프라이버시 관련 시민단체 디지털안전연구소 인터랩이 국방 모바일 앱에서 심각한 개인 정보 및 군사 정보 유출 위협이 발견됐다고 26일 주장했다. 문제가 된 앱은 국방부가 군사 기밀 보호를 목적으로 부대에 출입하는 병사·간부·외부 출입자들의 기기에 설치를 강제하고 있는 애플리케이션이다.
인터랩 분석 결과에 따르면 “개인 정보를 수집하지 않는다”는 앱 개발자 주장과 달리 실제로는 국방 모바일 앱 사용자의 위치 정보가 시간과 함께 기록되고 있었다. 또 취약한 소스코드로 언제든지 이런 기록이 유출될 수 있음을 확인했다.
인터랩 최민오 총괄이사는 “취약점 분석은 정적 및 동적 분석 기법을 포함한 종합적인 포렌식 기술을 바탕으로 애플리케이션의 서비스 및 운영에 영향을 끼치지 않는 영역에서 진행됐다”고 설명했다.
인터랩은 이날 오전 10시에 발표한 보고서를 통해 공격자가 관련 취약점들을 통해 손쉽게 군사 관계자의 기기에 기록된 위치 정보 습득이 가능하며, 개인 또는 민감한 부대 위치 정보 등을 파악할 수 있다고 밝혔다. 또 이런 위협들은 아주 기초적인 취약점에서 발생하고 있다고 덧붙였다.
최민오 총괄이사는 “오늘 발표한 국방 모바일 앱 취약점뿐만 아니라 최근 확인된 금융 인증 소프트웨어 취약점 및 침해 사고 등은 사회 정치적으로 시민들에게 설치·이용이 강제되는 앱들이 목적과 달리 얼마나 광범위하게 사회를 위협하고 있는지 정확하게 보여준다”며 “관련 소프트웨어들의 정기적인 보안 감사 의무화 및 보안 감사 프로세스의 투명성 개선 없이 이런 문제들이 반복되는 건 시간문제”라고 말했다.
한편 인터랩은 ‘책임 있는 공개’ 절차에 따라 국방 모바일 앱 개발자에게 3월 10일 관련 취약점 및 해결 방안을 미리 고지했으나, 발표일 현재까지 지적한 문제점들은 보완되지 않았다고 밝혔다.
