HTML5의 배터리 잔량 정보 전송 소프트웨어 취약점

“휴대전화 배터리가 해커에게 당신의 신원이나 인터넷 사용 기록 등을 알려주는 스파이 역할을 할 수 있다.”

영국 일간지 인디펜던트는 3일 배터리의 이런 스파이행위는 프라이버시 보호에 매우 철저한 휴대전화 사용자도 피해가기 어렵다고 보도했다.

이는 인터넷상 이용자들이 웹을 보고 읽고 할 수 있게 해주는 기술인 HTML5의 취약점 때문이라고 신문은 전했다.

HTML5에 포함된, 이른바 ‘배터리 상태 API’(일종의 소프트웨어)는 사용자가 인터넷상에서 웹 서핑을 할 때 휴대전화 배터리 잔량이 얼마나 남아있는지를 웹들에 알려주는 기능을 한다.

또 배터리가 다 닳아갈 경우엔 사용자가 방문 중인 웹들이 휴대전화의 절전모드를 가동, 배터리를 보존하도록 도움을 줄 수 있도록 설계돼 있다.

웹이 이 정보를 받는 일은 휴대전화 주인에게 허락받지 않고도 이뤄진다.

그러나 문제는 이때 전송되는 정보를 이용하면 해커가 휴대전화 기기 고유정보는 물론 사용자가 방문한 웹 페이지 등에 관한 정보도 주인이 모르는 사이에 파악할 수 있다는 것이다.

통상적으로 컴퓨터나 스마트폰 사용자들은 자신의 인터넷 서핑 기록 등의 추적을 막으려 가상사설망(VPNs) 같은 기술이나 구글크롬 등이 제공하는 사생활보호 브라우징 등을 이용하면 된다.

하지만 배터리 상태 API의 취약점은 이런 예방조치마저 우회하는 데 사용될 수 있다.

최근 ‘유출 배터리:HTML5 배터리 상태 API’ 제목의 보고서를 통해 이런 문제점을 발표한 연구자들은 “웹사이트들이 배터리 상태 정보를 보기 위해선 그 전에 휴대전화 주인인 사용자에게 허용 여부를 묻는 절차가 마련돼야 한다”고 지적했다.

또 배터리 상태 소프트웨어들이 어떻게 사용되는지에 대해서도 모바일 사용자들에게 더 많은 정보가 제공돼야 한다고 강조했다.

연합뉴스