4일 해외 보안전문매체 해카데이(Hackaday)에 따르면, 프랑스 저명 암호학자 세르지 보드네이의 주장을 인용해 애플, 구글의 코로나19 확진자 접촉 추적 앱에서 개인정보가 노출될 취약점을 발견했다고 밝혔다.
예를 들어 코로나19 확진자 A씨의 접촉자를 방역당국이 파악할 때 A씨의 스마트폰에 저장된 다른 스마트폰 기기와의 블루투스 주소 정보 교환 기록을 토대로 A씨 동선 인근에 있었던 사람들을 찾아내는 방식이다. 이동통신사 기지국의 GPS 위치정보로 확진자 동선을 파악하는 국내 방식보다 좁은 범주의 접촉자를 추려낼 수 있다.
최근 미국 내 일부 주와 스위스, 독일, 이탈리아, 오스트리아 등 전세계 22개국에서는 공식적인 코로나19 추적 앱으로 사용되고 있다. 애플과 구글이 지난 5월 한국 정부에도 API(애플리케이션 프로그래밍 인터페이스) 제공할 의사를 밝히기도 했다.
이번에 발견된 취약점은 블루투스 알고리즘에 관한 것이다. 구글과 애플의 코로나19 추적 기능은 이용자의 사생활 침해를 막기 위해 주변으로 전송되는 블루투스 기기 정보가 약 15분 주기로 계속 바뀌도록 했다. 서비스를 이용하는 기기가 주변 기기에 '롤링ID'와 '블루투스 주소'로 이뤄진 기기 정보를 끊임없이 보내는 구조다.
애플은 20일 OS 업데이트를 통해 코로나19노출기록을 추가했다. 아직 국내에서 활성화되지는 않았다. 구글도 조만간 OS업데이트를 통해 이를 제공할 예정이다. /사진=캡처이 시각 인기 뉴스
보드네이는 롤링ID와 블루투스 주소가 동시에 변화하지 않고 변동 시점이 어긋나는 경우가 있었다고 했다. 이 경우 여러 사람과의 접촉 정보와 결합되면 서비스의 당초 의도와 달리 이용자의 모든 행동 반경까지 노출될 여지가 있다는 주장이다.
이같은 기술적 결함이 고쳐지지 않으면 사실상 구글·애플이나 서비스를 활용하는 정부 등에서 마음 먹으면 특정 개인의 행동 반경과 인맥, 접촉자 등을 사찰하는 데 악용될 수도 있다는 지적도 나온다.
구글과 애플은 다만 이 서비스를 개시할 때 "공동 개발한 API는 사용자 개인 정보와 위치 데이터 등을 포함하지 않는다"며 "사생활 보호를 위해 암호화된 코드값만을 확인한다"고 주장했다.
김승주 고려대 정보보호학과 교수는 "그동안 구글과 애플이 만든 코로나19 추적 서비스는 한국과 달리 이용자 위치 정보 활용에 법적 근거가 없는 국가에서는 대안으로 여겨져왔다"면서도 "기술적 오류가 고쳐지더라도 이용자가 이용 동의를 하지 않는 경우 코로나19 확진자 동선 추적 효과가 미미할 수 있어 실효성에 대한 문제제기도 지속될 수 있다"고 말했다.
