청소년 안전을 위해 법으로 설치해야되는 앱이 다양한 프라이버시 침해 가능성과 보안 위험을 가지고 있는 것으로 밝혀졌다.
사단법인 오픈넷은 지난 11일 캐나다 토론토 대학교 시티즌랩과 함께 한국의 청소년 스마트폰 감시 앱에 대한 보안감사 보고서를 발표했다. 보고서는 감시 앱들이 심각한 프라이버시 및 보안 문제를 갖고 있음을 드러냈다.
2015년 통신법 개정으로 인해 이통사는 일명 ‘청소년 스마트폰 감시법’을 지키기 위해서 청소년의 스마트폰에 유해매체물 차단 앱을 설치해야 하며, 설치 후에는 앱이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 이렇게 감시 앱의 설치를 강제하는 법은 세계 최초이다.
오픈넷은 스마트폰 감시법의 청소년 프라이버시와 부모 교육권 침해 문제를 지속적으로 지적해왔으며 작년 8월에는 스마트폰 감시법에 대해 헌법소원을 청구한 바 있다.
오픈넷, 시티즌랩, 독일의 보안감사 전문회사 큐어53(Cure53)이 공동 작업한 이번 보고서에 의하면, 유해정보로부터의 청소년을 보호한다는 명분으로 개발된 감시 앱들이 오히려 청소년들을 보안 위험에 노출시키는 것으로 드러났다. 이번 보안감사 대상 앱인 ‘사이버안심존’과 ‘스마트안심드림’은 (사)한국무선인터넷산업연합회((MOIBA)가 방송통신위원회의 지원을 받아 개발, 배포중인 앱이다.
2015년 시티즌랩과 큐어53은 역시 MOIBA에서 개발한 유해정보 차단 앱인 ‘스마트보안관’에 대한 보안감사를 실시하여 이용자로부터 민감한 정보를 수집하고 이용자 계정을 탈취하며 서비스를 방해하는데 악용될 수 있는 26건의 보안 취약점을 발견했다. 이후 MOIBA는 스마트보안관 서비스를 중단했지만, 여전히 사이버안심존과 스마트안심드림을 배포하고 있다.
특히 사이버안심존은 실제로는 이름만 바꾼 스마트보안관으로 밝혀졌다. 문제가 되는 앱과 동일한 코드를 사용하고, 2015년 보안감사에서 밝혀진 보안 문제 중 다수를 여전히 갖고 있음이 드러났다. 문제가 되는 앱을 이름만 바꿔 사용한 것은 있을 수 없는 일이다.
오픈넷 역시 "스마트보안관 보안감사 보고서를 발표하기 전 연구진은 ‘책임있는 공개(responsible disclosure)’ 절차에 따라 MOIBA에게 취약점을 고지해 수정하도록 노력했는데, 수정은커녕 문제가 있는 앱을 이름만 바꿔 다시 출시한 것은 매우 무책임한 태도다"고 지적했다. /mcadoo@osen.co.kr
