사진=한국인터넷진흥원
사진=한국인터넷진흥원

[데일리그리드=강민수 기자] 김석환 한국인터넷진흥원(KISA) 원장이 지난 7월 논란이 됐던 코로나19 자가격리 앱 취약점 문제에 대해 "행정부처 등에서 모바일 앱 운영을 위해 보안성 검토를 사전에 받아야 하는데 급하다 보니 건너뛰었다"고 밝혔다.

김석환 KISA 원장은 13일 열린 국회 과학기술정보통신부 산하 기관 국정감사에서 정필모 더불어민주당 의원의 "우리나라가 K-방역을 잘해놓고 '대한민국 검역(자가격리) 앱에서 주요 보안결함이 발견됐다'는 외신으로 국가적 망신을 당했다"는 지적에 대해 이같이 말했다.

지난 5월 국내 거주자인 외국인 엔지니어 프레데릭 렉텐슈타인은 같은달 해외 방문 뒤 귀국해 2주간 자가격리에 돌입했다. 그는 행정안전부가 외주업체를 통해 개발한 '자가격리자 안전보호 앱'을 이용하며 보안에 문제점을 발견해 한국인터넷진흥원에 이를 신고했다.

렉텐슈타인은 자가격리 앱 취약점으로 ID 번호를 할당할 때 알고리즘이 단순하고 인터넷 구간에 암호화 프로토콜이 표준적인 암호화 방식인 하이퍼텍스트 전송 규약(HTTP)을 사용하지 않은 점, 격리해제 후 개인정보를 수동으로 삭제해야 하는 점을 꼽았다.

그는 해당 문제점을 KISA 취약점 공식 신고채널(메일)을 통해 신고했다. 해당 신고를 확인하지 못한 진흥원 측은 지난 7월 뉴욕타임스가 국내 자가격리 앱 보안 결함을 지적한 보도가 나간 직후에서나 문제를 인지했다.

정 의원은 "자기격리 앱 도입 초기부터 개인정보 등록, GPS 위치정보 공유 등의 문제로 보안에 대한 정보유출 우려가 있었다"며 "외국인이 진흥원에 '이 앱이 불안정한 암호화방식을 써서 제3자가 정보를 탈취할 수 있다'는 내용을 신고했는데 담당직원이 해당 부분을 체크하지 않았다는 건 상당한 문제"라고 지적했다.

그러면서 "뉴욕타임스 보도는 K-방역을 잘해놓고 국가적 망신이었다. 우리 ICT 기술에도 흠집을 내는 사태가 벌어졌다"며 "행안부가 외주업체를 통해 앱을 개발했지만 이 과정에서 행안부와 과기정통부, 한국인터넷진흥원이 보안성에 대한 상호협력 체계를 구축하지 않아서 이런 문제가 드러났다"고 꼬집었다.

그는 "(뉴욕타임스) 보도 직후 행안부가 보완해서 문제 없애긴 했지만 2개월간 이 과정에서 문제점이 있는데도, 특히 KISA가 제보를 받았는데도 아무 조치를 안 취했단 건 명백한 직무유기"라며 "정보부처 간 이런 문제를 서로 체크하고 보안성을 검토할 수 있는 체제를 갖추지 못했다는 것은 (부처간) 칸막이가 심한게 아니냐"고 질문했다.

이에 대해 김 원장은 "행정부처나 공공기관이 이런 모바일 앱을 하기 위해선 보안성 검토를 사전에 받아야 하는데 이 부분이 급하다 보니 건너뛰었다"며 "(프레데릭 렉텐슈타인 신고를 확인하지 못한 것은) 신고 시스템 구축하고 나서 5년간 신고가 된게 많지가 않았다. 앞으론 어떤 형식의 신고등 확인할 수 있도록 시스템을 바꿨다. (제보를 받고도 아무런 조치를 안취한 것에 대해) 저희 책임이 크다 생각한다"고 답했다.

강민수 기자
저작권자 © 데일리그리드 무단전재 및 재배포 금지