베이징 동계올림픽 앱 까는 순간 중국 감시망에 포착?

베이징 동계올림픽 공식 앱 보안 문제
개인정보 유출, 도감청 우려… 정치적 민감 단어 검열 기능도

2월 4일, 개막을 앞둔 베이징 동계올림픽 스마트폰용 어플리케이션(앱)의 보안 문제가 도마에 올랐다. 앱의 사용자 데이터가 암호화되어 있지 않아 중국 정부나 제3자에게 민감한 개인정보가 누출될 가능성이 제기됐다. 정치적으로 민감한 단어 검열 기능도 내장된 것으로 알려졌다.

미국 AP는 1월 18일, 캐나다 토론토대 산하 연구소 시티즌랩(The Citizen Lab)의 보고서를 인용하여 “베이징 동계올림픽 참가 선수·임원·취재진이 의무적으로 사용해야 하는 앱 ‘마이 2022(MY2022)’가 사용자의 데이터를 암호화하지 못해 해킹 위험이 있다. 중국 통신사나 인터넷 서비스 제공사가 올림픽 경기장, 호텔, 공항 등에 설치된 와이파이를 통해 개인 데이터를 읽을 수 있다”고 보도했다.

지난해 6월 공식 출시된 ‘MY2022’는 베이징 올림픽에 참가하는 선수진과 취재진이 필수적으로 사용해야 하는 앱이다. 가장 중요한 기능은 코로나19 관련 정보 공유다. 참가단은 중국 도착 14일 전부터 앱을 통해 매일 체온 등 건강 관련 설문에 답해야 한다. 앱에는 의료 기록, 백신 접종 증명서, 여권 정보, 출입국 계획도 등록해야 한다. 채팅 기능, 파일 전송기능, GPS 내비게이션 등도 지원한다.

시티즌랩은 MY2022 앱이 사용자 동의가 없어도 개인정보를 공개하는 길을 일부 열어두고 있으며 개인정보를 공유할 수 있는 대상을 따로 지정하지 않았다는 지적도 덧붙였다. 즉 민감한 정보가 어디로 흘러가는지 알 수 없다는 것이다.

사용자의 실시간 채팅, 뉴스 검색도 검열이나 감시를 당할 가능성이 있는 것으로 나타났다. 시티즌랩의 보고서는 또, 앱에 ‘검열 키워드’와 ‘정치적으로 민감한’ 표현에 플래그를 다는 기능을 발견했다고 밝혔다. 해당 키워드에는 톈안먼(天安門), 티베트, 신장 위구르, 파룬궁(法輪功)을 비롯하여 시진핑, 리커창 등 중국 정치 지도자 이름 등 정치적으로 민감한 단어 2442개가 포함됐다. ‘금칙어’에는 중국어뿐만 아니라 티베트·위구르·영어 단어도 망라한다. 다만 시티즌랩은 “현재는 금칙어 검열 기능이 활성화되지 않은 상태이며, 특정 단어가 검열에 적용하도록 설계됐지만 지금은 해당 기능이 사용되지 않은 것으로 보인다”고 밝혔다. 다만, 잠재적으로 검열에 사용될 수 있다는 것을 의미한다는 것을 강조했다.

금칙어 검열 기능에 대하여 시티즌랩은 “중국에 존재하는 정교하고 폭넓은 감시 문화를 보여주고 있다”며 “중국의 데이터 보안법은 프라이버시와 자유라는 서구의 가치에 맞지 않아 서구와 같은 수준의 보안을 제공하지 않는다”고 지적했다.

시티즌랩은 또, 지난해 12월 베이징 동계올림픽 조직위원회에 보안 문제를 지적했지만 답변을 받지 못했다고 밝혔다.

시티즌랩은 선수를 포함한 베이징 동계올림픽 방문객들은 임시폰을 가져가거나 새로운 이메일 계정을 개설해 사용하고, 중국을 떠날 때는 사용했던 임시폰을 다시 쓰지 않을 것을 권고했다.

서방 국가들은 민감하게 반응하고 있다. 미국은 자국 선수단에 임시폰을 사용하고, 컴퓨터는 대여하거나 처분 가능한 것을 가져가라고 권고했다. 영국과 네덜란드는 참가자들에게 임시 휴대폰을 지급하기로 했다.

다만 한국 측은 미온적이다. 대한체육회는 한국선수단에게 임시 휴대폰·노트북 등을 제공할 계획이 없다고 밝혔다. 대한체육회 관계자는 “별도 예산이 책정되지 않아 임시 휴대폰과 노트북을 제공하지 않고 있다”며 “이미 개인 휴대폰으로 MY2022 앱에 건강 기록을 업로드하고 있기 때문에 지금에 와서 새로운 휴대폰으로 바꾸기도 쉽지 않을 것”이라고 말했다.

국제올림픽위원회(IOC)는 시티즌랩의 보고서 관련, “사용자들은 MY2022 앱 일부 기능에 대해 비활성화할 수 있으며 익명의 사이버 보안 단체 두 곳에서도 심각한 취약점이 없다는 답변을 받았다”고 해명했다. 또 “참가자들이 앱을 반드시 설치할 필요는 없다”고 부연했다.

이에 대하여 독일의소리(Deutsche Welle)는 “IT 전문가가 IOC를 대신해 앱을 확인했다면 왜 이런 보안 결함을 발견하지 못했는가?”라며 IOC가 중국과의 마찰을 피하기 위해 암묵적으로 방관했을 가능성이 존재한다고 보도했다.

해당 보고서를 작성한 제프리 노켈(Jeffrey Knockel) 시티즌랩 선임연구원은 “최악의 시나리오는 누군가가 모든 트래픽을 가로채 여권과 의료 정보를 유출하는 것”이라며 “중국은 검열과 감시를 위해 암호화 기술을 훼손한 전례가 있다. 따라서 검열이나 감시 목적으로 고의적으로 보안을 취약하게 만든 것인지 아니면 결함이 개발자의 실수인지 따져봐야 한다”고 밝혔다. 제프리 노켈은 “이 같은 앱의 결함은 구글과 애플 앱스토어의 지침을 위반할 뿐만 아니라 사생활 보호와 관련된 중국의 법 조항에도 위배된다”고 지적했다.

반면 중국 측은 올림픽 앱 사용으로 인한 도·감청, 개인정보 유출 가능성은 없다고 일축했다. 베이징 동계 올림픽조직위원회는 관련 우려에 대해 “조직위원회의 모든 행위는 중국의 개인정보 보호법을 비롯한 관련 법규를 준수하고 있다”고 강조했다. 자오리젠 중국 외교부 대변인도 ‘중국에서의 도청 가능성이나 임시 휴대전화 사용 권고 움직임’을 묻는 질문에 “있지도 않은 사실을 지어내고 있다”고 반박했다.