오픈넷, 시티즌랩과 함께 KT와 LGU+ 스마트폰 감시 앱의 취약점 밝혀
– 4차에 걸친 청소년 스마트폰 감시 앱 보안감사 보고서를 통해 총 5개 감시 앱의 취약점 공개
– 청소년 보호를 위한 수단이 오히려 청소년을 위험에 처하게 함이 드러나
한국 시간으로 11월 27일 저녁, 사단법인 오픈넷은 캐나다 토론토 대학교 시티즌랩과 함께 KT와 LGU+의 스마트폰 감시 앱인 ‘KT 자녀폰 안심’과 ‘U+ 자녀폰 지킴이’에 대한 보안감사 보고서를 발표했다. 한국의 청소년 스마트폰 감시 앱에 대한 4차 보고서인 이번 보고서에서는 앞서 세 건의 보고서와 마찬가지로 감시 앱들이 보안에 매우 취약함을 밝혀냈다.
2015년 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 일명 ‘청소년스마트폰 감시법’에 의하면 이통사는 청소년의 스마트폰에 유해매체물 차단 앱을 설치해야 하며, 설치 후에는 앱이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 이렇게 부모의 동의도 필요 없이 감시 앱의 설치를 강제하는 법은 세계 최초이다. 오픈넷은 스마트폰 감시법의 청소년 프라이버시와 부모 교육권 침해 문제를 지속적으로 지적해왔으며 작년 8월에는 스마트폰 감시법에 대해 헌법소원을 청구한 바 있다.
오픈넷, 시티즌랩, 독일의 보안감사 전문회사 큐어53(Cure53)이 공동 작업한 이번 보고서는 우리나라 주요 이통사인 KT와 LGU+의 감시 앱인 U+ 자녀폰 지킴이와 KT 자녀폰 안심을 대상으로 했다. 두 앱 모두 플랜티넷이라는 유해콘텐츠 차단서비스 전문 회사가 개발했는데, 코드가 거의 동일하며 둘 다 이용자의 개인정보가 저장된 서버에 무단 접근을 가능하게 하는 치명적인 보안 결점이 있었다.
보안감사를 주도한 큐어53의 Fabian Faessler 연구원은 “우리가 발견한 취약점에 의해 개인정보가 유출되는 건 시간문제일 뿐이다. 앱에 저장된 개인정보를 포함한 내부 데이터에의 접근을 가능하게 하기 때문이다”라고 말했다.
연구진은 취약점을 발견한 후 각 회사에 보안감사 결과를 고지하려 했으나, 회사들이 감사 결과를 인정하고 취약점을 수정하게 만드는 데 큰 어려움을 겪었다. 아무런 회신을 주지 않은 LGU+를 상대로는 한국인터넷진흥원(KISA)의 S/W 신규 취약점 신고 제도를 활용하는 등 1년 넘게 다각도로 노력한 끝에 두 앱의 취약점이 수정되어 마침내 본 보고서를 발표할 수 있게 되었다.*
시티즌랩의 Masashi Crete-Nishihata 연구팀장은 “플랜티넷, LGU+, 그리고 KT에게 취약점을 알리는 과정에서의 실망스러운 경험은 회사들이 이용자 보호에 더 적극적이고 책임감있게 나서야 함을 명백히 보여준다”고 설명했다.
이로써 4차에 걸친 보안감사 보고서를 통해 연구진은 스마트보안관, 사이버안심존, 스마트안심드림, KT 자녀폰 안심, U+ 자녀폰 지킴이 총 5개의 청소년 스마트폰 감시 앱을 분석했고 모든 앱에서 치명적인 보안 문제들을 발견했다. 이는 애초에 감시 앱들이 보안이나 프라이버시를 전혀 염두에 두지 않고 설계되었으며, 단순히 한 개발자나 판매자에 국한되는 문제가 아니라 한국의 감시 앱 산업 전반에 구조적인 보안 문제가 있음을 보여주는 것이다.
청소년들을 온라인에서 범람하는 유해매체물과 음란물로부터 보호해야 한다는 점에 대해서는 논란의 여지가 없으나, 국가가 청소년처럼 사회의 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 그러한 보호조치가 진정으로 필요한 것인지 내지 안전한지에 대한 철저한 검증이 있어야 할 것이다. 그런 점에서 청소년 스마트폰 감시법은 처음부터 잘못 끼운 단추이다.
오픈넷이 트위터와 페이스북 등 SNS 사용자를 대상으로 하여 벌인 설문조사 결과에 의하면 청소년 스마트폰 감시 앱에 대해 부모와 자녀 다수가 부정적으로 생각하는 것으로 나타났다. 응답자들은 청소년 관리앱이 청소년의 자율성이나 부모의 선택권을 침해하는 것으로 보았으며, 유해정보 차단 효과도 크지 않다고 대답했다. 이러한 앱을 강제하는 ‘청소년 스마트폰 감시법’에 대해서는 폐지되어야 한다는 의견이 압도적이었다.
정부는 2016년 12월 부모의 거부권(opt-out)을 인정하는 전기통신사업법 개정안을 제출했다. 하지만 이 개정안에는 청소년을 보안 위협에 노출시키는 감시 앱 자체의 위험성은 전혀 반영되어 있지 않다. 전 세계 유일무이 감시 앱 강제법인 청소년 스마트폰 감시법을 폐지하고 부모와 자녀 간의 대화와 이해 그리고 충분한 정보를 바탕으로 이용자들이 자율적으로 감시 앱 설치 여부를 결정할 수 있도록 하는 게 가장 바람직한 개선책일 것이다.
2017년 11월 29일
사단법인 오픈넷
* 취약점 공개 타임라인
일자 |
비고 |
2016. 9. 2. |
KT에 첫번째 취약점 고지 이메일 발송 |
2016. 9. 2. |
LGU+에 첫번째 취약점 고지 이메일 발송 |
2016. 9. 9. |
KT & 플랜티넷에 팔로우업 이메일 발송(답장 x) |
2016. 9. 9. |
LGU+ & 플랜티넷에 팔로우업 이메일 발송(답장 x) |
2016. 10. 21. |
LGU+ & 플랜티넷에 다시 팔로우업 이메일 발송(답장 x) |
2016. 10. 21. |
LGU+ 앱 업데이트 2.1.1 |
2016. 10. 26. |
LGU+ 고객센터 상담원 통화 |
2016. 10. 26. |
KT 고객센터 상담원 통화 |
2016. 10. 26. |
LGU+ & 플랜티넷에 팔로우업 이메일 발송(답장 x) |
2016. 10. 26. |
플랜티넷으로부터 이메일 답장 받음 |
2016. 10. 26. |
플랜티넷 이메일에 대해 회답함 |
2016. 11. 7. |
플랜티넷에 팔로우업 이메일 발송(답장 x) |
2016. 11. 13. |
KT 자녀폰 안심 업데이트 2.01.11 |
2016. 11. 18. |
플랜티넷에 팔로우업 이메일 발송(답장 x) |
2016. 11. 30. |
플랜티넷에 팔로우업 이메일 발송(답장 x) |
2017. 1. 20. |
LGU+ & 플랜티넷에 팔로우업 이메일 발송(답장 x) |
2017. 2. 1. |
플랜티넷과 통화 |
2017. 2. 17. |
LGU+ & 플랜티넷에 U+ 자녀폰 지킴이 업데이트 버전에 대한 새 취약점 고지 이메일 발송(답장 x) |
2017. 2. 23. |
LGU+ & 플랜티넷에 새 취약점 고지에 대한 팔로우업 이메일 발송(답장 x) |
2017. 7. 7. |
KISA에 U+ 자녀폰 지킴이 취약점 신고 |
2017. 9. 4. |
KISA에서 U+ 자녀폰 지킴이 업데이트에 대해 통지 |
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련 글]
- 없는 편이 더 안전한 ‘청소년 스마트폰 감시 앱’ (허프포스트코리아 17.9.20.)
- [웹툰 및 권고] 없는 편이 더 안전해!: 한국의 청소년 스마트폰 감시 앱
- [보도자료] 오픈넷, 방송통신위원회의 전기통신사업법 개정안에 대한 반대의견 제출 (2016.12.26.)
- [논평] 오픈넷, 시티즌랩과 함께 청소년 스마트폰 감시 앱에 대한 보안감사 보고서 발표 (2017.9.12.)
- [논평] 부모와 청소년 모두에게 외면받는 ‘청소년 스마트폰 감시법’ (2017.2.2.)
- [논평] 오픈넷, 청소년 스마트폰 감시법에 대해 헌법소원 청구 – 전기통신사업법상 차단수단 설치의무 조항은 청소년과 부모의 기본권 침해 (2016.8.30.)
- [논평] 스마트보안관이여 잘 가시오! 이제는 청소년 스마트폰 감시법의 폐지를 논의할 때! (2015.11.3.)
- [논평] 한국의 청소년들을 위험에 빠뜨리는 스마트보안관 서비스는 즉시 중단되어야 (2015.9.21.)
- [논평] ‘딸통법’ 및 ‘청소년 스마트폰 감시법’ 시행 주의보 (2015.4.15.)
- 스마트보안관은 사라졌지만 감시는 계속된다 (슬로우뉴스 2015.11.16.)