베이징올림픽 앱, 개인 정보 보호 ‘적신호’ 논란

- Advertisement -

전 세계인의 축제 올림픽이 베이징에서 개최되고 있다. 아직 코로나19가 종식되지 않은 데다 세계 방방곡곡에서 사람들이 모이는 자리인 만큼 방역에 만전을 기해야 한다. 베이징올림픽 조직위원회는 올림픽을 위해 개발한 가이드 앱 ‘MY2022’에 방역 관련 기능을 추가하기로 결정했다.

MY2022 (출처 : 시티즌랩)

MY2022는 원래 올림픽에 참가하는 관계자와 관람객을 위한 가이드 앱이다. 현지 날씨와 관광지 추천, 공식 스토어 정보, AI 통역 같은 기능이 제공된다. 또한 연락처를 저장해 메시지를 주고받는 메신저 역할도 한다.

여기에 방역 관련 기능이 추가됐다. 올림픽에 참석하는 모든 관계자와 관람객은 중국으로 출발하기 14일 전까지 앱을 설치하고 코로나19 검사 결과와 백신 접종 현황을 입력해야 한다. 또한 매일 자가 문진표를 작성해 앱을 통해 제출해야 한다.

사실상 올림픽 때문에 베이징에 방문하는 모든 사람이 설치해야 하는 앱이다. 그런데 이 앱을 통해 개인 정보가 유출될 수 있다는 의견이 제기됐다.

캐나다 인권 단체 ‘시티즌랩’은 MY2022 앱에 보안 허점이 여러 가지 있다고 지난 18일(현지시간) 공개했다. 시티즌랩이 지적한 보안 허점으로는 △음성 오디오와 파일 전송 시 데이터가 암호화되지 않을 수 있는 점 △여권·인구·의료 및 여행 이력을 세관에 제출하는 과정에서 데이터가 유출될 수 있는 점 △해커가 가짜 서버를 연결해 데이터를 탈취·가짜 알림을 사용자에게 전송할 수 있는 점이 있다.

먼저 시티즌랩은 MY2022 앱을 통해 취급되는 개인 정보가 어느 기관이나 단체에 공유되는지 불분명하다고 지적했다.

앱 내 개인 정보 보호 정책 문서를 보면 앱이 수집하는 데이터가 어디에 공유되는지 명시돼 있다. 내용에 따르면 스마트폰 제조사, 텐센트 홀딩스, 웨이보를 비롯한 기업과 내비게이션 및 번역 관련 기업체에 사용자 기기 정보가 제공된다. 베이징올림픽 조직위원회와 국제올림픽위원회, 국제패럴림픽위원회, 중국 당국, 코로나19 대응 단체에서도 사용자의 일일 자가 진단 정보와 코로나19 예방접종 현황, 검사 결과를 수집한다.

하지만 MY2022는 다른 중국 앱과 마찬가지로 국가 안보 문제, 공중 보건 문제, 범죄 수사와 관련해서 사용자 동의 없이 개인 정보를 공개할 수 있다. 이 경우 어느 기관이나 조직에서 사용자의 정보를 열람할 수 있는지는 언급하지 않았다.

데이터 전송 과정에 보안 취약점이 있어 가짜 서버에 정보를 전송할 수 있다 (출처 : 시티즌랩)

이어 시티즌랩은 MY2022 앱이 서버에 개인 정보를 전송하는 과정에도 보안 취약점이 2가지 있다고 언급했다.

첫 번째는 데이터를 잘못된 서버로 전송할 수 있는 점이다. 본래 서버에 전송하는 데이터는 클라이언트와 서버에서만 내용을 확인할 수 있도록 SSL 인증서를 통해 데이터를 보호하고 무결성을 확보해야 한다. 하지만 MY2022 앱은 SSL 인증서 유효성 검사를 제대로 하지 못하는 것으로 드러났다.

해커가 가짜 서버를 베이징올림픽 공식 서버처럼 위장할 경우 암호화되지 않은 개인 정보가 해커에게 흘러갈 가능성이 있다. 이로 인해 유출 가능한 정보에는 사용자가 앱에 입력한 개인 정보뿐만 아니라 앱을 통해 전송한 각종 파일과 문서도 포함된다.

두 번째는 아예 데이터를 암호화하지 못하는 경우다. 특정 서버로 전송하는 데이터는 암호화되지 않는다는 게 발견됐다. 따라서 데이터를 서버에 전송하는 과정에서 와이파이 핫스팟이나 액세스 포인트(AP), 인터넷 서비스 제공 업체(ISP)를 거치는 동안 누군가 가로채 읽을 수 있다.

특정 키워드를 검열하는 기능도 발견됐다. 앱에 검열 키워드 목록이 내장돼 있는데, 여기에는 욕설·불법 행위·정치·종교 관련 단어뿐만 아니라 중국 정부·천안문·파룬궁, 일부 위구르어와 티베트어를 포함해 중국 당국에서 예민하게 반응할 만한 키워드가 2,442개 포함돼 있다. MY2022 앱에 해당 키워드를 모니터링하는 기능도 있지만 시티즌랩의 조사 결과 해당 기능이 활성화되지는 않는다고 한다.

시티즌랩은 현재 파악된 보안 허점의 심각성이 높다고 지적했다. 개인 정보 보호가 제대로 되지 않아 애플 앱스토어 지침과 구글 소프트웨어 정책에 위배되며, 중국 규제 당국의 개인정보보호법과 데이터보안법도 위반한다고 언급했다. 또한 건강 관련 데이터를 암호화하지 않고 전송해 정보보안기술에 대한 중국 국가 표준도 충족하지 않는 것으로 알려졌다.

시티즌랩은 2021년 12월 3일 베이징올림픽조직위원회에 보안 문제를 발견했다고 알렸으나, 45일이 지난 2022년 1월 18일에도 아무 답변을 받지 못했다며 공개 의도를 밝혔다. 심지어 보안 문제를 제보한 뒤 iOS용 MY2022 앱이 한차례 업데이트됐으나 보안 문제는 여전히 해결되지 않았다며 의도적으로 보안 허점을 만든 게 아니냐는 의혹을 제기했다.

테크플러스 에디터 이병찬

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here


Related Stories