"앱과 서버 통신, 불안정한 암호화 방식 사용...와이파이 공동사용 해도 해킹 가능"
개발사, 앱 결함 수정..."정보 유출·오용 없어"
|
NYT는 이날 한 소프트웨어 엔지니어의 제보를 받고 확인한 결과 한국의 자가격리 앱의 중대한 보안 결함으로 해커들에게 개인정보가 노출될 위험이 있었고, 심지어 자가격리 위반 여부에 관한 데이터를 조작할 수 있었다고 전했다.
이에 NYT가 행정안전부 당국자를 만나 이 문제를 지적했고, 이 앱 개발사인 대구의 위니텍이 지난주 이 결함을 수정했다.
이 앱의 결함은 서울에 사는 엔지니어인 프레데릭 리히텐슈타인인 발견했다. 그는 지난 5월 외국 방문 후 서울 집으로 돌아와 2주간 자가격리를 하면서 이 앱을 깐 후 살펴본 결과 위니텍이 쉽게 추측할 수 있는 ID 번호를 사용자에게 배정하는 바람에 이름·생년월인·성별·국정·주소·전화번호 등 사용자 개인정보와 실시간 위치, 의학적 증상 등을 해커가 빼낼 수 있다는 문제점을 발견했다고 NYT는 전했다.
또 리히텐슈타인은 개발자들이 정보가 저장된 서버와 앱 간 통신을 암호화할 때 불안정한 방식을 사용해 해커가 쉽게 암호를 찾아내 각종 데이터를 해독할 수 있었다고 밝혔다.
NYT는 “이렇게 약한 암호화로 예를 들어 앱을 사용하는 다른 사람과 같은 비보호 와이파이 네트워크에 있는 것만으로도 이 앱과 서버 간 모든 통신을 감시하는 것이 간단히 가능할 것”이라고 지적했다.
NYT는 “한국 관리들은 처음에 보안 문제를 경시했다. 2주 격리가 끝나면 사용자 개인정보를 모두 지운다고 말했다”며 “하지만 격리 기간이 지난 리히텐슈타인이 그 자리에서 자신의 휴대전화 앱을 통해 정부 서버로부터 자신의 데이터를 다시 빼낼 수 있음을 보여줬다”고 전했다.
이에 행안부 당국자는 “바이러스 확산을 늦추기 위해 가능한 한 빨리 앱을 만들어 배치하느라고 매우 서둘렀다”며 보안 결함을 인정했다고 NYT는 전했다. 지난주 배포된 최신 버전에서는 이러한 결함이 수정됐다.
정부 당국자들은 이 앱의 보안 취약성으로 개인정보가 부적절하게 유출되거나 오용됐다는 어떤 보고도 없었다고 말했다고 NYT는 밝혔다.
위니텍 관계자는 앱 개발 당시 한국인 소수가 사용할 것으로 예상했다며 “공항 입국자 모두가 꼭 설치해야 하는 앱이 되는 등 이렇게 많은 사람이 사용할 줄은 상상도 못했다”고 말했다.
이 앱은 4월부터 해외에서 입국하는 모든 방문객과 한국인들에 대해 2주간 자가격리를 요구하면서 이를 감시하기 위해 스마트폰에 설치하게 했으며 지난달 기준 16만2000여명이 다운로드 받았다고 NYT는 전했다.
NYT는 한국뿐 아니라 자사가 올해 봄 인도의 코로나19 추적 앱에서 사용자의 정확한 위치가 노출되는 문제점을 발견해 수정한 사례, 앰네스티가 카타르의 추적 앱에서 민감한 개인 정보가 노출되는 문제점을 발견한 사례, 영국과 노르웨이가 바이러스 앱 도입을 사생활 침해에 대한 격렬한 항의 때문에 번복한 사례를 언급했다.