 백석대 정보통신학부 교수는 “비콘 기기가 설치된 장소에서 별도의 인증 없이 연결이 가능해 비교적 쉽게 비콘 서비스 서버에 대한 보안 공격이 가능할 것”라며 “비콘·O2O서버에 대한 공격에 의해 핀테크와 같은 결제서비스를 사용 시 위험도가 높아질 것”이라고 경고했다.

비콘 서비스는 날로 활용도가 높아지고 있고 사용자의 편의성 또한 강화됐다. 그러나 서비스 자체가 개인정보와 위치기반을 활용한 서비스다 보니 비콘 서버 해킹에 의한 정보 노출과 위치기반을 통한 사생활 침해에 대한 우려가 계속해서 나오고 있다. 비콘 서비스를 제공하는 업체들은 자사만 사용 가능한 서비스만 내놓지 않고 사용자가 불편을 격지 않고, 보안을 미연에 방지하기 위해서 비콘 서비스에 대한 기준 확립은 물론, 해킹·악성코드·사생활 보호 등을 위한 보안체계가 필요하다. 미래를 준비하는 혜안이 필요한 시점이다.