2월4일부터 시작되는 베이징 동계 올림픽에 참가자 전원이 의무적으로 설치해야 하는 ‘마이2022(My2022)’이라는 앱에서 심각한 보안 결함이 있다고 캐나다 토론토 대학의 사이버 보안 연구소 시티즌 랩이 경고하고 나섰다. 시티즌 랩은 지난해 말 전 세계를 흔들었던 스파이웨어 ‘페가수스’에 감염된 스마트폰 식별에 중요한 역할을 했던 저명한 사이버 보안 연구소다.

마이2022 앱은 올림픽 관련 뉴스, 날씨, 실시간 채팅 등 다양한 기능을 하는 다목적 앱이다. 그리고 코로나19 확산 방지를 위한 건강 데이터 추적 기능이 있다. 중국 정부는 선수, 감독, 의료진을 포함하는 선수단 전원과 기자, 관객까지 동계 올림픽에 참가하는 전원이 중국으로 출발하기 14일 전까지 앱을 설치하고 매일 건강 상태를 입력하도록 하고 있다. 여기에는 이름, 주소, 전화번호, 이메일, 여권 정보 등을 포함해 많은 정보를 입력하게 된다.

시티즌 랩은 마이2022 앱에 두 가지 취약점이 있다고 경고했다. 첫 번째는 앱과 서버 사이 통신을 가로채서 데이터를 탈취하거나 다른 내용을 앱에 표시할 수 있는 SSL 인증서 관련 취약점이 있다는 것이다. 두 번째는 기밀 데이터가 암호화되지 않은 평문으로 전송되고 있다는 점이다. 데이터만 탈취할 수 있다면 누구라도 내용을 알아볼 수 있다는 뜻이다. 이 취약점은 안드로이드, iOS 앱 모두에게 해당된다. 보안 취약점과는 상관없지만 중국 정부가 불편해하는 단어에 대한 필터링 기능도 내장되어 있다. 중국어, 위구르어, 중국어, 영어 등 2,442개 단어가 포함되어 있다. 대부분 중국 정부, 공산당, 시진핑, 위구르, 티베트, 천안문 등 정치적으로 민감한 단어들이다.

시티즌 랩은 지난해 12월3일 베이징 동계 올림픽 준비 위원회에 문제를 알렸지만 1월18일까지 아무런 답을 듣지 못했다. 17일 iOS 앱 버전 업데이트가 있었지만 보안 취약점은 해결되지 않은 것을 확인했고 결국 이 문제를 모두에게 공개하기로 결정했고 보고서를 발표했다.

국제올림픽위원회(IOC)는 이 문제가 공개되자 마이2022 앱을 의무적으로 설치해야 하는 것은 아니며 외부 기관에 평가를 의뢰한 결과 심각한 취약점은 발견하지 못했다는 성명을 발표했다. 베이징 올림픽 준비 위원회는 마이2022 앱은 올림픽 참가자의 건강을 모니터링하기 위한 것으로 데이터 보호를 위해 엄격한 기준을 적용하고 있다고 설명하면서도 모든 앱에서 보안 결함은 존재할 수 있고 문제 해결을 위해 지속적으로 업데이트하고 있다고 해명했다.

시티즌 랩 연구소는 마이2022 앱을 사용하려면 새로운 스마트폰을 구입하고 새 메일 계정을 만들고 올림픽이 끝난 후에는 앱을 설치했던 스마트폰을 사용하지 말라고 경고했다.

문제 없다는데 믿을 수가 없네...