송호창, “스마트보안관 해킹가능 정보 이용자에 알려야”
상태바
송호창, “스마트보안관 해킹가능 정보 이용자에 알려야”
  • 신동훈 기자
  • 승인 2015.10.06 09:22
  • 댓글 0
이 기사를 공유합니다

방통위 국감에 해킹가능 정보 3가지 제출…알고보니 10가지

부모가 청소년들의 스마트폰 관리와 보호를 위해 만든 원격관리앱 ‘스마트보안관’이 오히려 해커가 모든 정보에 접근할 수 있으며 심지어 원격조정까지 당할 수 있는 것으로 나타났다. 이에 방통위는 보안사항을 업데이트했으나, 아직도 해킹위험에 노출되어 있는 상황이다.

송호창 새정치민주연합 의원(미래창조과학방송통신위원회, 의왕·과천)은 방송통신위원회(이하 방통위)가 스마트보안관의 해킹위험을 축소 발표해 이용자들의 정보보호를 외면했다고 밝혔다. 특히 송 의원은 “방통위는 유출가능한 정보를 축소해 국정감사 자료로 제출했으며 관련 위험성을 이용자들에게 충분히 알리지 않았다”며 “이는 개인정보보호 주무부처로서 매우 부적절한 조치”라고 강조했다.

송호창 의원은 지난 4일 해외 연구기관(시티즌랩)의 발표자료를 분석해 방통위가 운영 중인 스마트보안관의 정보유출 가능성을 제기했다. 스마트보안관은 청소년유해정보 차단을 위한 앱으로 8월 말 기준 38만여 명이 사용 중이다. 방통위는 해킹가능한 정보들을 축소한 자료를 국정감사에 제출하거나, 늑장대응으로 일관하고 있다.

방통위가 해킹 가능한 정보로 제출한 자료는 휴대폰 번호, 생년월일, 이름 3종류이다. 그러나 시티즌랩의 조사에 따르면 위 3가지 이외에도 성별, 개인식별번호(PIN), 웹사이트 이용내역, 보호된 데이터, 휴대폰 사용 통계치 등을 추가로 알 수 있었다. 즉, 해커가 스마트폰에 저장된 거의 모든 정보에 접근해 유출할 수 있는 것이다.

방통위는 스마트보안관 사업을 담당하는 한국무선인터넷산업연합회(MOIBA)가 3년이나 보안문제를 알지 못했음에도 불구하고 MOIBA의 자체점검에만 의존했다. MOIBA가 만든 스마트보안관의 보안수준은 최하위 수준이라는 평가이다. MOIBA는 정부로부터 10억원을 지원받아 스마트보안관 사업을 추진 중이다.

▲ 송호창 새정치민주연합 의원은 스마트보안관이 보안문제가 확실히 검증될때까지 서비스 중단은 물론 이러한 해킹위험을 이용자에게 알려야 한다고 주장했다. (자료 : 송호창 의원실)

방통위는 보안문제를 알게 된 이후에도 시티즌랩의 보고서가 공개되기 전인 45일 동안 한국인터넷진흥원(KISA)이나 다른 보안전문 기관에 평가를 의뢰하지 않았다. 방통위가 인터넷진흥원에 보안성평가를 요청한 것은 시티즌랩의 보고서가 공개된 이후인 9월22일이다. 6일 현재 인터넷진흥원의 평가결과는 나오지 않았다.

9월22일 이날 방통위는 지난 8월 ‘스마트보안관 앱’의 보안취약점 지적에 따라 개인정보 식별방지를 위해 암호화를 적용하고 통신보안 등을 강화해 구글과 이통사 앱 마켓에 재등록했다고 밝혔다.

하지만 송 의원측은 늑장대응 뿐만 아니라 실제로 심각한 보안문제가 해결됐는지도 의문이라고 주장했다. 그동안 MOIBA는 8월6일과 8월25일 2회의 업데이트를 통해 취약점을 보완했다고 발표했으나, 시티즌랩은 9월 20일까지 현재 취약점들이 전부 보완됐는지 MOIBA가 별도로 확인해준 바는 없다고 밝혔다. 

시티즌랩은 “독립적이고 철저한 보안감사가 이루어지기 전까지는 스마트보안관의 추후 사용과 홍보를 중단할 것을 권고한다”고 밝혔다. 아직 인터넷진흥원의 보안평가가 나오지 않은 상태에서 방통위는 이용자들에게 위험성을 충분히 알리지 않고 있다.

방통위가 송호창 의원에 제출한 국정감사 자료에 따르면 해킹여부에 대해 ‘해당사항 없음’이라고만 밝혔다. 그러나 어떤 정보가 유출가능성이 있는지 조차 파악하지 못하거나 축소했던 방통위는 해킹 여부에 대한 실제 조사를 진행하지도 않았었다. 이용자들 역시 유출 가능성조차 알지 못하고 있어 해킹을 당하고도 모를 가능성이 많다. 

송호창 의원은 “38만명의 우리 아이들이 사용하는 앱의 보안은 아무리 강조해도 지나치지 않는다”라고 밝혔다. 송 의원은 “보안문제가 확실히 검증될 때까지 서비스를 중단해야 한다”면서 “방통위는 최소한 모든 이용자들이 스스로 계속 사용여부를 판단할 수 있도록 정보유출과 원격조정 가능성에 대해 정확히 알려야 한다”고 강조했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.