'개인정보 유출·위치조작 가능'…구멍 뚫린 코로나19앱 망신살

(사진=AFP)

[이데일리 김보겸 기자] 정부가 민간업체와 함께 개발해 배포한 코로나19 자가격리앱에 보안 결함이 있었던 것으로 나타났다.

21일(현지시간) 뉴욕타임스는 ‘자가격리자 안전보호’ 앱에 중대한 보안 결함이 있어 개인정보가 유출될 위험이 있었고, 자가격리자가 다른 장소로 이탈해도 격리된 것처럼 조작할 수 있었다고 보도했다. 이 결함은 서울에서 자가격리하던 외국인 엔지니어가 발견해 행정안전부에 알렸고 현재는 개선된 상태다.

자가격리 앱은 코로나19 자가격리 대상자가 휴대전화에 설치해야 하는 앱이다. 지난 4월 한국이 외국에서 입국하는 모든 국내외 방문자에게 2주간의 자가격리를 의무화하면서 자가격리자들은 휴대전화에 앱을 깔고 방역당국이 지침 이행 여부를 확인해왔다. 자가격리를 위반하면 위치를 추적하는 손목밴드를 착용하거나 벌금을 내야 한다. 지난달까지 16만명 이상이 자가격리 앱을 다운받았다. 이 앱은 행정안전부와 대구지역 정보기술(IT) 전문업체가 공동개발했다.

자가격리자 안전보호 앱(사진=자가격리자 안전보호 앱)

자가격리 앱의 보안 결함은 서울에 사는 엔지니어 프레데릭 렉텐슈타인이 발견했다. 지난 5월 외국 방문 후 서울 집으로 돌아온 렉텐슈타인은 2주간 자가격리하며 앱을 설치했다. 자가격리 앱을 살펴본 그는 소프트웨어 개발자들이라면 누구나 쉽게 파악할 수 있는 ID 번호를 사용자들에게 할당하고 있다는 것을 발견했다. 해킹을 통해 손쉽게 앱 사용자의 이름과 생년월일, 실시간 위치와 의학적 증상 자료에도 접근할 수 있을 정도였다.

뿐만 아니라 자가격리 앱이 데이터가 저장된 서버와 통신할 때 보안 표준 방식이 아닌 단순 암호화 방식을 사용해 보안에 취약하다는 사실도 발견했다. 암호가 코드에 직접 적혀 있어 해커가 쉽게 찾아내 데이터를 해독할 수 있는 것이다.

뉴욕타임스는 지난달 렉텐슈타인이 발견한 보안 결함을 앱을 관리하는 행정안전부 당국에 알렸고 행안부가 지난주 이 결함을 보완했다고 전했다.

보도에 따르면 애초 행안부 측은 보안에 문제가 없다는 입장이었다. 2주 동안의 자가격리를 끝내면 앱을 더 이상 사용하지 못하게 하고 저장된 개인정보도 삭제한다는 것이다.

하지만 렉텐슈타인이 자가격리가 끝난 지 일주일이 지났음에도 휴대전화에서 앱을 사용해 정부 서버 데이터에 접근할 수 있다는 사실을 보여주자 보안 결함을 수정했다.

이 앱을 총괄하는 정찬현 행안부 재난정보통신과 사무관은 “바이러스 확산을 늦추기 위해 최대한 빨리 앱을 만들고 배포해야 했다. 배포가 늦어질 수 있어 시간이 오래 걸리는 보안 점검을 할 여유가 없었다”고 NYT에 해명했다.

한국 외에도 인도의 코로나19 추적 앱에서 사용자의 실시간 위치가 노출될 수 있음이 발견됐고 영국과 노르웨이는 사생활 침해 논란에 코로나19 앱 도입을 번복했다고 NYT는 언급했다.