카타르의 필수 코로나 추적 앱 통해 1백만 건 넘는 개인정보 노출돼

에테라즈, 높은 권한 요구하는 앱인데 정부가 필수로 지정...거부하면 징역형
국제사면위원회가 조사해 보니 서버에 보안 장치 없어...민감 정보 고스란히 노출

[보안뉴스 문가용 기자] 카타르에서 논란이 되고 있는 코로나 바이러스 확진자 추적 애플리케이션에서 결국 사고가 터졌다. 보안 취약점 때문에 1백만 명이 넘는 시민들의 개인정보와 민감 정보가 노출된 것이다. 국제사면위원회가 이에 대해 발표했다.

[이미지 = utoimage]

노출된 정보는 사용자의 ID, 위치, 감염 현황이다. 개발사 측은 국제사면위원회가 문제를 제기한 바로 다음 날 취약점을 해결한 것으로 알려져 있지만, 해당 취약점이 얼마나 오랜 시간 존재해왔고, 따라서 얼마나 많은 사람들이 이 정보에 접근했는지는 알 수가 없다.

카타르 정부는 해당 앱의 사용을 필수로 정했다. 전 국민 모두 해당 앱을 설치해 사용하지 않으면 감옥에 갈 수도 있다. 이 때문에 시민들의 격렬한 반대에 부딪히기도 했다. 심지어 앱이 요구하는 권한이 너무나 광범위하기 때문에 전문가들도 문제가 있다고 지적했다. 장비 내 파일에 접근할 수 있는 권한과 소프트웨어를 사용해 전화를 임의로 걸 수 있는 권한 모두 앱에 제공해야만 한다.

이런 와중에 국제사면위원회는 “보안 실험실(Security Lab)에서 카타르의 확진자 추적 앱을 통해 사용자의 이름, 건강 상태, GPD 좌표 등의 민감한 정보를 발견하는 데 성공했다”고 발표했다. 중앙 서버가 데이터 보호 장치를 전혀 갖추지 못하고 있었기 때문이라고 한다. 위원회는 “코로나19의 확산을 막기 위한 카타르 정부의 노력은 인정하지만, 그러한 선한 의도들이 인권 보호라는 테두리 안에서 이뤄져야만 한다”고 강조했다.

현재 카타르 275만 국민 가운데 코로나 확진 판정을 받은 사람은 1.7%인 4만 7천여 명에 이른다. 28명이 사망했다. 이에 코로나 정부는 사람들의 이동 현황을 파악하고, 누구와 만났는지를 추적하기 위해 모바일 장비를 활용하기 시작했다. 모바일 장비를 모니터링 함으로써 바이러스 확산 현황을 파악하고, 필요할 때 긴급 조치를 취할 수 있도록 하기 위해서다.

문제가 커지자 카타르의 보건부 장관은 카타르 현지 시각으로 이번 주 화요일, “사용자들의 프라이버시를 가장 중요하게 생각한다”고 발표했다. 그러면서 “취약한 부분이 전부 해결된 버전이 이미 주말 동안 배포되었다”며 “이제 안심해도 된다”고 약속했다. 중앙 서버에 정보 보호 장치가 처음부터 전무했다는 부분에 대해서는 해명하지 않았다.

문제가 되고 있는 앱의 이름은 에테라즈(Etheraz)이며, ‘예방 조치(precaution)’라는 뜻을 가지고 있다. 또한 여러 가지 프라이버시 강화 조치가 취해졌다고는 하지만 여전히 실시간으로 사용자의 위치를 추적하는 건 그대로라고 한다. 이 역시 위원회가 발견하고 지적한 내용이다.

위원회는 “보안 취약점이 너무 기본적인 부분에서 발견된 것이라 익스플로잇이 간단하며, 따라서 이 앱을 분석했다면 누구라도 민감한 정보를 찾아낼 수 있었을 것”이라고 말했다. 게다가 에테라즈 앱은 꽤나 논란이 되었던 것이라, 적지 않은 전문가들이 관심을 가졌을 것이라고 위원회는 예상하고 있다.

3줄 요약
1. 코로나 확진자 추적하는 앱을 모든 국민이 필수 설치하도록 카타르 정부가 배포.
2. 하지만 여기서 기본적인 보안 취약점 나오는 바람에 1백만 명 넘는 사람들의 민감 정보가 노출됨.
3. 코로나와 싸우겠다는 의지는 알겠으나, 인권을 무시하면 안 된다고 국제사면위원회가 권고함.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)