카타르 월드컵 개막일이 다가오는 가운데, 사이버 보안 전문가가 카타르 입국자의 데이터 보안과 프라이버시를 경고했다.

해외 IT 매체 더레지스터는 카타르 입국자가 의무적으로 설치해야 하는 앱인 코로나19 추적 앱 ‘에테라즈(Ehteraz)’와 월드컵 경기 티켓 구매자의 경기장 및 무료 대중교통 접근 서비스 앱 ‘하야(Hayya)’가 데이터 보안과 프라이버시 문제를 일으킬 수 있다고 보도했다.

우선, 에테라즈는 사용자의 사진과 영상에 원격 접근이 가능하고, 사용자가 실행하지 않은 상태에서도 전화를 걸 수 있는 것으로 밝혀졌다. 이 때문에 월드컵 전, 앱을 설치한 이가 카타르에 입국하지 않아도 감시할 수 있다. 또, 에테라즈는 백그라운드 위치 서비스를 항상 활성화하고, 파일 시스템 읽기와 작성 능력을 제공하기도 한다.

앱 보안 기업 프로몬(Promon)의 공동 창립자이자 최고 기술 관리자인 톰 리스모스 한센(Tom Lysemose Hansen)은 “에테라즈는 고유 아이디와 QR 코드, 코로나19 감염 상태, 구성 변수, 기타 에테라즈를 설치한 기기의 근접 데이터를 보유한다고 주장하는 암호화 파일을 설치할 수 있다. 기본적으로 에테라즈가 데이터 수집 동의 버튼을 누르도록 유도하면서 설명하는 부분 이상으로 사용자 데이터를 수집한다는 점이 분명하다”라고 설명했다.

한센은 에테라즈와 하야 모두 카타르 입국자 모두 반드시 설치해야 한다는 점에서 사용자가 민감한 IP 정보 관리 권한을 승인할 수밖에 없도록 한다는 문제점을 강조했다. 이어, 그는 “에테라즈와 하야의 정보 접근 권한 승인 후 앱 관리자는 사용자 기기 통제권을 완벽하게 갖게 된다. 앱 관리자는 사용자 연락처 정보와 SMS 확인, SMS, GPS를 이용한 위치 추적 모두 가능하다. 심지어 원격으로 사용자 기기 잠금을 해제할 수도 있다”라고 전했다.

한센은 에테라즈와 하야의 데이터 프라이버시 문제에 대응할 방법으로 카타르 입국 시 SIM 카드를 교체하더라도 어떠한 설정 조건이나 연락처를 내보내지 않는 방법을 언급했다. 또, SNS 계정 접속도 금지라고 덧붙였다.

카타르 입국자 필수 앱의 데이터 보안 및 프라이버시 문제가 알려지자 일부 국가의 데이터 보호 당국이 대응에 나서기 시작했다.

프랑스 데이터 보호 기관인 CNIL은 앱의 감시 행위로부터 개인 데이터를 보호하기 위해 카타르 입국 시 대포폰을 사용할 것을 권고했다. 노르웨이 보안 당국 수장은 현지 방송에서 “개인적으로 카타르에 방문해야 한다면, 개인적으로 소유한 기기는 절대 챙기지 않을 것이다”라는 말을 했다.

독일 데이터 보호 기관 BfDI는 독일 연방 정보보안국, 독일 외교부와 함께 에테라즈와 하야의 보안 수준을 철저히 조사한다고 밝혔다.

또, 영국 정보위원회는 “다수 언론이 카타르 입국자 앱의 데이터 보안과 프라이버시 문제를 보도한 사실을 인지하고 있으며, 영국 시민의 프라이버시 권리에 미칠 수 있는 영향을 고려할 것이다”라는 공식 성명을 발표했다. 다만, 프랑스 당국과 달리 대포폰 사용 권장 여부는 언급하지 않았다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]