• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

코로나 추적 앱 100여 개 분석했더니 40%가 민감 정보 노출 2020.12.11

여러 나라에서 개발하고 배포한 추적 앱 95개 분석했더니 40%가 허술
국민들 사용하게 하려면 안전하다는 인식 심어줘야...미래 재난 상황에 힘 될 것

[보안뉴스 문가용 기자] 현재 출시되어 있는 확진자 혹은 접촉자 추적 앱들 중 애플과 구글의 노출 알림(Exposure Notifications) 프로토콜을 사용하지 않는 것들을 사용할 경우 사용자의 민감한 정보가 외부로 유출될 가능성이 있는 것으로 조사됐다. 이에 대해 앱 보안 전문 업체인 가드스퀘어(Guardsquare)가 연구해 발표했다.

[이미지 = utoimage]


가드스퀘어는 이번 조사를 위해 95개의 코로나 접촉자 추적 앱을 분석했다. 52개는 안드로이드 기반, 43개는 iOS 기반이었다고 한다. 그 결과 40%가 애플과 구글의 프로토콜을 사용하지 않고 있는 것으로 나타났다. 애플과 구글의 프로토콜은 사용자의 프라이버시를 보호하기 위해 설계된 것이다. 이를 사용하지 않는 40%의 앱들은 GPS 데이터나 블루투스와 같은 기술을 사용해 사용자를 추적하는 것으로 분석됐다.

가드스퀘어는 이 40%의 앱들을 명확히 밝히지 않고 있다. 주로 국가에서 주도하여 만든 앱들이기 때문에 이름을 대는 순간 국가적 불명예가 씌워지기 때문이다. 다만 “누군가를 식별하는 정보와 GPS 정보를 함께 활용할 경우 효과적인 감시 도구로서 악용될 가능성이 높다”고 가드스퀘어의 그랜트 구즈(Grant Goodes)는 설명한다.

물론 확진자 및 접촉자 추적을 앱으로 한다는 것이 코로나 초기만큼 많은 관심을 끌거나 자주 사용되지는 않고 있다. 대부분의 국가들에서 코로나가 이미 수그러들었거나 아니면 추적이 의미가 없을 정도로 걷잡을 수 없는 상태에 도달했기 때문이다. 하지만 기후변화 등으로 인해 이러한 재난 사태가 계속해서 벌어진다고 했을 때, 이런 추적 앱은 다시 사용될 것이고, 그렇기 때문에 지금부터 점검을 통해 안전한 기술을 완성시키는 것이 현명하다는 게 가드스퀘어의 주장이다.

참고로 가드스퀘어는 비슷한 조사를 6월에도 진행했던 바 있다. 당시 분석되었던 건 17개의 안드로이드 앱들이었고, 데이터를 암호화 및 난독화 처리 후 전송하는 앱은 딱 하나인 것으로 나타났다.

이번 조사에서 애플과 구글이 발표한 노출 알림 프로토콜의 공식 API를 활용하는 것으로 분석된 안드로이드 앱은 32개, iOS 앱은 25개인 것으로 밝혀졌다. “이 API를 사용할 경우 접촉자를 추적해도 사용자의 데이터는 절대 노출되지 않는다”고 하며, “따라서 이를 통해 누군가를 추적하는 건 프라이버시나 보안 문제를 일으키지 않는다”고 구즈는 설명한다.

물론 이 두 가지 프로토콜을 사용하지 않고도 안전하게 접촉자를 추적하는 방법이 없는 건 아니다. 하지만 위에 언급된 40%의 앱들 중 강력한 보안 장치(민감한 문자열의 암호화, 저장 데이터 암호화, 호스트와 SSL 키의 연결, 탈옥 모니터링 등)를 복합적으로 사용하고 있는 건 단 5%에 불과했다. “구글과 애플이 안전한 API를 발표했음에도 아직 보안과 프라이버시 보호라는 개념이 개발자들 사이에서 크게 퍼져 있지 않다는 걸 알 수 있습니다.”

추적 앱이 국가 재난 시기에 힘을 발하려면 사용자들이 많아져야 하고, 많은 사람들이 이 앱을 설치하도록 하려면 ‘안전하다’는 인식을 심어줘야 한다. 요즘은 사용자 한 사람 한 사람이 개인정보 활용 현황에 대해 민감하게 반응하는 때이기에 더 그렇다. “그렇기 때문에 이런 앱을 계획하는 국가 부서에서 국민의 프라이버시 보호라는 부분을 잊지 말고 일을 진행해야 합니다. 그냥 외부 업체에 주문을 던져 넣고 기능만 확인해서는 안 됩니다.”

구즈는 “프라이버시를 보호한다는 것이 단순히 국민의 사생활을 보호한다거나, 정부에 대한 신뢰를 두텁게 만드는 것 이상의 것”이라고 말하며 “보건과 직결된 개념이 되었다”고 지적했다. 그러면서 “이제 백신이 서서히 배포될 것이기 때문에 언젠가 코로나의 때도 지나갈 것인데, 그럴 때 추적 앱 개발사나 담당 기관에서 프라이버시 검토를 꼼꼼하게 해야 할 것”이라고 촉구하기도 했다. “그게 미래 재난에 대비하는 자세일 겁니다.”

3줄 요약
1. 코로나 접촉자 추적 앱, 대부분 강력한 프라이버시 보호 프로토콜 사용 안 함.
2. 안드로이드와 iOS 생태계에서 유통되는 앱 100여 개 조사했더니 40%가 함량 미달.
3. 이런 추적 앱의 프라이버시 보호 기능 강화한다는 건, 공중 보건과 직결되는 개념.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>