[단독]질병청 백신접종 증명앱, 보안 취약성 제기

QR코드 방식 앱, 스크린샷 복제해 악용 가능
중복 발급도 가능…"금전적 악용될 여지 있어"
개발사 'QR코드에 개인정보 없어"

등록 2021-04-20 오후 6:26:43

수정 2021-04-20 오후 11:18:07
가 가

질병관리청의 백신접종증명 `COOV` 앱의 QR코드 방식은 해킹 위협에 노출될 수 있다는 지적이 나온다. 익명의 전문가가 제보한 QR코드 스크린샷 복제본을 통해 다른 스마트폰에서 인증 성공한 모습.

[이데일리 이후섭 김현아 기자] 질병관리청에서 선보인 백신접종증명 `COOV` 앱에 대한 보안 우려가 제기됐다. 해당 앱에 적용된 블록체인랩스의 분산ID(DID) 기술에 대한 검증이 완벽하게 이뤄지지 않았고, 해킹 위협에 노출되거나 금전적인 이익을 위해 악용될 여지가 있다는 지적까지 나온다.

QR코드 스크린샷 복제본 생성 가능…블루투스 방식으로 해야

20일 익명을 요청한 블록체인 전문가에 따르면 COOV 앱의 동적 QR코드 방식은 해킹 위협에 노출될 수 있어 블루투스 방식의 DID 기술을 적용할 필요가 있다는 지적이다. 보안성을 강화하는 동시에 QR코드를 생성하고 스캔하는 불편함을 없애 편의성도 높일 수 있다는 것이다.

그가 실험한 바에 따르면 ①스마트폰 A의 COOV 앱에서 `본인인증서` QR코드를 생성하고 ②스크린샷으로 QR코드 복제본을 생성해 iMAC PC로 전송한 후 ③스마트폰 B의 COOV 앱에 들어가 iMAC에 전송된 QR코드 복제본을 스캔하면 인증이 가능했다. COOV 앱의 일회용 QR코드는 생성된 뒤 15초마다 갱신되는데, 실제 수작업으로 했음에도 불구하고 10~12초 이내 해킹할 수 있었다.

그는 “DID 기술을 적용했다지만 증명서 자체 검증, 증명서 발행자 검증, 증명서 제출자 검증 등 기본적인 기능을 제대로 개발하지 못 했다”며 “만약 해킹그룹이 금전적인 이익을 위해 자동화된 프로그램으로 위조복제증명서 앱을 만들어 판다면 오히려 감염병이 확산될 우려가 있다”고 일침했다.

이에 대해 엄지용 블록체인랩스 대표는 “아주 극단적인 해킹 시나리오로, 우리 앱에서 QR코드를 생성하기 위해서는 비밀번호 인증을 거쳐야 하고 화면 캡처가 불가능하기에 정상적인 방법으로는 QR코드를 다른 스마트폰에 보낼 수 없다”며 “다른 스마트폰의 카메라 앱으로 QR코드를 촬영해 복제본을 만드는 방법을 쓸 수도 있겠지만, 이는 QR코드 방식을 사용하고 있는 국내 다른 DID 업체들도 막을 수 있을지 의문이다. 이걸 가지고 우리의 기술력을 의심하는 건 문제”라고 반박했다.

엄 대표는 “블루투스 방식과 QR코드 방식 모두 장단점이 있어 사용자경험, 속도 등을 종합적으로 판단해 기술적인 판단을 내린 것”이라며 “우리가 기술력이 모자라서 블루투스가 아닌 QR코드 방식을 선택한 것이 아니다”라고 덧붙였다.

동일한 정보로 여러번 발급도 가능…“악용될 여지 충분해”

다른 보안 전문가는 질병청 백신접종 증명앱 ‘COOV’에 대해 동일한 개인정보로 여러 대의 스마트폰에서 백신접종증명이 발급 가능한 취약점을 발견했다.

예를 들어 A라는 사람이 백신접종증명을 발급받고 나서 B에게 본인 이름과 생년월일 등 정보를 제공하고 A의 스마트폰 문자메시지로 오는 인증코드를 공유해서 B도 증명서를 발급받을 수 있다는 것이다.

그는 “백신접종증명이 발급되고 나서 다른 곳에서 발급 요청이 오면 기존의 증명서를 폐기시키는 게 DID 개념인데, 이를 제대로 구현하지 못 했다”며 “중복 발급이 가능하기에 본인 증명서의 정보를 돈 받고 팔 여지도 충분히 있다”고 걱정했다.

일각에서는 블록체인랩스의 백서를 살펴본 결과 적용된 DID 기술을 검증하기 위한 자료가 일부 등록돼 있지 않아 외부에서 확인이 쉽지 않다는 지적도 나온다.

대기업에서 근무하는 블록체인 전문가는 “(블록체인랩스의)백서에서는 DID 관련 내용을 찾아볼 수 없다”며 “백서에는 블록체인을 활용해 금융시스템에 적용하면 좋다는 내용이 대부분 담겨 있고, 이런 서비스의 하나로 요세미티 카드가 나와 있는데 이는 블록체인랩스의 메인네트워크인 `인프라블록체인`을 활용하기 위한 목적이라 DID와는 관련이 없다”고 밝혔다.

엄지용 블록체인랩스 대표는 “주요 코드는 이미 공개돼 있고, 기술적인 부분에 대해 자세히 설명하고 공개할 예정”이라며 “회사의 기술적인 부분에 대해서는 자신 있고, 오히려 다른 업체들의 기술적인 부분이 공개되지 않아 비교가 힘든 부분이 있다”고 말했다.