NYT "한국 코로나 자가격리앱에 보안 결함..최근 수정"
신종 코로나바이러스 감염증(코로나19) 확산을 막기 위한 한국의 ‘자가격리자 안전보호 앱’(이하 자가격리 앱)에 보안 결함이 있었다고 뉴욕타임스(NYT)가 21일(현지시간) 보도했다.
NYT의 이날 서울발 기사에 따르면 한국은 신종 코로나바이러스 감염증(코로나19) 확산을 억제하기 위한 디지털 도구를 긴급 전화 경보에서부터 다양한 데이터를 기반으로 한 공격적인 접촉 추적에 이르기까지 효과적으로 사용했다는 평가를 받아 왔다.
그러나 한 소프트웨어 엔지니어가 자가격리 앱의 중대한 보안 결함을 발견했다. 해커들에게 개인정보가 노출될 위험이 있었고, 심지어 자가격리 위반 여부에 관한 데이터를 조작할 수 있었다고 전했다.
보도에 따르면 서울에 사는 엔지니어인 프레데릭 렉텐슈타인은 지난 5월 외국 방문 후 서울 집으로 돌아와 2주간 자가격리를 하면서 이 앱을 깔게 됐다.
그는 자가격리 앱을 살펴본 결과 소프트웨어 개발자가 쉽게 추측할 수 있는 ID 번호를 사용자에게 배정하는 바람에 사용자 개인정보와 실시간 위치, 의학적 증상 등을 해커가 빼낼 수 있다는 문제점을 발견했다.
또 불안정한 암호화 방식을 사용, 해커가 쉽게 암호를 찾아내 각종 데이터를 해독할 수 있었다고 렉텐슈타인은 밝혔다.
NYT는렉텐슈타인의 발견을 확인한 뒤 자가격리 앱을 관리하는 행정안전부 당국자들과 지난달 만나 문제점을 지적했다.
NYT는 “한국 관리들은 처음에 보안 문제를 경시했다. 2주 격리가 끝나면 사용자 개인정보를 모두 지운다고 말했다”라며 “하지만 격리 기간이 지난 렉텐슈타인이 그 자리에서 자신의 휴대전화 앱을 통해 정부 서버로부터 자신의 데이터를 다시 빼낼 수 있음을 보여줬다”고 전했다.
이에 행안부 당국자는 “바이러스 확산을 늦추기 위해 가능한 한 빨리 앱을 만들어 배치하느라고 매우 서둘렀다”며 보안 결함을 인정했다고 한다. 지난주 배포된 최신 버전에서는 이러한 결함이 수정됐다.
정보통신부는 지난주 구글과 애플 매장에 출시된 이 앱의 최신 버전에서 결함을 수정했다. 당국은 취약점을 보완하기 전에 개인정보가 부적절하게 검색되거나 오용됐다는 어떠한 보고도 받지 못했다고 말했다.
NYT는 이번 보도에서 올해 봄 인도의 코로나19 추적 앱에서 사용자의 정확한 위치가 노출되는 문제점이 발견된 사례, 카타르의 추적 앱에서도 비슷한 문제가 생긴 사례, 영국과 노르웨이가 바이러스 앱 도입을 번복한 사례를 언급하기도 했다.
소프트웨어가 사용자, 사용자의 건강, 위치에 대한 많은 세부 정보를 수집함에 따라, 이 앱들은 해커들의 주요 타깃이 됐다는 설명이다. 그러나 사안의 급박함으로 인해 보안 기능이 미흡한 소프트웨어가 여러 국가에서 긴급하게 출시될 수 있었던 것으로 보인다고 보도했다.
한편 정부는 지난 3월부터 ‘자가격리자 안전보호’ 앱 서비스를 실시해왔다. 이 앱은 자가격리자가Δ자신의 건강 상태를 스스로 진단해 매일 2회 자동으로 통보하고 Δ위치정보를 실시간으로 전담공무원에게 알려준다. 자가격리 장소를 이탈하면 전담 공무원에게 즉시 경보음이 울리며 조치할 수 있다.
배재성 기자 hongdoya@joongang.co.kr
Copyright © 중앙일보. 무단전재 및 재배포 금지.