스마트보안관 앱, 기존 38만 가입자 대상으로 내년 말까지 서비스
뼈대 같은 스마트안심존 앱 계속 사용, 일부 보안취약점은 아직 조치 안돼

[보안뉴스 민세아] 자녀의 스마트폰 사용을 규제하기 위해 만들어진 ‘스마트보안관’ 애플리케이션(이하 앱)이 사생활 침해 문제로 조금씩 논란이 되다가 캐나다 시티즌랩이 발표한 보안취약점이 제기된 이후에는 앱 마켓에서 모두 내려가는 등 사실상 서비스가 중단됐다. 이에 본지는 해당 앱에 대한 논란이 제기된 시점부터 서비스 중단 이후까지의 과정과 남은 문제들을 한번 짚어봤다.


지난 4월 16일부터 개정 전기통신사업법이 시행되면서 이동통신사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제했다. 이에 따라 청소년에게는 음란물 차단 앱을 설치한 후 스마트폰을 판매할 수 있도록 규정했다.

외국에서는 이를 부정적인 시선으로 바라봤다. 영국의 더 레지스터(The Register)와 미국의 AP통신 등은 ‘한국이 청소년들에게 스마트기기에 스파이웨어(spyware) 설치를 의무화하고 있다’, ‘아이들의 인권이 무시되고 있다’, ‘24시간 아이들을 감시하는 한국부모’라는 내용의 기사를 보도했다.

우리나라에서도 오픈넷 등 시민단체를 중심으로 이러한 ‘청소년 스마트폰 감시법’을 비판하면서 해당 법의 문제와 한계점을 지적했다. 법에서는 차단수단을 ‘제공’만 하도록 되어 있음에도 불구하고, 시행령에서 규정하는 ‘설치여부 확인’ 및 ‘통지’ 의무를 추가해 위헌 논란이 일어날 것이라는 우려가 제기됐다.

또한 이통사는 차단 앱이 삭제되거나 15일 이상 작동하지 않는 경우 법정대리인에게 그 사실을 통지하도록 되어 있다. 즉, 이통사는 차단 앱 작동 여부를 확인하기 위해 청소년의 스마트폰을 상시 감시해야 하는 의무를 지게 되며, 이 과정에서 스마트폰 사용과 관련한 청소년들의 사생활과 자유가 침해된다는 게 오픈넷 측의 설명이다.

우리나라 정부에서 제공하는 음란물 차단 앱은 방송통신위원회가 개발 및 홍보예산을 지원해 이통3사와 한국무선인터넷산업연합회(MOIBA)가 함께 개발·운영하는 ‘스마트보안관’ 앱이다. 2012년 6월부터 앱 마켓에서 무료로 보급됐으며, 방통위에서 권장하고 있어 가장 널리 사용되는 앱이었다.

그러나 캐나다 토론토 대학의 비영리 연구팀 ‘시티즌랩(Citizen Lab)’은 스마트보안관 앱이 가진 보안 취약성을 지적했다. 보안 감사에서 발견된 26건의 보안취약점들을 보면 스마트보안관 앱은 이용자 정보를 저장하고 전송할 때 암호화를 하지 않아 공격자가 자녀의 정보를 훔쳐보거나 정보를 변조할 수 있다는 것이다. 또한, 계정의 등록과 관리가 허술해 쉽게 도용될 수 있다는 문제와 스마트보안관이 설치되어 있는 스마트폰의 다른 기능들을 원격으로 조작할 수 있는 취약점 등 크게 △개인정보 암호화 문제 △인프라 문제 △계정 등록과 관리의 보안문제 등이 존재한다고 설명하면서 스마트보안관 서비스를 중단할 것을 권고했다.

논란이 된 이후 방송통신위원회와 MOIBA는 문제가 되는 부분을 인정하고 두 차례에 걸쳐 취약점 보완조치를 완료했다. 이후 한국인터넷진흥원(KISA)에 보안성 평가를 요청했으며, 그 결과에 따라 추가 보완조치를 취했다.

그러나 MOIBA 측에 문의한 결과 현재까지 서버 노후화 등으로 교체 및 조치하는 데 오랜 기간이 필요한 취약점, 예산 부족으로 인해 많은 비용이 필요한 일부 문제에 대해서는 아직 조치가 완료되지 않았다고 전했다.

이러한 가운데 스마트보안관 앱은 기존 38만 가입자 이외의 신규 가입자를 받지 않기로 결정하고 마켓에서 모두 내려진 상태다. MOIBA 측은 “지난 10월부터 모든 전기통신사업자가 유해정보 차단 소프트웨어를 무료로 제공함에 따라 민간 앱 시장의 발전과 중복사업 방지를 위해 11월 1일부터 신규 가입자를 받지 않기로 했으며, 기존 가입자의 경우 민간사업자가 제공하는 서비스로 전환하는 것으로 결정됐다”고 공지했다.


이에 따라 MOIBA는 기존 가입자들에게 민간사업자 즉 통신사가 제공하는 음란물 차단 앱을 사용할 것을 권고·안내하고 있다. MOIBA 관계자는 “스마트보안관 앱은 2016년 말 서비스를 종료할 예정이며, 기존 회원들이 타 서비스로 전환하기 전까지 보안에 문제가 없도록 지속적인 보안강화 조치를 취할 예정”이라고 전했다.

스마트보안관? 사이버안심존?
스마트보안관 앱이 마켓에서 내려진 후, 스마트보안관 웹사이트 Q&A 코너에서는 ‘설치를 하려 하는데 검색이 안된다’는 질문에 대해 ‘각 이통사 마켓에서 사이버 안심존으로 검색하면 다운로드가 가능하다’는 답변을 내놨다.

사이버안심존은 기존 스마트보안관 앱에 스마트폰 중독 예방 기능을 추가한 서비스다. 즉, 앱의 뼈대는 같다는 것. 스마트보안관 앱이 여성가족부, 방송통신위원회, 이통3사, MOIBA가 참여한 사업이라면 사이버안심존 앱은 여성가족부 대신 교육부가 함께 하는 사업이다.

사이버안심존 앱은 현재 특정 학교를 대상으로 서비스를 제공하고 있다. 교사와 부모의 동의 하에 학생들의 스마트폰에 설치된다. 사이버안심존 앱도 스마트보안관과 마찬가지로 부모용과 자녀용으로 나뉜다. 음란물 차단은 기본으로 제공되는 기능이다. 부모용 앱에서는 자녀의 스마트폰 이용현황, 이용시간, 설치된 앱 조회, 인터넷 접속기록 등을 확인할 수 있다. 특정 시간을 지정해 앱과 인터넷을 사용할 수 없게 하는 기능도 제공한다.

사이버안심존 앱은 스마트보안관 앱과 근간을 함께 하기 때문에 스마트보안관 앱이 가진 보안취약점은 사이버안심존에도 여전히 해당된다. 이 또한 조치를 완료했지만 해결하기 힘든 문제점은 여전히 남아 있다. 바로 부모와 자녀간의 관계 인증이다.

해커가 특정 사용자를 타깃 삼아 몰래 자녀용 앱을 다운로드 받도록 하면 실시간 감시가 되는 것 아니냐는 질문에 MOIBA 관계자는 “현실적으로 부모와 자녀 관계를 인증하는 것은 기술적·정책적으로 한계가 있다”며 해결하기 힘든 과제 중 하나라고 전했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>