2020-11-27 19:50 (금)
정부 모바일앱, 보안문제 심각…기초 보안 적용도 하지 않은 정부앱 대다수
상태바
정부 모바일앱, 보안문제 심각…기초 보안 적용도 하지 않은 정부앱 대다수
  • 길민권 기자
  • 승인 2020.10.26 16:11
이 기사를 공유합니다

누구나 언제든 정부 모바일앱의 개발자 제어화면 접근 가능
행정안전부 디지털원패스(정부 민원사이트 간편 로그인 앱) 15분만에 뚫려
보건복지부 아이사랑앱 주민등록번호, 카드번호 실시간 탈취

프로그래밍 언어를 전혀 모르는 일반인도 15분이면 정부 모바일앱의 개발자 페이지에 접근해 앱을 위조하고 정보 왜곡까지 할 수 있는 것으로 조사됐다. 앱개발의 가장 기초 암호화 조치인 ‘난독화’를 하지 않았기 때문이다.

난독화는 프로그래밍 언어로 작성된 코드를 읽기 어렵게 만드는 작업이다. 프로그램에서 사용한 아이디어나 알고리즘 등을 숨기는 것이다. 해커가 소스코드를 손에 넣더라도 이 코드가 어떤 기능을 수행하는지 알아보기 어렵게 만드는 조치라고 할 수 있다.

안드로이드 기반으로 구축한 어플리케이션은 개발 언어가 공개돼 있다. 국내 스마트폰 시장 점유율은 구글 안드로이드가 76.5%, 애플 아이폰 ios 23.4%(스탯카운터, 2019)다.

국회 행정안전위원회 소속 김영배 의원(더불어민주당, 성북 갑)이 행정안전부 공공앱의 보안 취약점을 직접 조사했다. ‘2019 공공앱 성과측정지표 결과’ 누적 다운로드 횟수 8만 회~600만 회 정부 기관 및 지자체 제작 어플리케이션 16개 난독화여부를 파악한 것이다.

김영배 의원실에 따르면, 모바일 보안 취약점 확인 프로그램(dex2jar, jd-gui, apk easy tool)을 구글 검색으로 다운받아 어플리케이션을 분해해 침투 가능한 것으로 조사됐다. 또 프로그램을 비롯해 ‘난독화가 안 된 어플리케이션 해킹 매뉴얼’을 보고 따라하면 비전문가도 15분 정도면 정부앱 해킹이 가능한 상황이라고 경고했다.

조사결과에 따르면, 보건복지부 임신육아종합포털(아이사랑 모바일), 여성가족부 성범죄자 알림e모바일, 서울자전거 따릉이, 공무원연금공단 모바일앱, 한국토지주택공사 LH청약센터 모바일, 한국전력공사 스마트한전, 관세청 모바일 관세청, 행정안전부 1365자원봉사 알리미 등이 난독화가 되어있지 않은 상황이다.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★