中올림픽 참가자 스마트폰 해킹?…“행사 공식 앱 결함 투성이”

2022 베이징 동계올림픽 공식 애플리케이션 ‘MY2022’ 2022.01.19/news1© 뉴스1(앱스토어 갈무리)

베이징 동계올림픽 공식 앱에 중대한 결함이 있어 개인정보가 유출될 위험이 있다는 분석이 나왔다.

19일(현지시간) AFP통신은 2022 베이징 동계올림픽 참가자들이 사용해야 하는 앱 ‘MY2022’의 보안성이 취약해 개인정보 유출과 검열이 우려된다고 캐나다 토론토 대학 산하의 정보 통신·인권 등 연구를 진행하는 시티즌랩(Citizen Lab)의 보고서를 인용해 보도했다.

보고서는 MY2022 앱의 SSL인증서에 두 가지 문제가 있다고 지적했다.

첫째는 SSL인증서는 암호화된 데이터를 받은 사람의 유효성 검증에 실패했다는 점이다. 이렇게 된다면 개인 데이터가 누구에게 수신되는지 불분명해진다. 특히 MY2022 앱은 코로나19를 포함한 민감한 개인 의료 정보를 수집하는데, 이러한 정보가 불특정 개인에게 유출될 가능성이 있다.

다음으로 시티즌랩은 MY2022 앱에서 수집하는 개인의 민감한 데이터 중 일부가 암호화에 실패하는 경우도 있다고 주장했다. 즉 의도적으로 당국이 검열을 쉽게 할 수 있도록 일부 데이터가 암호화돼 있지 않다는 것이다.

실제로 MY2022에는 정치적으로 민감한 내용을 신고할 수 있는 기능이 있으며, 정치적으로 민감한 단어를 검열할 수 있다. 보고서에 따르면 검열 대상에는 신장 및 티베트 같은 지역 문제나, 중국 정부에 대한 비판 등이 포함됐다.

베이징 동계올림픽 공식앱 ‘MY2022’에 민감한 정치적 사안을 신고할 수 있는 기능이 존재해 논란을 일으키고 있다. 2022.01.19/news1© 뉴스1(CitizenLab 홈페이지 갈무리)

보고서에 따르면 이러한 앱의 결함이 구글과 애플 앱스토어의 지침을 위반할 뿐만 아니라 개인 정보 보호와 관련한 중국의 법률 조항에도 위반된다.

국제올림픽위원회(IOC)는 이번 보고서에 대해 “사용자들은 앱 일부 기능에 대해서 비활성화할 수 있으며, 익명의 사이버 보안 단체 두 곳에서도 심각한 취약점이 없다는 답변을 받았다”라고 말했다.

아울러 IOC는 인증된 직원이 웹상에서 건강 정보를 모니터링 할 수 있기 때문에 앱을 반드시 설치할 필요는 없다고도 덧붙였다.

하지만 시티즌랩 측은 중국이 정치적 검열과 감시를 위해 암호화 기술을 훼손한 전례가 있다며 우려했다. 보고서 작성자인 제프리 노켈은 “앱의 암호화 결함이 감시를 위한 의도가 깔린 것인지, 아니면 개발자의 단순 실수인지 따져보는 게 타당하다”라고 말했다.

(서울=뉴스1)