자가격리앱 개인·건강정보 보안 허점, 자가격리된 외국인이 알렸다 - 한겨레

bintangsef.blogspot.com

외국인 엔지니어가 발견…행안부에 신고해 수정
이름, 주소, 위치, 체온 정보 등 해커에 노출 위험

국내 코로나19 자가격리자들이 휴대전화에 설치해야 하는 ‘자가격리자 안전보호’ 앱에 보안결함이 있었고 현재 개선된 상태라고 뉴욕 타임스>가 21일(현지시각) 보도했다. 보도를 보면, 자가격리 앱의 중대한 보안 결함으로 해커들이 쉽게 접근해 이름, 생년월일, 주소, 전화번호, 의료 증상 등 주요 정보를 가로챌 수 있었고, 자가격리 준수 여부에 관한 데이터도 조작할 수 있었다. 외국인 소프트웨어 엔지니어가 해당 결함을 발견해, 행정안전부에 전달했다. 자가격리 앱은 2주 동안 자가격리에 들어가는 이들이 휴대전화에 설치해야 하는 앱이다. 이름·주소·전화번호 등 개인정보와 동작을 감지한 위치 정보, 체온·기침·호흡곤란 여부 등 건강 정보가 입력된다. 지난달까지 16만2천여명이 설치했다. 결함을 발견한 이는 서울에 사는 엔지니어 프레데릭 렉텐슈타인이다. 그는 지난 5월 외국 방문 뒤 서울 집으로 돌아와 2주간 자가격리에 들어가면서 이 앱을 설치했다. 그는 앱이 소프트웨어 개발자라면 쉽게 추측할 수 있는 사용자 아이디(ID) 번호를 할당하고 있는 것을 발견했다. 이를 통해 사용자 개인 정보와 실시간 위치, 의학적 증상 등을 확보할 수 있다. 또 앱과 서버간 통신 때 보안방식 대신 단순 암호화 방식을 사용해, 해커가 쉽게 암호를 찾아내 여러 데이터를 해독할 수 있게 돼 있었다. 뉴욕 타임스>는 지난달 렌텐슈타인의 지적을 확인해, 앱을 관리하는 행정안전부 당국자들과 만나 이를 설명했고, 행안부는 지난주 이 결함을 수정했다고 보도했다. 이 신문은 한국 공무원과 해당 앱 개발사 임원을 인터뷰해 이들의 반응을 전하기도 했다. 이를 보면, 한 공무원은 “우리는 (당시) 일에 압도됐었다”고 말했고, 또 다른 공무원은 “앱을 개발하기 위해 열심히 일했고, 어떻게 쓰는지 교육했지만, 소프트웨어 안전에 대한 전문지식이 부족했다”고 말했다. 앱 개발사의 임원은 “우리는 그렇게 많은 사람이 앱을 쓸 것이라고 생각하지 못했는데, 입국자 전원이 깔아야 하는 앱이 됐다”고 말했다. 행안부 관계자는 한겨레>와 통화에서 “개인정보 유출 피해는 접수되지 않았다”며 “빠르게 앱을 개발하는 과정에서 문제가 발생했다. 계속 보완해 나갈 계획”이라고 말했다. 또 다른 관계자는 “앱을 만들고 운영하려면 추가 서버와 장비가 필요한데, 신천지 사태가 나고 전국적으로 코로나19가 확산하면서 기존 운영 중인 앱 서버 시설에 자가격리 앱을 적용하다 보니 보안 문제가 발생했다”며 “한 집에서 두 집 살림을 하는 과정에서 발생한 셈”이라고 말했다. 한국 외에 인도와 카타르에서도 코로나19 추적 앱에서 사용자의 정확한 위치가 노출되는 문제점이 발견됐고, 영국과 노르웨이는 사생활 침해 논란으로 코로나19 앱 도입을 번복했다고 뉴욕 타임스>는 전했다. 최현준 옥기원 기자 haojune@hani.co.kr

Let's block ads! (Why?)

July 22, 2020 at 06:38AM
https://ift.tt/2E7CpeA

자가격리앱 개인·건강정보 보안 허점, 자가격리된 외국인이 알렸다 - 한겨레

https://ift.tt/2XSRXKD