누구나 한번쯤은 거리를 걷다 스마트폰 화면에 뜬 근처 매장의 할인 정보를 확인하거나, 카페 카운터에서 기다리는 대신 모바일 앱 클릭 몇 번으로 음료를 주문하고 음료가 만들어졌다는 스마트폰 알람을 확인해 커피를 받아온 경험이 있을 것이다

이러한 O2O(Online To Offline) 서비스의 근간이 되는 ‘비콘(Beacon)’은 블루투스 4.0 프로토콜을 기반으로 근거리에 있는 모바일 기기의 위치를 인식해 데이터를 전송할 수 있는 무선 통신 기술로 위치 기반 서비스 제공을 위해 폭넓게 사용되고 있다.

비콘은 다른 근거리 무선 통신 기술에 비해 위치 기반 서비스 제공에 최적화된 여러 특징을 보유하고 있다. 10cm 이하의 거리에서 장치 간 접촉을 통해 사용이 가능한 NFC나 사용자가 페어링을 해야 하는 블루투스와 달리, ‘비콘’은 별도의 연결 없이도 최대 70m 거리에서 동작이 가능하다. 또한, 실내 위치 파악에 제약이 있는 GPS와 다르게, 사용자가 단말기로부터 얼마나 떨어져 있는지 정밀한 위치 파악이 가능하고, 저전력의 블루투스 4.0 기술에 기반해 배터리 소모가 적다는 점도 주목할 만한 장점이다.

이러한 기술적 특성에 힘입어, ‘비콘’은 앞서 예로 든 마케팅 콘텐츠 발송과 상품 결제는 물론 기업의 방문자 출입 관리 및 정보 자산 보호를 위해 유용하게 활용되고 있다. 실제로, 많은 기업들이 비콘 기술을 MDM(모바일단말관리) 솔루션에 적용하여 내부 정보가 외부로 유출되지 못하게 보안을 강화하고 있다. MDM 앱을 다운로드 받은 방문자가 이동할 시 비콘으로 위치를 파악하고, 규정에 따라 카메라·마이크·화면 캡처 등 스마트폰의 일부 기능을 사용하지 못하게 제어하는 방식이다.

더 나아가 비콘은 시민을 위한 공공 서비스 분야에도 폭넓게 적용되고 있다. 서울 강남구는 보행로에 설치된 비콘 센서와 스마트폰 앱을 통해 시각장애인에게 현재 위치와 주변 정보를 음성 서비스로 안내하는 ‘사물인터넷 무(無)장애길’을 조성했다. 부산시는 열쇠고리 모양의 발신기(비콘)를 소지한 임산부가 지하철에 타면 임산부 배려석에 설치된 수신기가 비콘 신호를 감지해 불빛과 음성 메시지로 임산부가 있음을 알리는 ‘핑크라이트’ 캠페인을 작년 12월부터 진행하고 있다.

비콘 보안 위협과 사생활 침해 논란…어떻게 해결해야 할까

하지만 이렇게 유용한 비콘 기술이 확산되기 위해서는 반드시 선결되어야 할 과제가 있다. 가장 큰 문제는 보안이다. 공개된 위치에서 128비트의 보편적인 고유 식별자인 신호 정보(UUID/Major/Minor)를 이용해 광범위한 범위의 사용자에게 데이터를 송출하는 비콘의 특성 상, 비콘 시스템을 복제해 정보를 빼가는 ‘클로닝(Cloning)’ 공격 혹은 패킷 정보를 조작해 통신 흐름을 왜곡시키는 ‘스푸핑(Spoofing)’ 공격이 발생할 위험성이 높은 것으로 지적되고 있다.

즉, 공격자들은 비콘과 서버, 스마트폰이 주고 받는 데이터를 가로채 민감한 개인정보를 유출하거나, 비콘 관리 서버를 장악한 뒤 비콘이 동작하는 구역을 지나가는 사용자에게 악성코드를 삽입한 쿠폰을 발송해 스마트폰을 감염시키는 쿠싱(Cushing, 쿠폰과 피싱의 합성어) 공격을 감행할 수 있다. 이에 맞서 사용자와 사용자의 정보를 안전하게 보호할 수 있도록, 송출되는 UUID를 포함한 패킷을 시간 주기로 랜섬 생성하는 ‘안티 스푸핑’ 솔루션 등의 보안 솔루션 도입이 반드시 필요할 것으로 보인다.

사용자의 사생활 침해 가능성 역시 반드시 짚고 넘어가야 할 문제 중 하나다. 일부 애플리케이션이나 MDM 솔루션의 경우, 비콘을 이용하기 위한 필수 정보만이 아니라, 통화·메시지 기록, 인터넷 열람 기록 등 비콘 사용과 무관한 자료 수집 약관에 모두 동의하지 않으면 설치를 하지 못하는 등 필요 이상의 광범위한 접근 권한을 요구하고 있는 것으로 나타났다. 또한, 수집된 개인정보 보유 기간을 ‘계정 등록 후 해지(탈퇴 신청)까지’로 명시하는 등 개인정보처리방침도 허술한 것으로 나타났다.

만일 비콘을 활용한 솔루션과 서비스를 통해 필요 이상의 사용자 정보가 수집될 경우, 사용자의 위치나 이동 경로는 물론 행동 패턴까지 쉽게 파악될 수 있는 여지가 있다. 따라서, 비콘 서비스 제공사들이 사용자의 사생활을 침해하지 않는 선에서 정보를 수집하고 수집한 정보를 안전하게 보호할 수 있도록, 사용자 정보 수집 범위와 그 활용 방안을 명확하게 명시하고, 필요 이상의 사용자 정보 수집에 대해 규제할 수 있는 법적 가이드라인이 시급히 마련되어야 할 것으로 보인다.