2020.10.28 (수)

  • 구름많음동두천 11.8℃
  • 흐림강릉 16.3℃
  • 흐림서울 14.8℃
  • 흐림대전 11.9℃
  • 흐림대구 11.8℃
  • 구름많음울산 12.9℃
  • 흐림광주 13.7℃
  • 흐림부산 16.2℃
  • 흐림고창 11.2℃
  • 흐림제주 16.4℃
  • 구름많음강화 13.5℃
  • 흐림보은 8.1℃
  • 흐림금산 9.2℃
  • 흐림강진군 14.0℃
  • 흐림경주시 9.4℃
  • 흐림거제 13.3℃
기상청 제공
배너

한국형 바이러스 추적앱 보안 결함, 눈치도 못챈 당국

담당 공무원 "일 많아서" 해명
지적 받고도 수리까지 지나치게 오래걸려
방역 선진국 명성에 직격탄 맞을 듯

URL복사



지난 21(현지시간) 뉴욕타임즈에 한국 검역 앱에서 주요 보안 결함이 발견됐다는 내용의 "한국형 자가격리 앱에서 주요 보안상 결함 발견 (Major Security Flaws Found in South Korea Quarantine App) "  보도가  나왔다. 다음은 기사 전문이다.

 

기사출처: https://www.nytimes.com/2020/07/21/technology/korea-coronavirus-app-security.html


 

이미 수리가 끝나긴 했지만 이번에 발견된 결함은, 격리 중인 사람들의 세부적인 개인정보까지 노출시켰다. 한국은 디지털 공중보건 분야에서 선구자로 각광받아왔다.

 

한국은 긴급 문자 경보에서부터 다양한 데이터를 기반으로 한 공격적 경로추적에 이르기까지, 코로나 바이러스 확산을 막기 위해 디지털 도구를 효과적으로 사용했다는 평가를 받아왔다.

 

그러나 이 전략의 중심축이자, 방역 강화에 도움이 되는 모바일 앱에, 개인정보를 노린 해커공격에 취약한 심각한 보안결함이 있다는 사실이, 한 소프트웨어 엔지니어에 의해  밝혀졌다.

 

뉴욕타임즈의 사실확인을 거쳐 현재는 수리가 끝난 이 결함들로, 해커들은 격리중인 이들의 이름, 실시간 위치 및 여타 세부정보를 검색하는 것이 가능했었다. 또한 해커들은 이 결함을 통해 마치 이 앱의 사용자들이 격리명령을 위반 중인 것처럼 보이게 하거나 다른 장소에 있으면서도 여전히 격리 중인 것처럼 보이게 하기 위해 데이터를 조작할 수 있었다.


엔지니어인 프레데릭 리히텐슈타인과 본지가 그들에게 이러한 사실을 통보한 후에야 보안상 실수를 알게되었다고 한국 공무원들은 인터뷰 도중에 인정했다.

 

이 앱의 총괄 담당인 행안부 정찬현 재난대응과장은 "우리는 바이러스 확산속도를 늦추기 위해 이 앱을 최대한 빨리 만들어 배치하는 게 정말 급했다"고 말했다. "시간이 걸리는 보안 점검으로, 앱의 배치를 지체할 여유가 없었다."


행안부는 이 앱의 최신 버전에서는 결함을 수리했으며, 이는 지난주 구글과 애플 매장에 출시됐다. 대한민국 공무원들은 이러한 취약성이 대충 때워질 때까지, 개인정보의 부적절한 검색 및 오용에 관한 어떠한 신고도 없었다고 말했다.

 

각국 정부들은 바이러스 추적 앱의 배치를 위해 경쟁해왔지만, 보안상 허점에 대한 불만에 직면해왔을 뿐이다. 사용자 및 그들의 건강과 위치 등 수많은 세부정보를 수집하는 소프트웨어 때문에, 이 앱은 해커들의 주요 타깃이 되었다. 그러나 신속한 조치를 취해야 한다는 압력으로 인해 보안기능이 미흡한 소프트웨어가 여러 나라에서 급하게 출시될 수 있었던 것으로 보인다.

 

본지는 올 봄 인도의 바이러스 추적 앱이 사용자의 정확한 위치를 유출할 수 있다는 사실을 발견하고, 인도정부로 하여금 이 문제를 해결하도록 유도했다. 국제앰네스티는 카타르의 한 노출경보 앱에서도 결함을 발견했으며, 카타르 당국 역시 이를 신속하게 업데이트했다. 노르웨이와 영국을 비롯한 다른 국가들은 사생활에 대한 대중의 항의가 있자 자국 내 바이러스 앱 관련방침을 변경해야만 했다.

 

4, 한국은 해외에서 오는 모든 방문객과 국민들에게 2주 동안 자가격리를 요구하기 시작했다. 규정 준수 여부를 감시하기 위해 그들은 한글로 '자가격리 안전보호'라는 앱을 설치해야만 했다.

 

I



5, 리히텐슈타인 연구원은 해외여행을 마치고 서울에 있는 그의 집으로 돌아왔다. 자가격리 도중, 그는 한국정부의 그냥 간단해 보이는 이 앱에 어떤 추가기능이 있을지 궁금해졌다. 그래서 코드 아래 숨겨진 내용을 들춰보곤, 몇 가지 중대한 보안상의 결함을 발견하게 된 것이다.

 

그는 소프트웨어의 개발자들이 사용자들에게 쉽게 추측할 수 있는 ID 번호를 할당하고 있다는 사실을 발견했다. 누군가의 인증기록만 짐작해내면 바로 이름, 생년월일, 성별, 국적, 주소, 전화번호, 실시간 위치, 의료 증상 등 등록 시 제공된 정보를 검색할 수 있었다.


이는 해커들이 마음만 먹으면 쉽게 암호키를 찾아내 데이터를 해독할 수 있다는 것을 의미했다. 또한 전달된 메시지나 그 사용자에 따라 암호키가 바뀌지 않는다는 사실을 뜻하기도 한다.


암호키 역시 무작위와 거리가 멀었다: 그것은 "1234567890123456"이었다.

 

예를 들어, 그렇게 약한 암호화 체계라면, 앱 사용자와 동일한, 보호되지 않는 Wi-Fi 네트워크에 있는 것만으로도, 그 서버를 통한 앱의 통신 전체를 손쉽게 감시할 수 있는 것이다.

 

본지는 앱의 코드를 검사해 보고 리히텐슈타인이 발견한 내용이 사실임을 확인했다. 지난달 본지가 보안 결함에 대해 한국 당국과 접촉했을 때, 관계자들은 "인명을 구하기 위해" 이 앱을 신속하게 배포하는 것에 우선순위를 두었다고 말했다.

 

행안부 공무원인 정찬현은 그의 팀이 2월 팬데믹 발생의 진앙지가 된 대한민국 대구에 있는 소프트웨어 유지보수 회사인 위니텍과 함께 이 앱을 개발했다고 말했다.


위니텍 홍성복 상무는 회사가 이 앱을 처음 개발했을 때, 이 소프트웨어를 사용하는 사람은 극소수에 불과할 것으로 예상했다고 말했다.


홍은 "이렇게 많은 사람이 이용할 줄은 상상도 못했는데, 공항 입국자 전원이 꼭 설치해야 하는 앱이 됐다"고 말했다. 


정은 자신의 팀이 하루 24시간 내내 앱을 개발하고 관계자들에게 사용법을 교육했지만, 소프트웨어를 안전하게 만들 수 있는 전문지식은 부족했다고 털어놨다.

 

시간이 지나면서 정부는 또한 개발팀에 감시기능을 추가해 줄 것을 요청했는데, 관계자들은 이 때문에 업무량이 폭주하고 보안결함을 찾아낼 시간이 없었다고 말했다.

 

예를 들어, 격리중인 사람의 전화기에 2시간 이상 물리적 움직임이 없으면 소리나 진동을 발생시키는 기능이 추가됐다. 사용자가 단말기를 집어 들고 받지 않으면, 대범하게도 수화기를 놓고 밖으로 나갔다는 잠재적 신호였다. 그러면 앱은 당국에 경고를 보내는 것이다.

 

자가격리 위반자를 더욱 주의깊게 감시하기 위해, 앱에 추적용 손목밴드를 연결하는 기능이 추가됐다.

 

한국 공무원인 구창규는 "우린 그저 일이 너무 많았을 뿐이었다"고 말했다.

 

지난 달 본지 기자와 만난 자리에서 리히텐슈타인은, 처음에 한국 공무원들은 사용자가 2주간의 자가격리를 마치면 개인 데이터를 삭제하고 앱을 비활성화시켰다면서 보안문제를 무시했다고 밝혔다.


그러나 인터뷰를 통해 리히텐슈타인은 자가격리기간이 끝난 지 일주일이 넘었는데도 불구하고 그의 전화기에 설치한 앱을 사용해서 정부 서버로부터 그의 데이터가 검색될 수 있다는 사실을 증명해 보였다. 나중에 한국 공무원들은 이 문제를 해결했다고 말했다.


한국은 코로나바이러스 팬데믹의 창의적이고 투명한 대처로 세계적 모범이 되었다. 그러나 이 앱의 보안상 결함은 한국이 개인정보 보호에서 얼마나 후진적인지를 보여준다고 리히텐슈타인은 말했다. 그는 또한 한국정부 당국이 문제 해결에 얼마나 오랜 시간이 걸렸는지에 대해서도 실망감을 나타냈다.


리히텐슈타인은 이 일로 "한국형 팬데믹 방역모델에 대한 인식에 영향을 줄 수 있다"고 말했다.

배너



정치/국방


이춘근의 국제정치