[단독]질병청 국회 답변 봤더니…논란의 백신접종앱, 기술평가서 없었다

[이데일리 이후섭 기자] 보안 논란이 끊이지 않고 있는 질병관리청의 백신접종증명 앱 `쿠브(COOV)` 개발 과정에서 별도의 심사와 기술평가도 이뤄지지 않은 것이 확인됐다.

암호화폐를 발행하지 않고 노드 확대가 자유롭다는 개발사 블록체인랩스의 `말`만 믿고 협약을 진행했으나, 학계와 관련 업계에서는 납득할 수 없다는 반응이 대다수다.

블록체인랩스도 스테이블 코인을 지원해 언제든 암호화폐 발행이 가능하고, 노드 확대는 다른 회사의 블록체인으로도 충분히 가능하기 때문이다. 쿠브 앱에 적용된 분산ID(DID) 기술에 대해서도 논란의 여지가 많아 공개 검증의 목소리는 더욱 커지고 있다.

개발사 `말`만 믿고 전국민 사용할 앱을?…과기부·KISA와 협의 無

12일 이데일리가 입수한 노웅래 의원실과 질병청이 주고 받은 백신접종증명 앱 관련 질의응답서에 따르면 질병청은 블록체인랩스와 업무협약을 진행하면서 심사나 기술평가서 절차를 거치지 않았다.

정부 부처 중 기술 전문성을 가진 과학기술정보통신부나 한국인터넷진흥원(KISA)와의 협의도 없었다. 질병청은 지난 3월에 과기정통부 및 KISA에 별도 설명한 바 있으나, 전자증명서 발급을 위한 협의절차는 의무화돼 있지 않다고 답했다.

과기정통부와 KISA도 질병청이 블록체인랩스와 협약을 진행하는 것과 관련해 협의한 바가 없으며, 질병청이 자체적으로 사업을 추진해 검토보고서나 기술평가서 및 기술평가의견서를 갖고 있지 않다고 답했다.

백신 접종자 70% 집단면역이 형성되면 백신접종증명 앱은 3600만 명이 사용하는 국민 앱으로 자리잡게 될텐데 질병청은 어떠한 검증도 거치지 않은 것이다. 이러한 절차상 문제는 보안 허점이라는 결과를 낳고 말았다. 지난달 15일 출시된 쿠브 앱은 한 달도 안돼 △스크린샷을 통한 QR코드 복제본 생성이 가능하고 △동일한 정보로 중복 발급이 가능하며 △허위 정보로 QR코드가 생성된다는 3가지 보안 문제가 지적됐다.

노웅래 의원은 “백신여권은 전 국민이 사용할 뿐만 아니라 해외에 우리 기술력을 선보이게 될 중요한 지표가 될 것인데도, 이렇게 논란이 지속되는 것은 매우 바람직하지 않다”며 “질병청이 단독으로 사업을 진행하겠다는 욕심을 버리고, 관련 정부기관들과 적극적으로 협업해 백신여권 사업이 순항하도록 해야 할 것”이라고 일침했다.

(그래픽=이데일리 김정훈 기자)

암호화폐 없어서 선택했다는데…“나중에 언제든 발행 가능” 우려

질병청은 백신접종증명 앱을 개발하는 과정에서 △코인을 발행하지 않고 △노드 참여가 자유롭지 않은 블록체인 합의 알고리즘을 기술을 보유한 업체의 자문을 받아 직접 구축·운영했다고 설명했다. 이런 기준을 충족한 업체가 바로 블록체인랩스라는 것인데, 일각에서는 이에 대한 의구심을 제기하고 있다.

우선 블록체인랩스는 암호화폐를 활용하지 않는다고 밝혔지만, 메인넷인 인프라블록체인은 대기업, 금융기관, 정부기관 등이 지급보증하는 법정화폐에 고정된 `스테이블 코인`을 지원하기에 향후에 언제든 코인 발행이 가능하다는 지적이다.

업계 관계자는 “당장은 코인 없이 기술을 기부한다고 하고나서 나중에 언제라도 코인을 발행해 암호화폐 사업을 펼칠 수도 있다”며 “지금 암호화폐가 없다고 해서 질병청이 블록체인랩스를 선정했다는 것이 이해가 되지 않는다”고 말했다.

이에 대해 엄지용 블록체인랩스 대표는 “스테이블 코인은 우리가 직접 코인을 발행하는 방식이 아니라 은행 등에 지급보증금을 넣어야만 발행이 가능한 방식이라 지금의 코인들처럼 한푼도 없는 상태에서 찍어내는 것과는 다르다”면서 “직접 코인을 발행한 계획은 없다”고 일축했다.

질병청은 두 가지 요건을 충족한 기술 또는 현재 적용한 블록체인 기술 등보다 더 나은 기술이 있는 경우라면 협약 등 일련의 절차를 통해서 추가 개통이 가능하다고 밝혔다.

하지만 과기정통부와 KISA가 진행하는 DID 시범사업 관련 민간 사업자들이 백신접종증명 과제를 추진하기 위해서는 질병청의 데이터 개방이 필수적이나, 질병청은 명확한 답변을 내놓지 않고 있다.

박근덕 서울외국어대학원대학교 교수는 “현재 시중에서 널리 쓰이고 있는 PoS, PoA, PBFT 등의 합의 알고리즘은 가용성과 안전성이 증명됐지만, 블록체인랩스의 인프라블록체인이 이보다 나은 기술이냐에 대해서는 의문이 드는 상황”이라며 “민간 사업자의 코인 발행을 문제 삼는 부분에 대해서도 이해할 수 없다. 앞으로 백신여권으로 발전시키기 위해서는 미국이나 유럽과 연동할 텐데 그 국가에서 참여하는 기업들이 암호화폐를 발행할 경우 참여시키지 않을 건가”라고 반문했다.

기술적 문제도…신원특정 불가, 해외 연동 가능할지도 의문

기술적인 부분에 대한 지적도 나온다. 이번 질병청의 답변서를 보면 `DID는 단말기(스마트폰)에서 생성·보관되며, 블록체인에는 저장되지 않음`이라고 나와있는데, 개별 사용자의 공개키를 블록체인에 저장하지 않으면 사용자의 신원을 특정할 수 없다는 것이다.

블록체인 전문가는 “(쿠브 앱은)증명서의 해시값만 블록체인에 올려놓고 검증하는 것으로 보이는데, 이는 증명서 진위 여부를 확인할 수는 있지만 발행자가 누구인지, 증명서를 제출한 사람이 누구인지를 검증할 수 없다”며 “DID가 이것 때문에 필요한 것인데 이게 이뤄지지 않으면 쓸모없는 꼴”이라고 말했다.

해외 서비스와의 연동 여부도 가능할지 의심된다는 지적이다. 질병청은 `해외 기관에서 인증하는 경우 접종자 개인 단말기 내 인증서를 해외기관 인증용 단말기에 직접 제공토록 하되, 제공된 정보는 수초 후 휘발(삭제)되도록 설계한다`고 답변했다.

한 전문가는 “단말기에서 단말기로 백신 정보를 담은 VC가 넘어가야 하는데, 지금 쿠브 앱에 적용된 기술을 보면 릴레이 서버로 연결되는 구조라 VC의 정보가 넘어가지 않는다”며 “이런 방식으로는 질병청이 밝힌 대로 하기 힘들다”고 말했다.