"호주 백신 증명서 치명적 보안 결함.. 10분이면 위조 가능”

호주 정부의 코비드백신 디지털 접종 증명서(샘플)

“호주 정부의 디지털 코로나-19 백신 접종 증명서(COVID-19 vaccine digital certificate)는 불과 10분 안에 거의 완벽하게 위조될 수 있다.”

ABC 방송에 따르면, 소프트웨어 엔지니어인 리처드 넬슨(Richard Nelson)는 지난 주 '익스프레스 플러스 메디케어'(Express Plus Medicare) 앱에서 임의의 이름과 생년월일을 기입한 가짜 백신 접종 증명서를 만들 수 있는 보안 결함을 발견했다.

서비스오스트레일리아(Services Australia) 앱의 이 보안 결함은 백신 접종자에게 더 많은 자유를 허용하기를 꾀한 주정부와 연방정부의 정책을 중단 또는 보류시킬 수 있다.
 
넬슨은 "이것은 매우 기초적인 결함(basic flaw)이다. 이러한 종류의 공격을 막을 수 있는 어떤 완화책이 있을 것이라고 생각했는데 없었다"고 실망감을 나타냈다.
 
백신 접종 증명서는 정부 앱을 통해 10분이면 위조가 가능했다. 보안 전문가들은 이 결함을 앱에 대한 기본적인 보안 검사를 하면 쉽게 발견할 수 있는 종류의 취약점이라고 지적했다.
넬슨은 "유효한 증명서가 없는 사람들이 꽤 쉽게 하나를 제시할 수 있다"며 백신 접종 거부자들이 이 결함을 악용할 수 있다고 우려했다.
 
스튜어트 로버트 연방 고용장관은 "정부는 백신 접종 증명서에 대한 증거(proof)를 계속 갱신하고 보안 조치를 강화할 것"이라고 ABC에 말했다.

이달 초 렉스 패트릭 상원의원(무소속)은 그래픽 프로그램과 PDF 프로그램을 사용하여 백신 접종 증명서를 PDF 문서로 위조할 수 있다고 지적했다.

하지만 넬슨이 발견한 이번 결함은 PDF가 아니라 앱 자체에서 가능하다는 점에서 더 위험하다. 이 가짜 디지털 증명서에는 움직이는 체크 표시, 실시간 시계, 반짝이는 문장(coat of arms) 등 위조 방지 기능이 포함돼 있다.  

넬슨은 이 결함은 보안 검사에서 무조건 문제제기가 됐었거나 아니면 보안 검사를 아예 하지 않았을 것이라고 주장했다.
 
앞서 스콧 모리슨 총리는 “백신접종 증명서는 주정부가 록다운 시행 중에 활용할만한 신뢰할 수 있고 효과적인 방법이다. 10월 중 전면적으로 개편될 것”이라고  말했다. 새 증명서가 해외 여행에서만 사용될지, 기존의 백신 증명서와 함께 국내에서도 사용될지는 불분명하다.

디지털 증명서의 저장을 위한 모바일 앱은 2021년 12월 이전에 출시할 예정이며 복수의 위조 및 사기 방지 장치가 특징이다.

이용규 기자  [email protected]

<저작권자 © 한호일보, 무단 전재 및 재배포 금지>