|
질병관리청에서 선보인 백신접종증명 `쿠브(COOV)` 앱에 대한 보안 우려가 끊이지 않고 있다. COOV 앱의 QR코드 복제본을 생성하기 쉽고, 중복 발급도 가능하다는 지적에 이어 허위 정보로 만들어 낸 위조 증명서도 걸러내지 못한 것으로 드러났다.
해당 앱에 적용된 분산ID(DID) 기술을 공개 검증해야 한다는 목소리가 큰 가운데, 개발사인 블록체인랩스도 검증에 응하겠다는 의사를 밝혔다.
`COOV` 앱, 복제본에 무방비 노출…위조 증명서도 못 걸러
염흥열 순천향대학교 교수는 “(최근의 보안 우려에 대해)필요하다면 객관적인 시스템 검증이 이뤄져야한다”며 “질병청이 중심이 돼 산업계, 학계 전문가 등으로 검증위원회(가칭)를 구성하고 (쿠브 앱에)DID를 적용한 건 지, 뭐가 문제인지 등 전체를 살펴볼 필요가 있다”고 밝혔다.
지난달 15일 공식 출시된 쿠브 앱은 △스크린샷을 통한 QR코드 복제본 생성이 가능하고 △동일한 정보로 중복 발급이 가능하며 △허위 정보로 QR코드가 생성된다는 보안 허점이 지적된 바 있다.
앞서 보안 전문가들은 스마트폰에서 쿠브 앱의 QR코드를 생성한 이후 스크린샷으로 복제본을 만들어 다른 스마트폰으로 전송한 후 인증하는 작업이 10~12초 이내에 이뤄질 수 있다고 밝혔다. 동일한 개인정보로 여러 대의 스마트폰에서 백신접종증명이 발급 가능한 취약점도 발견됐다. 복제본 사용에 무방비로 노출될 수 있어 금전적으로 악용될 여지가 있는 셈이다.
최근에는 허위 정보로 QR코드를 생성해 쿠브 앱에서 인증을 받는 가능성도 제기됐다. 한 방송사에 따르면 허위로 백신 종류, 접종 날짜, 장소, 회수 등의 정보를 입력해 QR코드를 만들 수 있었고, 해당 정보로 백신을 접종받았다는 확인도 받았다.
엄지용 블록체인랩스 대표는 “QR코드를 생성하기 위해서는 비밀번호 인증을 거쳐야 하고 화면 캡처가 불가능하기에 정상적인 방법으로는 QR코드를 다른 스마트폰에 보낼 수 없다”며 “외국 정부와 상호인증을 위한 앱 업데이트 과정에서 외부 발행자가 일시적으로 허용되는 문제가 발생했다”고 해명했다.
“DID 기술이면 발생하지 않을 허점”vs“회사마다 스펙 달라”
그러나 쿠브 앱에 제대로 된 DID 기술을 적용했다면 이런 문제가 발생하지 않았을 것이라는 의구심도 여전하다. 증명서에 대한 `발행자 검증` 과 `제출자 검증`은 반드시 이뤄져야 하는데, 두 가지를 제대로 구현하지 못했다는 것이다.
블록체인 전문가는 “DID 기술을 썼으면 발행자(질병청)의 전자서명이 필수로 들어가 위조 여부를 파악할 수 있는데, 이 과정이 이뤄지지 않은 건 표준을 지키지 않았다는 얘기로 있을 수 없는 일”이라고 비판했다.
이용자의 공개키를 블록체인에 저장하지 않아 `제출자 검증`에도 문제가 있어 보인다는 지적도 나온다.
박근덕 서울외국어대학원대학교 교수는 “사용자의 공개키를 제공 받아 블록체인에 등록해 해당 공개키의 유효성을 보장할 수 있다”며 “공개키를 발행자 등 신뢰할 수 있는 누군가가 보증을 해줘야 하는데, 임의대로 공개키를 생성해 사용한다면 내가 발급받은 증명서를 타인이 도용해서 사용할 수 있는 보안 위협이 존재하게 된다”고 지적했다.
이에 대해 엄 대표는 “다른 곳은 DID가 그냥 일련번호인 경우가 많은데 우리는 DID 자체가 공개키라 다큐먼트 자체를 블록체인에 기록할 필요는 없다”며 “지금까지는 발행자가 질병청 밖에 없어 기록이 필요가 없었다. 이제는 외국 정부도 포함해 여러 발행자를 구분해야 하니 발행자의 DID는 다큐먼트에 저장되고 개별 사용자의 다큐먼트는 저장하지 않는다”고 해명했다.
기술 검증 공개적으로 필요…“관련 제료 다 제공할 의향 있어”
그럼에도 전문가들은 블록체인랩스의 DID 기술에 대한 검증이 필요하다고 입을 모은다. 국내 대다수 블록체인 관련 메인넷이나 앱은 한국정보통신기술협회(TTA) 등 공인 기관의 평가를 거쳤는데, 질병청 앱도 기술을 공개하고 평가를 받아야 한다는 것이다.
블록체인 전문가는 “블록체인에 저장하는 데이터가 급격히 증가할 가능성이 큰데 등록, 검색 등 처리 속도가 급격히 저하되지 않는지 등을 외부 전문가를 통해 검증해야 한다”며 “검증해서 부족한 부분이 있다면 보완해야지, 해킹 사고가 일어나고 나서야 `우리 기술은 그게 아니다`라고 하면 누가믿겠나?”라고 지적했다.
엄 대표는 “기술적인 검증이 공개적으로 필요하다면 관련 자료를 다 제공할 의향이 있다”면서 “문제가 있다면 숨길 생각은 없다. 광범위하게 앱이 사용되기 전에 오히려 공개적으로 검증할 기회가 있으면 좋겠다”라고 답했다.
![특종이다, 특종! 빗자루로 교사 때린 학생들, 처벌 대신... [그해 오늘]](https://image.edaily.co.kr/images/Photo/files/NP/S/2024/04/PS24042700002t.jpg)
![르세라핌 측 공개석상서 실명 거론 유감 [전문]](https://spnimage.edaily.co.kr/images/Photo/files/NP/S/2024/04/PS24042600666t.jpg)