코로나 자가격리 앱, 보안 취약점 있었다

보안업계 "방역 당국 개인정보 관리 체계 종합 점검해야"

컴퓨팅입력 :2020/07/23 09:13    수정: 2020/07/23 13:40

코로나19 감염 확산을 막기 위해 정부가 개발한 '자가격리자 안전보호' 앱에 보안 결함이 발견됐던 것으로 나타났다.

행정안전부는 지난달 취약점 제보를 받고, 지난 주 배포한 최신 버전 앱에서 보안 결함을 수정했다. 그러나 발견된 보안 결함들이 기본적인 보안 수준에도 미치지 못한다는 점에서, 정부가 방역에 노력을 기울이는 과정에서 프라이버시 보호에는 소홀했다는 전문가 지적이 나왔다.

미국 일간지 뉴욕타임스는 지난 21일(현지시간) 이같은 사실을 보도했다. 보도에 따르면 서울에 거주하던 엔지니어 프레데릭 렉텐슈타인은 지난 5월 외국에 다녀온 뒤 한국에 입국 후 2주간 자가 격리했다.

자가 격리 기간 동안 해당 앱을 사용하면서 렉텐슈타인은 보안 상의 취약점들을 발견했다. 사용자 계정(ID) 번호가 쉽게 추측할 수 있도록 할당되고 있던 것. 이 때문에 사용자의 개인정보, 실시간 위치, 의학적 증상 등 개인정보가 탈취될 가능성이 있었다.

자가격리자 안전보호 앱

앱과 서버 간 통신 방식에서도 보안 취약점이 발견됐다. 불안정한 암호화 방식을 사용, 제3자가 데이터를 탈취할 가능성이 존재했다.

렉텐슈타인은 이같은 취약점에 대해 행안부 관계자들을 만나 보고했다. 보도에 따르면 행안부는 코로나19 감염 확산을 막기 위해 자가격리 앱을 최대한 빨리 배포하기 위해 서둘렀다며, 이같은 보안 결함에 대해 인정하고 문제를 해결했다.

행안부 관계자는 "개인정보 주체가 식별되거나 데이터가 노출되지 않도록 키 값을 난수화했고, 수동으로 지우던 자가격리자 데이터를 자동 삭제되도록 조치했다"고 답했다.

이에 대해 보안업계는 발견된 취약점들이 사전에 예방할 수 있었던 내용들인 만큼, 소프트웨어 보안에 보다 노력을 기울여야 한다고 지적했다.

소프트웨어 보안 업체 관계자는 "자가격리 앱에서 발견된 결함은 ID를 부여하는 방식이 단순해 해커들이 정보를 파악하기에 용이했고, 데이터 전송 시 불안정한 암호화 방식 때문에 데이터를 쉽게 해독할 수 있었다"며 "이런 결함은 소스코드 점검도구를 활용하면 확인할 수 있었던 취약점이고, 데이터 전송 과정에서도 HTTPS 프로토콜 등 안전한 보안 방식을 사용하고 있는지도 검사해 사전에 제거할 수 있었다"고 설명했다.

발견된 취약점이 기본적인 보안 요건을 충족하지 못해 발생했다는 점에서, 방역 당국이 정보보안에 대한 체계적인 개선책을 시행해야 한다는 전문가 의견도 제기됐다.

권헌영 고려대 정보보호대학원 교수는 "프로그램 개발 과정에서 보안 내재화가 이뤄지지 않았고, 서비스를 출시한 이후에도 취약점 여부를 계속 확인하고 신속히 패치를 실시해야 하는데 그런 사후 관리도 제대로 이뤄지지 못한 것"이라며 "코로나19 확산 방지를 위해 프라이버시 주권을 양보하는 상황에서 신뢰를 저버렸다"고 지적했다.

이어 "방역 당국 내에 IT 인력이 개발자 외에도 개인정보 관리나 보안 전문가가 함께 투입돼 운영되면 각 전문가들이 협업해 이런 문제를 예방할 수 있다"며 "이번 일을 계기로 정부의 코로나19 대응 과정에서 개인정보 침해 소지가 있는 부분을 종합적으로 점검할 필요가 있다"고 강조했다.

관련기사

고려대 정보보호연구원 디지털포렌식연구센터장인 이상진 교수는 "보안을 위해 암호화 과정에서 생성되는 암호키를 쉽게 찾아내 데이터 도청이 가능한 구조였던 것으로 보인다"며 "이는 SSL 표준 등을 적용해 쉽게 방지할 수 있던 부분"이라고 언급했다.

이상진 교수는 "보안에 신경쓰지 않고 개발에 너무 급급했던 것으로 보인다"며 "개선된 앱은 정말 안전한지 전문가의 재평가가 필요하고, 앞으로도 보안에 대한 지속적이고 객관적인 점검이 필요하다"고 덧붙였다.