![[취재파일] "이게 된다고?"…대학생에게 뚫린 'K-백신 앱' ①](http://img.sbs.co.kr/newimg/news/20210504/201547441_1280.jpg)
"서울대학교 문서위조학과 이런 건 없나? 얘 수석 입학하겠다."
봉준호 감독의 영화 기생충 초반부에 나오는 이 장면 기억하시나요?
부잣집 과외 자리를 얻기 위해서 '가짜 증명서'가 필요했던 기우. 기정은 소위 '포샵질'로 순식간에 기우를 명문대 재학생으로 만들어줍니다. '허접한' 조작, 그리고 이 '허접한' 가짜에도 쉽게 속아 넘어가는 부잣집에 실소가 나오죠.
그런데, 과연 우리 정부는 어떨까요? 정부 도장이 찍힌 증명서는 특히나 더 완벽한 보안과 철저한 검증이 이뤄져야겠죠. 하지만 안타깝게도 얼마 전까지 우리 정부는 영화 속 부잣집과 다를 바 없었습니다.
정부가 만든 애플리케이션에 보안 취약점이 있다는 제보가 들어온 건 지난 일요일 오전이었습니다. 지난달 15일 질병관리청이 공개했던 전자백신접종증명서, 'COOV'라는 이름의 이 앱에서 백신을 맞지 않고도 마치 맞은 것처럼 가짜 사실을 조작할 수 있다는 것입니다.
![[취재파일] '이게 된다고?](http://img.sbs.co.kr/newimg/news/20210506/201548122_1280.jpg)
질병청은 당시 보도자료를 배포하면서 이 앱을 개시한다고 대대적으로 홍보했습니다. '증명서 위변조를 원천적으로 방지한다'라고 단호하게 설명했습니다. 요즘 잘 나가는 '블록체인'과 이름도 어려운 '분산 신원인증(DID)' 기술을 적용했다면서 말이죠.
▶ 질병관리청 보도자료 바로가기
앱이 어떻게 기능하는지 써놓은 기술적인 내용을 읽으면서 '일 좀 했구나', 당시 그렇게 생각했습니다. 이를 기억하고 있던 만큼 '에이 설마…' 하는 생각이 당연히 먼저 들 수밖에 없었습니다.
그래도 혹시나 하는 마음에 백신을 맞았다는 사실을 증명해줄 가짜 QR코드를 즉석에서 몇 개 만들어 보내달라고 요청했습니다. 화장실을 잠깐 갔다 오려 일어나려던 찰나에 금세 메신저 창이 울렸습니다.
![[취재파일] '이게 된다고?](http://img.sbs.co.kr/newimg/news/20210506/201548126_1280.jpg)
방금 도착한 따끈따끈한 가짜 QR코드에 앱에 있는 인식 카메라를 갖다 댔습니다. 정부 앱이 쉽게 뚫려버린다는 걸 두 눈으로 직접 확인한 첫 순간이었습니다. 정신이 번쩍 들더군요. '이게 이렇게까지 허술할 수 있나?' 하는 허탈함에 식은땀까지 흘렀습니다.
관련 분야를 연구하는 교수, 블록체인 보안 기술을 서비스하는 전문업체에도 교차 검증을 요청했습니다. 결과는 마찬가지였습니다. "그럴 리 없다고 생각해서 눈여겨보지 않았던 부분이에요. 알려주셔서 고맙습니다"라는 때 아닌 감사 인사와 함께 말입니다.
"솔직히 많이 실망했어요. 그래도 정부에서 만든 건데…"
직접 만나 가짜 증명서를 조작하는 시연을 마치고서 제보자가 제게 털어놨던 말입니다. 말 그대로 '이 정도'일 줄은 몰랐다는 겁니다.
![[취재파일] '이게 된다고?](http://img.sbs.co.kr/newimg/news/20210506/201548124_1280.jpg)
정부 앱으로 백신 접종 사실을 증명하는 절차는 아래 4단계 정도로 정리할 수 있습니다.
1) 'COOV' 앱을 내려받는다.
2) 앱을 켜서 본인 인증을 한다.
3) 발급 버튼을 눌러 백신접종증명서를 내려받는다. (접종받은 사실이 없는 사람은 '발급 가능한 증명서가 없습니다'라고 나옴)
4) 증명서 QR코드를 열어 다른 사람 휴대폰 카메라로 인증한다. (식당에 들어갈 때 출입 등록을 위해 QR코드를 읽는 방식과 동일)
이 글을 쓰고 있는 저는 아직 백신을 맞지 않았고, 정식 절차대로면 3단계에서 더 이상 진행할 수 없어야 합니다. 하지만 쉽게 가짜 증명서를 만들 수 있고, 또 이걸 앱이 정식 증명서와 똑같이 인식해버리는 겁니다. 정부, 그리고 정부와 협력 관계인 민간 업체에서 공개한 '소스 코드'를 쓰면 가짜 증명서는 간단하게 생성됐습니다. 증명서를 누가 발급했는지, '발급 주체'를 확인하지 않아서 아무나 발급한 가짜 증명서도 검증 과정을 통과할 수 있었습니다.
느닷없지만, 저는 카레를 좋아합니다. 처음부터 조리해서 만들어 먹긴 어려우니 인스턴트 카레를 즐기는 편인데요. 내 맘대로 정부 도장을 찍은 '가짜 증명서'를 만드는 건 3분 카레를 만드는 것보다 빠르게 가능했습니다.
![[취재파일] '이게 된다고?](http://img.sbs.co.kr/newimg/news/20210506/201548118_1280.jpg)
5월 2일 당일에 SBS에서 아스트라제네카 백신을 맞은 '가짜 김덕현'을 순식간에 만들어낸 것입니다. 무엇이 잘못된 건지 알아가면서, 그리고 그걸 좀 더 쉬운 용어로 풀어서 정리하면서 허탈함은 더욱 커졌습니다. 당연히 있어야 할, 지극히 상식적인 과정이 없었기 때문입니다.
그날 8뉴스에 출연해서도 이야기했지만, 이 모든 일은 컴퓨터 분야 전공자인 대학교 학부생 정도면 충분히 가능했습니다.
▶ [단독] 위·변조 불가라더니…쉽게 가능하고 못 걸러내
이 놀라운 사실을 알아낸 제보자의 특출함과 장래성을 칭찬해야 할지, 정부가 딱할 정도의 보안 수준을 가졌다는 걸 비판해야 할지 갈수록 마음이 무거워지는 건 왜일까요?
** 이어지는 두 번째 취재파일에서는 SBS 보도 이후 앱 업데이트를 했는데도 여전히 남은 허점을 확인하지 못한 정부, 이런 사실을 알렸을 때 그들이 보여줬던 반응, 앞으로 개선 방향에 대해 중점적으로 풀어보겠습니다.
