컨텐츠 바로가기

03.29 (금)

코로나19 추적 앱, 100만명 민감 개인정보 유출 위험

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다

코로나 19 바이러스 감염자 추적 응용 프로그램에 저장된 100만명 데이터가 유출 위험에 노출되는 결함이 있는 것으로 드러났다.

카타르는 코로나 19 바이러스 감염자 추적에 ‘이터러즈(EHTERAZ)’'라는 앱을 이용하고 있다. 그런데 이 응용 프로그램에 보안 결함이 있어 약 100만 명 사용자 데이터가 유출 위험에 노출되어 있다고 보고됐다.

국제앰네스티는 26일(현지시각) 공개 자료를 통해 “이터러즈 추적 앱 중앙 서버에 취약점이 발견됐다. 이 취약점으로 인해 해커가 100만 명 이상 사용자 이름, 등록번호, 건강 상태 및 위치 데이터를 포함한 매우 민감한 개인정보를 탈취할 수 있었다”라고 밝혔다.

IT NEWS

<이미지를 클릭하시면 크게 보실 수 있습니다>


‘이터러즈’ 앱은 수집한 사용자 데이터를 중앙서버 데이터베이스에 업로드하고 저장하는 구조로 되어 있다. 하지만 이 중앙서버 데이터베이스에 보안 결함이 있었던 것으로 알려졌다.

카타르는 현재 전체 인구 약 275만명 중 1.7%인 4만7,000명 이상이 코로나 19에 감염돼 28명이 사망했다. 이에 카타르 정부는 전 국민을 대상으로 5월부터 ‘이터러즈’ 앱을 스마트폰에 설치하도록 의무화했다. 만약 앱을 설치하지 않고 외출하는 경우 최고 5만5,000 달러(한화 약 6,800만원) 벌금 또는 3년 이하 징역이 부과될 수 있다.

국제앰네스티 보안연구소는 “카타르 정부가 GPS와 블루투스(Bluetooth)를 사용해 개발한 ‘이터러즈’ 앱은 사용자가 등록한 국가 ID를 제공해 중앙 서버에 QR 코드를 요청한 것으로 밝혀졌다. 추가 인증이 필요치 않아 누구나 앱 사용자에게 QR 코드를 요청할 수 있었다”라고 설명했다.

이는 인증이 약할뿐더러 카타르 국가 ID가 일관된 형식을 따른다는 사실은 모든 국민 ID 조합을 자동으로 생성하고 앱이 저장한 민감한 데이터를 검색할 수 있다는 것을 의미한다.

이 같은 지적에 카타르 정부는 “사용자 데이터는 안전하고 의료 종사자 이외에는 액세스가 불가능하며, 수집된 데이터는 2개월 안에 폐기한다”라고 주장했다. 현재 카타르 정부는 응용 프로그램을 수정하고 업데이트를 실시했다.

국제앰네스티 보안연구소는 “카타르 당국이 신속하게 대처했지만, 이번 사태는 추적 앱 출시를 서두르고 있는 전 세계 정부에 대한 경고다”라고 말했다.

한편 중국 경우 이미 도입한 코로나 19 감염 추적 앱을 더 확장해 사용자 건강상태를 모니터링할 수 있도록 하는 계획을 발표했다. 절강성 항주시 보건위원회는 지난 22일 “코로나 19 추적 앱은 이미 목표를 달성했다. 앞으로 더 많은 건강 지표를 모으는 만능 건강 추적 앱으로 진화시킬 것이다”라고 설명했다.

중국 현지 언론 보도에 따르면, 건강 추적 앱은 개인 건강상태를 색으로 구분하고 의료기록 및 신체검사 결과, 활동 레벨, 흡연 유무, 기타 라이프 스타일에 따라 100점 만점으로 건강 상태를 평가한다.

현재 전 세계 45개국 이상이 코로나 19 감염자 추적 응용 프로그램을 개발했거나 계획하고 있는 것으로 알려졌다.

김한비 기자 itnews@


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.