행정자치부가 지난달말부터 공무원 전용 모바일 메신저 '바로톡' 시범 운영을 시작했다. 공무원들이 업무용 자료를 카카오톡과 같은 일반 모바일 메신저를 통해 많이 공유하면서 보안 우려가 불거진데 따른 조치였다.
행정자치부 스마트서비스과 관계자는 기존 국회, 언론 등에서 카카오톡과 같은 민간 메신저를 쓸 경우 자료가 민간 서버에 남는다는 문제를 해결하기 위해 바로톡을 개발하게 됐다고 말했다.
명분대로 행자부는 바로톡에 보안 기능을 강화했다. 바로톡에 모바일뱅킹에 활용되는 공인인증서 기술(PKI)을 쓰고, 통신구간 및 서버 암호화를 통해 정보가 밖으로 새나가지 못하도록 했다. 그러나 보안성이 강화된 만큼 사용성은 악화될수 있다는 우려도 있다.
기자도 직접 바로톡 애플리케이션(앱)을 설치해봤다. '알 수 없는 출처 앱 허용'을 체크해야 한다는 점, PC와 연동해서 인증서를 가져와야 한다는 점, PC에서 또 다시 추가적인 보안프로그램을 설치해야 한다는 점 등 불편해 보였다.
기존 스마트폰 관련 해킹 사고에서 많은 비중을 차지한 사례 중 하나는 알 수 없는 출처 앱을 허용한 상태에서 악성 앱 실행파일(.apk)이 설치되는 것이었다. 바로톡 앱을 안전하게 설치했다고 하더라도 해당 옵션을 다시 체크해제 하지 않는 이상 스미싱 등 수법을 통해 다른 악성 앱이 설치될 가능성이 높아지는 셈이다. 설정을 안전하게 하면 그만으로 볼수 있지만 소수의 불이행으로 인해 대형 사고가 터질 가능성도 배제할 수 없다.
바로톡을 쓰려면 회원가입 과정에서 행정전자서명(GPKI)이 필요하다. 이 방식은 기존에 모바일뱅킹에 사용되는 공인인증서(PKI)를 쓰는 것과 같은 프로세스를 따른다. 공무원들은 GPKI 인증센터를 통해 발급받은 인증서를 PC나 외부 저장매체에 저장한 뒤에 다시 스마트폰으로 복사하는 과정을 거쳐야 한다.
관련기사
- 공무원용 모바일 메신저 '바로톡' 나온다2015.01.02
- 비트코인 9만9천 달러 돌파...SEC 위원장 사임 소식에 급등2024.11.22
- "피부 컨설팅 받고 VIP라운지 즐겨요"…체험 가득 '올리브영N 성수' 가보니2024.11.21
- 9장 사진에 담아본 '디즈니 쇼케이스 2024' 이모저모2024.11.22
물론 이 과정에서 암호키저장모듈, 키보드보안, 인증서 보안, 인증서 발급모듈 등을 추가로 설치해야 한다. 기자가 직접 설치해본 결과 구글 크롬 등 마이크로소프트(MS) 인터넷 익스플로러가 아닌 브라우저에선 인증서를 발급받을 수 없었다. 액티브X 기반 플러그인 설치해야 했기 때문이다. 액티브X 퇴치가 국가적 이슈로 등장한 상황인 만큼, 지적 사항이 될수 있는 부분이다. GPKI는 회원가입할 때만 사용하고 평소에는 4자리 숫자 비밀번호를 입력하면 된다.이와 관련 고려대 정보보호대학원 김승주 교수는 개인적으로는 별도 모바일 메신저를 쓰기보다는 여러 사람들이 사용하는 메신저에서 보안성을 높이는 방안을 연구하는 것이 맞다고 본다며 바로톡이 지난해 보안문제가 불거졌던 군인 및 군인 가족용 메신저인 솔저톡과 같은 길을 걸어서는 안 될 것이라고 지적했다.
솔저톡의 경우 기본적인 암호화 채널 설정도 돼 있지 않은데다가 심지어 메시지를 저장하는 웹서버에 일반 사용자가 직접 접속해 다른 사용자들이 올린 정보까지 조회할 수 있도록 했다는 점에서 문제가 됐다. 바로톡은 솔저톡과는 달리 기본적인 보안성에 대한 검토는 이뤄졌지만 실제로 쓸만한 서비스가 되기까지는 여러 보완이 필요하다는 지적이다.