이석원 기자
오는 11월 20일부터 12월 18일까지 1개월간 카타르에서 열릴 예정인 2022 피파 월드컵에선 현지로 향하는 모든 사람이 에테라즈(Ehteraz)와 하야(Hayya)라는 앱 2개를 스마트폰에 설치해야 한다. 이들 앱을 설치하는 건 보안 전문가에 따르면 카타르 당국에 집 열쇠를 전달하는 것과 같다고 경고하고 있다.
에테라즈는 코로나19 접촉 확인 앱이며 하야는 경기 티켓을 입수하는 사람이 무료로 카타르 지하철을 이용할 수 있게 해주는 월드컵 공식 앱이다. 이들 2가지 앱을 노르웨이 공공TV 라디오 방송국 NRK 보안팀과 IT 보안 기업 2곳(Bouvet, Mnemonic)이 분석 조사했다.
조사 결과 월드컵 기간 중 카타르로 향하는 18세 이상 모든 사람이 설치하도록 의무화한 에테라즈는 설치한 스마트폰에 많은 권한을 요청하는 것으로 나타났다. 요청 권한을 사용하면 설치된 스마트폰 내 모든 콘텐츠 읽기와 삭제, 기기 모든 콘텐츠 변경, 와이파이와 블루투스 액세스, 다른 앱 덮어쓰기, 기기 절전 모드로 전환 방지 등이 가능하다.
하야는 에테라즈만큼 많은 권한을 요구하지는 않지만 여전히 제한 없이 설치된 스마트폰 개인 정보를 공유하고 단말 정확한 위치 정보를 수집하거나 장치가 절전 상태로 들어가는 걸 방지하거나 전화 네트워크 연결을 표시할 수 있다.
2022 피파 월드컵 취재를 갈 NRK 직원을 위해 앱 2개를 조사했다는 이들은 앱 2개를 설치할 때 계약에 명시된 조건에 동의한 것으로 간주하는데 이 조건은 상당히 관대하며 기본적으로 스마트폰 모든 정보를 전달하는데 동의하는 내용이라며 이를 통하면 다른 앱에서 정보를 취득하는 것도 가능해진다고 지적했다.
따라서 조사팀은 이건 당신이 카타르 당국에게 집에 들어가 문제없다는 약속을 하는 것과 같다며 카타르 당국이 당신 집에 들어갈 수 있는 열쇠로 자유롭게 출입할 수 있게 되는 것이라고 지적했다.
그 중에서도 비판을 받는 건 코로나19 접속 확인 앱인 에테라즈다. 이는 노르웨이 정부가 공개하고 있는 접촉 확인 앱 스미트스탑(Smittestopp)보다 많은 권한을 요구한다. 따라서 에테라즈를 운영하는 공중 보건 당국이 조금이라도 악의가 있다면 앱이 수집하는 많은 정보를 이용해 다양한 악영향을 일으킬 수 있다는 지적이다. 조사팀은 에테라즈가 사용자 위치 정보를 추적하고 누구와 만나 얘기했는지 알 수 있다고 말한다. 또 분석에 따르면 에테라즈는 GPS와 위치 정보에 관한 데이터를 처리하고 있기 때문에 악용될 가능성이 높다고 한다. 현재 에테라즈가 스마트폰에 로컬로 저장된 데이터를 변경하는 징후는 발견되지 않았다. 하지만 아직 이런 기능이 구현되지 않았을 뿐일 수도 있다고 경고한다.
한 전문가는 액세스 권한 일부에만 동의할 수 없으며 모든 것에 일괄 동의해야 한다면서 앱에 대한 이해가 정확하다면 액세스 권한을 바꿀 옵션도 없다고 지적한다. 이는 선택사항이 없는 강제적인 앱이라고 할 수 있다고 지적했다. 더구나 만일 자신이 고용주라면 직원이 일용 스마트폰을 카타르에 반입하는 걸 금지한다고까지 말하고 있다며 또 NRK는 에테라즈와 하야에 존재하는 보안 취약점을 요약한 보고서를 국제축구연맹 피파에 제출했지만 피파는 아직까지 코멘트를 거부하고 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
