최근 우리나라의 코로나 자가격리앱에 심각한 보안 결함이 발견되었다는 기사가 나왔습니다.
2월 코로나가 발견되었을때 위니텍(Winitech)에서 개발되었던 이 앱은 지금도 수많은 자가격리자가 사용하고 있습니다.
서울에 거주중인 엔지니어 Rechtenstein님이 발견하여 정부에 제보하였으며, 결함이 수정되어 기사가 나옵니다.
자가격리 앱 보안 결함 목록
- 사용자의 개인식별 번호의 유추가능
- 암호화 기능 부실
사용자의 개인식별 번호의 유추가능한 예시로는 순차적으로 증가하는 숫자(0, 1, 2, 3 ...) 등 이 있으며
이는 설계에 따라 보안 문제가 될 수 있습니다.
심각했던 이유는 다음과 같습니다.
1. 개인정보 유출 가능한 문제
- 이름
- 생년월일
- 성별
- 국적
- 주소
- 전화 번호
- 실시간 위치
- 의학적 증상
- 등록시 제공된 정보
위와 같은 개인정보를 손쉽게 해커는 취득할 수 있었습니다.
2. 손쉽게 뚫리는 암호화
보안 표준기술인 HTTPS를 사용하지 않았고, 자체 암호화(노후화된 기술)를 사용하여 해커는 손쉽게 해독이 가능했습니다.
국내법상 개인정보를 다루는 곳에서 HTTPS를 미사용시 3천만원 이하의 벌금에 처해질 수 있습니다.
HTTPS는 Letsencrypt등 무료로 사용할 수도 있으며, HTTPS미사용시 해커와 같은 WIFI를 쓰기만 하더라도 정보가 유출될 수 있습니다.
3. 개인정보 폐기 미흡
2주간 데이터를 수집하고 원칙상 자가격리 종료와 동시에 폐기한다고 하였으나, 서버에서 삭제되지 않아 해커는 2주가 넘은 데이터에도 접근이 가능했습니다.
4. 데이터 변조 가능
이건 앞서 암호화방식을 알 수 있고, 그렇기에 내 위치정보등을 자유자재로 조작할 수 있었습니다.
마지막 평
정도가 상당히 심각했고, 이 정도라면 보안에 대한 인식조차 없다고 보이는데
자가격리앱에 대한 신뢰도가 떨어질 수 있으니 걱정입니다.
현재는 수정되었기에 공개가 되었습니다.
사실 해킹을 해봤어야 어디든 보안문제가 발생할 수 있다는 점을 인식하고 만들겠지만, 대부분의 개발자는 보안문제를 탐지할 능력이 없습니다.
중요한 정보를 다룬다면, 당연히 보안 체크는 해야되고 능력이 안된다면 보안회사에 의뢰하여 탐지하는 방법도 있을겁니다.
NYT 뉴욕타임즈 기사를 읽어보면 앱 제작사는 변명만 하는데,
사실 일반적인(표준) 방식대로 제작했다면 전혀 문제 없을것이였습니다.
ID가 유추가능한 것은 그렇다 치더라도 HTTPS는 적용이 전혀 어렵지 않기에 이해가 안되는 부분이며
ID가 유추되었다고 할때 다른사용자가 쉽게 권한을 얻는것 또한 일반적인 상식으로는 이해가 되지 않는 내용입니다.
관련 자료
'소개 > IT 상식' 카테고리의 다른 글
| 애드블록을 막는 동영상 광고 기술 (0) | 2020.08.09 |
|---|---|
| 태블릿 유튜브 썸네일화면 크기가 커졌어요? (1) | 2020.08.07 |
| SSL 오류가 발생했기 때문에 서버에 안전하게 연결할 수 없습니다 (1) | 2020.07.30 |
| 쇼핑용 애드센스란 무엇인가? (0) | 2020.07.23 |
| 보안뉴스) VPN 로그 유출 (0) | 2020.07.19 |
| 아이폰 캘린더 스팸 (0) | 2020.07.17 |
| Premiere Pro 오류) *.mp4.xmp 파일 (0) | 2020.07.17 |
| 구글 플레이에서 앱을 다운받았는데 해킹될 수 있나요? (1) | 2020.07.15 |
저작권 보호안내
무단 전재, 재배포 행위는 금지됩니다. (글을 복사하여 게시금지)
본문의 일부(링크용 문장) 인용은 가능하지만, 출처와 링크(a 태그)를 남기셔야 됩니다.
(웹툴을 이용하고, 스크린샷/녹화하는것은 상관없습니다.)
예외적으로. 저에게 허락받은 경우에는 본문을 전재할 수 있습니다.
만약, 본문 공유를 원하신다면 링크 공유를 해주세요
저작권 정책 확인하기링크 공유하기