캐나다 보안 연구자 분석에 따르면 2022년 2월 개최되는 베이징 올림픽에서 참가자 전원에게 설치가 의무화된 건강 관리 앱 MY2022에 기밀 정보에 대한 해킹이 용이하게 되도록 보안상 결함이 있다는 게 밝혀졌다. MY2022에는 암호화 문제 뿐 아니라 정치 키워드 검열 관련 데이터도 탑재되어 있었다는 것이다.
MY2022는 올림픽 선수 코로나19 백신 접종 정보 등 수집을 목적으로 베이징금융지주(Beijing Financial Holdings Group)라는 중국 국유기업이 개발한 앱이다. 대회에 출전하는 중국 내외 모든 참가자는 중국에 입국하기 14일전 MY2022을 단말에 내려 받고 매일 건강 상태 모니터링을 받고 해당 정보를 앱으로 제출해야 할 의무가 있다.
이 앱에 대해 토론토대학 연구기관인 시티즌랩(Citizen Lab)은 1월 18일 2022년 베이징 올림픽 건강 관리 앱 MY2022에는 사용자 음성과 파일 전송을 보호하는 암호화가 간단하게 회피되어 버리는 단순하고 치명적 결함이 있다고 발표했다.
이번에 시티즌랩이 지적한 MY2022 보안 결함은 2가지다. 이 가운데 하나는 앱 SSL 인증서를 검증하지 않았기 때문에 기밀성이 높은 암호화 데이터 대상을 검증할 수 없다는 취약성이다. SSL을 사용하면 단말이 서버에 연결해 전송하는 데이터 프라이버시를 보호하고 통신 내용이 읽히거나 변조되지 않도록 할 수 있다. MY2022가 이 기능을 갖고 있지 않다는 건 제3자가 앱과 서버간 통신을 방해해 신뢰할 수 있는 서버가 되어 여권 정보나 의료 정보를 훔치거나 타깃에 가짜 지시를 보내는 것도 가능하다는 걸 의미한다.
또 다른 결함은 MY2022가 일부 기밀 데이터를 암호로 보호하지 않고 전송한다는 것이다. 암호화되지 않은 데이터에는 메시지를 보낸 사람과 받는 사람 이름, 사용자 계정 식별자등 개인 정보 보호 데이터가 포함되며 안전하지 않은 무선랜에 연결된 사람과 인터넷 제공자 등에 의해 용이하게 훔칠 수 있는 상태가 되어 있었다고 한다.
MY2022가 가진 이런 문제는 안드로이드와 iOS용으로 모두 확인됐다. 또 시티즌랩은 MY2022가 사용자 정보를 어떤 조직과 공유할지가 프라이버시 정책에 명시되어 있지 않은 것도 지적한 뒤 구글플레이 정책이나 앱스토어 가이드라인을 위반할 우려가 있기 때문에 앞으로 양사에 의해 어떤 대응이 이뤄질 가능성이 있다고 밝히고 있다.
더구나 MY2022 안드로이드 버전에는 중국에서 정치적으로 여겨지는 키워드2,442개 목록(illegalwords.txt)도 포함되어 있었다. 키워드 대부분은 중국어 간체이며 나머지는 중국어 번체, 티벳어, 위구르어, 영어였다. 키워드에는 중국 국가 주석인 시진핑 이름, 중국 공산당은 악이라는 의미를 담은 복수 단어 등 외에 범죄와 성인물, 종교에 관한 용어가 열거되어 있다.
시티즌랩에 따르면 MY2022에는 검열 단어 목록을 참조하는 코드가 포함되어 있지만 현재 버전 앱에선 작동하지 않는다. 다만 완전히 사용을 폐지했는지 의도적으로 사용하지 않게 한 것일 뿐인지는 불분명하다. 이 리스트는 깃허브에도 게시되어 있다.
시티즌랩은 이번 분석 결과를 2021년 12월 베이징올림픽대회조직윙원회에 보고했지만 답변을 받지 못했다. 한편 국제올림픽위원회 IOC는 해당 앱에 대한 2가지 독립적인 제3자 평가를 실시한 결과 중대한 취약성은 포함되지 않았다며 이번 지적에 대한 이해를 위해 추가 보고를 요청한 상태라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.