법제도/정책

[국감2020] 기초 보안도 적용되지 않은 정부 앱··· 일반인도 15분 만에 해킹 가능

이종현
[디지털데일리 이종현기자] 행정안전부, 보건복지부, 여성가족부, 국토교통부, 관세청 등이 만든 모바일 애플리케이션(앱)이 기초적인 보안도 적용되지 않은 것으로 확인됐다. 프로그래밍 언어를 모르는 일반인도 15분이면 정부 모바일 앱의 개발자 페이지에 접근해 앱을 위조하고 정보 왜곡을 할 수 있다.

26일 국회 행정안전위원회 국정감사장에서 김영배 의원(더불어민주당)은 “HTTPS, 로그인 횟수 제한 등 기초 보안도 적용되지 않은 정부 앱이 대다수”라고 꼬집었다. 다수 앱이 코드를 읽기 어렵게 만드는 기초 암호화 조치 ‘난독화’를 하지 않았다는 것이다.

김 의원은 누적 다운로드 횟수 8만~600만회의 정부기관 및 지자체 제작 앱 16개의 난독화 여부를 직접 조사했다. 이중 난독화가 된 앱은 8개다. 절반은 최소한의 보안 조치도 이뤄지지 않은 셈이다.

조사결과 난독화가 적용되지 않은 앱은 ▲보건복지부 ‘임신육아종합포털(아이사랑 모바일)’ ▲여성가족부 ‘성범죄자 알림e 모바일’ ▲서울특별시 ‘따릉이’ ▲인사혁신처 ‘공무원연금공단_모바일앱’ ▲국토교통부 ‘LH청약센터_모바일’ ▲산업통상자원부 ‘스마트한전’ ▲관세청 ‘모바일 관세청’ ▲행정안전부 ‘1365자원봉사알리미’ 등 8개다.

김 의원은 구글 검색을 통해 다운로드받을 수 있는 모바일 보안 취약점 확인 프로그램(dex2jar, jd-gui, apk easy tool)과 ‘난독화가 안 된 앱 해킹 매뉴얼’을 참고하면 비전문가도 15분 정도면 정부 앱을 해킹할 수 있다고 지적했다.

행정안전부와 한국인터넷진흥원(KISA)이 모바일 대민서비스 관련 가이드라인을 마련했으나 2015년 12월 만들어진 후 한 차례도 개정되지 않았다. 또 행정안전부가 지침과 가이드라인으로 보안 취약점 점검 기준에 난독화를 포함해 안내하고 있으나 개발시간 한정으로 보안 취약점검보다 앱 기능 구현에 집중한다는 것이 김 의원의 주장이다.

실제 행정안전부가 개발한 ‘자가격리자 안전보호’ 앱의 경우 보안 취약점이 드러나며 지난 7월 뉴욕타임스 보도를 통해 해외로부터 지적받기도 했다.

김 의원은 “누적 다운로드 횟수가 300만건에 달하는 정부 개발 앱도 가장 기본적인 보안 조치가 되지 않았다. 비전문가도 15분이면 구글 검색으로 앱의 정보를 왜곡할 수 있는 상황”이라며 “정부 앱과 모바일 페이지 보안 취약점 전수조사로 정보탈취, 위변조, 악성코드 심기 등 해킹을 방지해야 한다”고 강조했다.

이에 대해 보안업계 관계자는 이와 같은 문제를 보안은 뒷전으로 하는 인식 탓이라고 말했다. 그는 “모바일 시대로 전환하면서 많은 공공기관이 앱 개발에 예산을 투입하고 있지만 이중 제대로 개발·운영되는 앱이 적다는 것인 공공연한 사실”이라고 부연했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널