해외 보안연구 단체가 국내 유해정보 차단 솔루션에 대한 심각한 취약점을 공개해 논란이 되고 있다. 해당 앱은 청소년들이 스마트폰을 통해 유해정보에 노출되는 것을 최소화하고, 보다 건전하고 올바른 정보를 이용할 수 있도록 SK텔레콤, KT, LGU+와 (사)한국무선인터넷산업연합회(MOIBA)가 함께 개발한 서비스이며, 방송통신심의위원회, 여성가족부 등의 불법 유해매체 정보를 함께 공유하고 있다.
 
지난 20일 경, 토론토 대학교 뭉크스쿨 글로벌상황연구소 산하 시티즌랩의 새로운 보고서는 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트XXX 앱”에 대해 발표했다. 해당 보고서는 유해정보 차단 소프트웨어인 ‘스마트XXX’의 프라이버시 보호 정도 및 보안성에 대한 독립적인 두 건의 감사 결과를 상세하게 서술하고 있다.
 
연구진은 스마트XXX을 사용하는 청소년과 부모들의 프라이버시와 보안을 위협하는 26건의 취약점을 발견했다. 이번 감사는 2015 시티즌랩 여름연수(CLSI)에 참여했던 연구원들과 보안감사 전문 회사인 Cure53에 의해 수행되었다.
 
론 디버트, 토론토 대학교 시티즌랩 소장 및 정치학과 교수는 “전 세계적으로 부모들은 자녀의 SNS와 모바일 기기 사용에 대해 점점 높은 우려를 표시하고 있다. 하지만 이번 사례는 선한 의도가 어떻게 잘못된 결과를 초래할 수 있는지 정확하게 보여주고 있다. 정부가 권장하는 자녀 관리 SW는 실제로는 아이들을 보호하는 것이 아니라 더 큰 위험에 노출시키고 있다”고 말했다.
 
연구진은 ‘책임있는 공개’ 절차에 따라 개발자들에게 취약점을 고지하고, 시의적절하게 문제가 해결되도록 노력했다. 하지만 발표일 현재까지 지적한 문제점들이 보완되었는지는 분명하지 않다고 전했다.
 
2015년 4월부터 방송통신위원회가 추진해온, 국내 통신사들이 청소년들의 휴대폰에 유해매체물 차단수단을 설치하도록 의무화하는 법령이 시행되었다. 차단수단으로는 여러 종류의 소프트웨어들이 있지만, 그 중에서도 한국무선인터넷산업연합회(MOIBA)가 개발한 스마트XXX관이 방통위로부터 홍보 및 예산 상의 지원을 받았다.
 
스마트XXX은 안드로이드용과 아이폰용이 제공되며 부모가 유해콘텐츠 차단, 앱 관리, 스마트폰 이용시간 관리를 원격으로 할 수 있게 하고 있다.
 
연구원들은 안드로이드용 스마트XXX 최신 버전(버전 1.7.5 이하)에서 26건의 보안 취약점들을 발견했다. 보고서는 이러한 취약점들이 스마트XXX 계정 무력화, 데이터 변조, 개인정보 절도 등 사이버공격자에 의해 악용될 수 있다고 설명하고 있다.
 
연구진이 분석한 버전의 스마트XXX은 이용자 정보를 안전하지 못한 방법으로 저장, 전송하고 있었으며, 업계의 암호화 표준을 준수하지 않고 있었다. 이러한 취약성은 공격자가 정보를 모니터링하거나, 정보를 변조하기 위해 서버와 프로그램으로 위장하는 것을 가능하게 한다.
 
또한 연구진은 지난 5월부터 프라이버시 문제로 스마트XXX의 웹사이트 관리 기능 서비스가 중단되었음에도 불구하고, 스마트XXX이 브라우징 데이터를 MOIBA 서버로 전송하고 있는 것을 발견했다.
 
더불어 계정 등록과 관리가 적절한 확인절차나 암호 없이도 가능하다는 것을 발견했다. 이 경우 이용자 계정이 도용되거나 탈취될 수 있다. 공격자는 심지어 스마트XXX이 설치되어 있는 휴대폰의 다른 기능들을 원격으로 조작할 수 있다. 덧붙여 스마트XXX의 자녀폰 관리 기능들은 손쉽게 무력화시키거나 우회할 수 있는 것으로 조사됐다.
 
연구진은 스마트XXX의 인프라가 적절하게 보호 혹은 관리되고 있지 않음을 알아냈다. 보고서에 의하면 서버의 경우 구식 프로그램을 사용하고 있고, 업계 표준 보안조치 및 암호화가 제대로 구현되지 않고 있었다. 또한 서버는 ‘무작위 대입 공격(brute force)’ 방식의 개인정보 수집 시도나 잘못된 요청을 추적하거나 거부하지 않고 있어 서비스와 이용자들을 심각한 위험에 노출시키고 있다고 전했다.
 
콜린 앤더슨, 프리랜서 연구원은 “보안 감사에서 발견된 기술적 문제들은 스마트XXX이 이용자 정보 보호와 프로그램 보안에 있어 가장 일반적인 관행을 준수하는 데 근본적으로 실패했음을 보여주고 있다. 이러한 취약점들은 아이들이 보호수단을 회피하거나 악의적인 공격자가 모든 이용자의 기기에 대한 접근에 장애를 일으키고 서비스 운영을 방해하는 것을 매우 쉽게 만들어준다. 이러한 실패는 프로그램의 토대부터 아이들의 안전을 고려하지 않았다는 것을 입증할 뿐만 아니라, 더 우려되는 부분은 악용가능성이 수 년간 열려 있었다는 것”이라고 우려했다.  
 
한편 사라 맥큔 시티즌랩 수석법률자문은 “스마트XXX의 취약점은 이 앱이 한국법 상의 개인정보보호와 정보보안 요건을 갖추지 못했다는 사실을 시사하고 있다”고 밝혔다.
 
시티즌랩 보고서는 앱의 취약한 설계가 MOIBA의 스마트XXX 약관과 개인정보보호정책에서 주장하는 바와 어긋난다고 지적하고 있다. 또한 연구진에 의하면 스마트XXX의 기능이 2015년 4월 시행 전기통신사업법령의 요구를 초과하여 이용자들의 프라이버시를 침해하고 있다고 한다.
 
또 사라 맥큔 시티즌랩 수석법률자문은 “정부가 지원하는 이 애플리케이션의 이용자 프라이버시 침해 가능성과 정부의 방침에 의해 널리 사용되고 있다는 사실은 국제인권법상 심각한 우려를 유발한다”고 덧붙였다.  
 
불안한 이용자는 어떻게 해야 할까. 시티즌랩의 이번 보고서 발표는, 현재 및 장래 이용자들과 한국의 규제당국에게 그리고 프라이버시상의 문제에 대해 조언을 통해 사람들이 자신의 정보 보안에 대해 지각있는 선택을 하도록 하기 위함이다.
 
시티즌랩은 MOIBA에 연락해 연구 결과의 기술적인 세부 사항들을 공유했으며, 이 보고서를 공개하기 전에 문제를 수정할 수 있도록 45일을 기다렸다. 8월 5일 MOIBA의 담당자가 답변을 해왔으며 15건의 취약점을 수정하기 위한 첫 번째 시간표를 제시했다. 8월 6일 MOIBA는 HTTPS를 지원하는 업데이트 버전(v.1.7.6)을 공개했다. 8월 25일 공개된 추가 업데이트(v.1.7.7)에서는 추가적 취약점을 보완했다고 주장했다. 하지만 시티즌랩 연구진에 의하면 2015년 9월 20일 당시까지 취약점들이 전부 보완되었는지 대해 MOIBA가 별도로 확인해준 바는 없다고 한다.
 
연구진은 스마트XXX대해 독립적이고 철저한 보안 감사가 이루어지기 전까지는 해당 앱의 추후 사용과 홍보를 중단할 것도 권고했다. 관련 기관의 신속한 대처가 필요하다.


★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com