청소년 스마트폰 감시 앱, 보안 취약점 26건 적발

[테크월드=정환용 기자] 사단법인 오픈넷이 캐나다 토론토 대학교 시티즌랩과 함께 한국의 청소년 스마트폰 감시 앱에 대한 보안감사 보고서를 발표했다. 보고서는 감시 앱들이 심각한 프라이버시와 보안 문제를 갖고 있음을 드러냈다.

오픈넷은 스마트폰 감시법의 청소년 프라이버시와 부모 교육권 침해 문제를 지속적으로 지적해왔다. 작년 8월에는 스마트폰 감시법에 대해 헌법소원을 청구하기도 했다. 오픈넷, 시티즌랩, 독일의 보안감사 전문회사 큐어53(Cure53)이 공동 작업한 이번 보고서에 의하면, 유해정보로부터의 청소년을 보호한다는 명분으로 개발된 감시 앱들이 오히려 청소년들을 보안 위험에 노출시키는 것으로 드러났다. 보안감사 대상 앱인 ‘사이버안심존’과 ‘스마트안심드림’은 (사)한국무선인터넷산업연합회((MOIBA)가 방송통신위원회의 지원을 받아 개발, 배포중인 앱이다.지난 2015년 4월 16일부터 시행된 개정 전기통신사업법 제32조의7과 전기통신사업법 시행령 제37조의8은 이동통신사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 일명 ‘청소년 스마트폰 감시법’에 의하면, 통신사는 청소년의 스마트폰에 유해매체물 차단 앱을 설치해야 하며, 설치 후에는 앱이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 이렇게 감시 앱의 설치를 강제하는 법은 세계 최초다.

2015년 시티즌랩과 큐어53이 MOIBA에서 개발한 유해정보 차단 앱 ‘스마트보안관’에 대한 보안감사를 실시해, 이용자로부터 민감한 정보를 수집하고 이용자 계정을 탈취하며 서비스를 방해하는데 악용될 수 있는 26건의 보안 취약점을 찾아낸 바 있다. 이후 MOIBA는 스마트보안관 서비스를 중단했지만, 여전히 ‘사이버안심존’과 ‘스마트안심드림’ 앱을 배포하고 있다. 연구진은 이번 보안감사를 통해 해당 감시 앱들이 프라이버시나 보안을 고려하지 않았음을 보여주는 심각한 보안 취약점을 발견했다.

사이버안심존은 부모가 원격으로 콘텐츠를 차단하고 자녀가 사용하는 모바일 앱을 모니터링하고 관리할 수 있게 해주는 앱이다. 그런데 분석을 통해 사이버안심존이 실제로는 이름만 바뀌었고, 동일한 코드를 사용하며, 2015년 보안감사에서 밝혀진 보안 문제 중 다수를 여전히 갖고 있음이 드러났다. 스마트보안관 보안감사 보고서를 발표하기 전 연구진은 ‘책임 있는 공개(responsible disclosure)’ 절차에 따라 MOIBA에게 취약점을 고지해 수정하도록 노력했지만, 수정은커녕 문제가 있는 앱을 이름만 바꿔 다시 출시하며 무책임한 태도를 보이고 있다.

스마트안심드림은 부모가 자녀의 메신저와 인터넷 검색 기록을 모니터링해, 따돌림의 징후를 발견하고 자녀의 고민을 알 수 있게 해주는 앱이다. 연구진은 분석에서 저장된 메시지와 검색 기록에 대한 무단 액세스를 허용하는 심각한 보안 취약점이 발견했다고 발표했다. 이번 보고서 발표 전에 MOIBA에게 취약점을 고지했으며, 다행히 MOIBA는 바로 취약점을 대부분 수정한 업데이트를 발표했다.

오픈넷 관계자는 “보호가 필요한 아동과 청소년이 무조건 사용해야 하는 앱에 대해서는 더욱 엄격한 보안 기준이 적용돼야 한다”며, “전반적으로 MOIBA가 청소년 감시 앱 개발에 있어 보안을 최우선으로 두고 있는 것으로 보이지 않는다. 지금이라도 방송통신위원회는 사이버안심존의 보안 문제에 대해 조치를 취하고, 통신사 앱 등 다른 감시 앱에 대해서도 철저한 보안 감사를 거쳐야 할 것”이라고 언급했다. 더불어 “정부는 지난 2016년 12월 부모의 거부권(opt-out)을 인정하는 전기통신사업법 개정안을 제출했다. 잘못을 인정하고 개선을 하려는 정부의 노력은 바람직하지만, 전 세계 유일무이 감시 앱 강제법인 청소년 스마트폰 감시법은 궁극적으로 폐지돼야 한다”고 강조했다.

통제보다 ‘왜’ 가르쳐야

방송통신위원회는 지난 2월 사이버안심존 서비스가 청소년 스마트폰 이용시간을 41% 감소시켰다고 발표한 바 있다. 발표에 따르면 스마트폰 평균 이용시간이 초등학교 100분에서 63분(37%), 중학교 145분에서 78분(46%)으로 감소했다. 교사와 학부모의 만족도 역시 각 89%와 77%로 높은 편이다. 그러나 방통위가 발표한 조사 대상의 구조를 보면, 학생을 통제의 대상으로, 학부모와 교사를 통제의 주체로 보고 있다. 조사 결과 역시 학부모와 교사가 학생들을 얼마나 잘 통제했는지를 보여주는 지표다.

이 결과는 청소년들이 스마트폰으로 공개돼 있는 유해매체를 무분별하게 열람할 수 있다는 우려를 불식시킬 수는 있으나, 청소년 스스로 이를 구분할 수 있는 분별력을 길러주지는 못한다. 어떤 웹사이트의 게시물이 왜 유해한지, 유해 여부를 어떻게 구분해야 하는지 등 낚시하는 법을 알려주는 것이 더 이롭지만, 현재의 시스템은 이런 예방·관리보다 훨씬 쉬운 방법인 통제에만 초점이 맞춰져 있다.

게다가 통제 앱 모두가 구글 안드로이드 운영체제를 대상으로 하고 있고, 아이폰 사용자에 대해선 그마저도 관리가 불가능하다. 사이버안심존 홈페이지에선 애플 앱스토어에서 ‘사이버가디언’으로 검색해 설치하면, 애플의 정책상 자녀 관리는 불가능하고 유해사이트 차단 기능만 가능하다고 언급하고 있다. 그러나 현재 앱스토어에서는 사이버안심존은 물론 사이버가디언 앱도 검색이 되지 않고 있다. 이에 대한 형평성 문제도 처음부터 지금까지 해결되지 않고 있는 고질적인 어폐다. 규제와 통제에 반드시 뒤따라야 하는 ‘왜’에 대한 물음표가 해결되지 않는 이상, 청소년 스마트폰 감시 앱은 당근 없는 채찍에 불과하다.