이원영 기자
교도소는 코로나19 감염을 방지하기 위해 수감자와 관계자 면담 등을 온라인으로 한다. 물론 해당 대화 내용은 외부 누군가에게 보여선 안 된다.
그런데 보안 연구자 밥 디아첸코(Bob Diachenko)에 따르면 미국 세인트루이스를 본거지로 전국 12개 교도소에 영상 면회 시스템을 공급하는 기업인 홈웨이브(HomeWAV)가 4월부터 시스템 데이터베이스 작업 화면을 암호조차 필요 없는 공개 상태로 해 수형자와 변호사 등 수천 개 통화 기록이 훤히 들여다보이게 했던 것으로 밝혀졌다.
면회 기록만 따져도 제3자에게 노출되면 안되지만 이 시스템이 더 문제가 된 건 원래라면 기록되선 안 될 수감자와 변호사간 대화 내용까지 텍스트화해 저장, 공개 상태로 되어 있었기 때문이다.
미국 교도소에선 상당 통화를 녹음하지만 변호인과 의뢰인간 대화는 성질상 보호되어야 할 정보다. 하물며 코로나19 재난은 평소보다 더 많은 사람이 온라인 면회를 이용할 가능성이 높고 이게 모두 공개 상태였다고 생각하면 값비싼 시스템을 도입하는 것보다 스마트폰 영상 통화 앱을 일시적으로 대여하는 게 더 안전하지 않았을까 싶은 생각이 들 수도 있다.
회사 측은 보고를 받자마자 곧바로 시스템을 종료시켰다. 또 시스템이 외부로부터 훤히 들여다보이게 된 이유로는 타사 벤더가 합당한 설정을 실수로 잊었기 때문이라고 밝혔지만 해당 업체가 어딘지 이름은 공개하지 않았다.
이 보안 전문가는 몇 개월 전에도 게팅아웃(GettingOut)이라는 수감자를 위한 영상・음성 통화와 문자 메시지 앱 보안 문제를 지적한 바 있다. 텔메이트(TelMate)라는 기업이 제공하는 이 앱은 수형자와 관계자 통화 내용을 기록하는 기능을 갖췄다. 하지만 이 역시 개인을 식별할 수 있을 뿐 아니라 수형자 이름과 운전면허 ID, 이메일 주소, 종교, 수감장소, 투약 이력 등을 포함한 데이터베이스를 암호를 필요로 하지 않는 노출 상태로 한 바 있다. 이 때도 보고를 받고 곧바로 시스템을 종료했는데 텔메이트 모기업인 글로벌텔링크(Global Tel Link) 역시 원인으로 시스템을 납품한 벤더의 설정 실수라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
