오픈넷, 시티즌랩과 함께 KT와 LGU+ 스마트폰 감시 앱의 취약점 밝혀
[테크월드=정환용 기자] 사단법인 오픈넷은 캐나다 토론토 대학교 시티즌랩과 함께 KT와 LGU+의 스마트폰 감시 앱인 ‘KT 자녀폰 안심’과 ‘U+ 자녀폰 지킴이’에 대한 보안감사 보고서를 발표했다. 한국의 청소년 스마트폰 감시 앱에 대한 4차 보고서인 이번 보고서에서는 앞서 세 건의 보고서와 마찬가지로 감시 앱들이 보안에 매우 취약함을 밝혀냈다.
2015년 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은, 이동통신사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 일명 ‘청소년스마트폰 감시법’에 의하면, 이동통신사는 청소년의 스마트폰에 유해매체물 차단 앱을 설치해야 하며, 설치 후에는 앱이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 이렇게 부모의 동의도 필요 없이 감시 앱의 설치를 강제하는 법은 세계 최초다. 오픈넷은 스마트폰 감시법의 청소년 프라이버시와 부모 교육권 침해 문제를 지속적으로 지적해왔으,며 2016년 8월에는 스마트폰 감시법에 대해 헌법소원을 청구한 바 있다.
오픈넷, 시티즌랩, 독일의 보안감사 전문회사 큐어53(Cure53)이 공동 작업한 이번 보고서는 우리나라 주요 이동통신사인 KT와 LGU+의 감시 앱을 대상으로 했다. 두 앱 모두 플랜티넷이란 유해콘텐츠 차단서비스 전문 회사가 개발했는데, 코드가 거의 동일하며 둘 다 이용자의 개인정보가 저장된 서버에 무단 접근을 가능하게 하는 치명적인 보안 결점이 있었다. 보안감사를 주도한 큐어53의 파비앙 파슬러(Fabian Faessler) 연구원은 “우리가 발견한 취약점에 의해 개인정보가 유출되는 건 시간문제일 뿐이다. 앱에 저장된 개인정보를 포함한 내부 데이터로 접근할 수 있기 때문”이라고 말했다.
연구진은 취약점을 발견한 후 각 회사에 보안감사 결과를 고지하려 했으나, 회사들이 감사 결과를 인정하고 취약점을 수정하게 만드는 데 큰 어려움을 겪었다. 아무런 회신을 주지 않은 LGU+를 상대로는 한국인터넷진흥원(KISA)의 S/W 신규 취약점 신고 제도를 활용하는 등 1년 넘게 다각도로 노력한 끝에 두 앱의 취약점이 수정돼, 마침내 본 보고서를 발표할 수 있게 됐다.
시티즌랩의 Masashi Crete-Nishihata 연구팀장은 “플랜티넷, LGU+, 그리고 KT에게 취약점을 알리는 과정에서의 실망스러운 경험은, 회사들이 이용자 보호에 더 적극적이고 책임감 있게 나서야 함을 명백히 보여준다”고 설명했다.
이로써 4차에 걸친 보안감사 보고서를 통해 연구진은 스마트보안관, 사이버안심존, 스마트안심드림, KT 자녀폰 안심, U+ 자녀폰 지킴이 총 5개의 청소년 스마트폰 감시 앱을 분석했고 모든 앱에서 치명적인 보안 문제들을 발견했다. 이는 애초에 감시 앱들이 보안이나 프라이버시를 전혀 염두에 두지 않고 설계됐으며, 단순히 한 개발자나 판매자에 국한되는 문제가 아니라 한국의 감시 앱 산업 전반에 구조적인 보안 문제가 있음을 보여주는 것이다.
오픈넷은 “청소년들을 유해매체물과 음란물로부터 보호해야 한다는 점은 논란의 여지가 없다. 하지만 국가가 사회의 취약 집단에게 특정의 보호조치를 강제하려면, 그런 보호조치가 진정으로 필요한 것인지, 혹은 안전한지에 대한 철저한 검증이 있어야 할 것이다. 그런 점에서 청소년 스마트폰 감시법은 처음부터 잘못 끼운 단추”라고 언급했다.
오픈넷이 SNS 사용자를 대상으로 벌인 설문조사 결과에 의하면, 청소년 스마트폰 감시 앱에 대해 부모와 자녀 다수가 부정적으로 생각하는 것으로 나타났다. 응답자들은 청소년 관리 앱이 청소년의 자율성이나 부모의 선택권을 침해하는 것으로 봤고, 유해정보 차단 효과도 크지 않다고 대답했다. 이런 앱을 강제하는 청소년 스마트폰 감시법은 폐지돼야 한다는 의견이 압도적이었다.
그래도 삭제하시겠습니까?