일정 비율의 COVID-19 예방접종률에 도달할 경우 보다 많은 제한을 완화하겠다는 계획에 따라 정부는 디지털 백신접종 증명서를 발급하고 있으나 온라인으로 제공되는 이 증명서가 정보기술자들 사이에서 널리 알려진 기술에 의해 어렵지 않게 위조될 수 있다는 지적이 제기됐다. 사진은 연방정부의 COVID-19 digital certificate. 사진 : Australian Digital Health Agency
 

소프트웨어-보안 전문가들 지적… 전 세계 '위조 증명서' 시장, 빠르게 확대
안전성 위해 EU의 백신여권이 채택한 디지털 서명 권장... WHO에서도 권고

 

COVID-19를 극복하고 이전의 생활로 돌아가기 위한 정부 전략의 핵심은 높은 백신접종률이다. 이 때문에 연방 및 각 주 정부는 백신접종을 완료한 이들에게 증명서를 제공해 여러 부문에서 제한을 완화하겠다는 방침으로, 현재 2회 접종을 받은 이들은 정부 관련 사이트에서 디지털 접종 증명서(COVID-19 vaccination certificate)를 다운받을 수 있다.
하지만 연방정부가 온라인으로 제공하는 이 증명서가 정보기술자들 사이에서 널리 알려진 기술에 의해 어렵지 않게 위조될 수 있다는 지적이 제기됐다.
최근 호주 공영 ABC 방송에 따르면, 멜번(Melbourne) 기반의 소프트웨어 개발자인 펜 베일리(Fenn Bailey)씨는 정부 사이트의 디지털 증명서에 대해 이미 공개된 취약점을 조사한 뒤 보안 결함이 있음을 확인했다.
베일리씨의 지적은, 승인되지 않은 이들이 디지털 백신접종 증명서 버전을 변경하거나 복사하는 것을 방지하기 위해 정부가 ‘high-school grade permissions password’에 의존하고 있다는 것이다.
“접종증명서의 이름이나 예방접종 상태를 변경할 수 있다”는 베일리씨는 “이는 ‘진짜 증명서’로서의 정의를 충족시키지 못한다는 것”이라고 말했다.
일반인들이 연방정부의 디지털 예방접종 증명서 버전의 위조 방법을 찾아낸 것은 이번이 처음은 아니다. 베일리씨는 그럼에도 이런 일이 쉽게 이루어질 수 있다는 것은, 정부가 위조를 방지하기 위해 기본적인 조치를 취하지 않았음을 보여주는 것”이라고 지적했다.

 

'델타' 변이 바이러스의 대규모 확산 속에서 '백신과 함께 살아가기'를 선택한 NSW 주 정부 또한 접종률을 높이기 위해 주력하고 있으며, 2회 접종을 완료한 이들에게 보다 많은 자유를 제공하겠다고 밝힌 상태이다. 사진은 NSW 주의 디지털 백신여권(vaccine passport)을 들어보이는 NSW 주 서비스부 빅터 도미넬로(Victor Dominello) 장관. 사진 : LinkedIn / Victor Dominello

방송은 “접종증명서 위조를 허용하는 취약점이 2주 전에 신고되었지만 수정되지 않은 상태”라며 “접종을 마친 이들에게 추가로 제한을 완화하고자 증명서를 활용할 때, 문제가 발생될 수 있다”고 덧붙였다.

 

NSW vaccine passport, 더 안전할까…

 

NSW 주 정부는 현재 제한 규정 완화 로드맵을 발표한 상황이다. 이에 따르면 백신접종을 완료한 이들이 당분간 폭넓은 ‘자유’를 만끽할 수 있다. 오는 12월 1일까지는 예방접종을 마친 이들에게만 다양한 시설 이용을 허용한다는 것이다.
하지만 디지털로 제공되는 백신접종 증명서 시스템의 보안 허점을 감안할 때, 당국이나 펍(pub), 레스토랑 직원이 고객의 위조된 증명서를 어떻게 확인할 수 있는가에 대해 강한 의문이 남는다.
해결 방안의 하나는 새롭고 안전한 ‘앱’(app)일 수 있다. 연방정부는 이달(10월)부터 해외여행에서 사용할 수 있는 COVID-19 예방접종 여권(vaccination passports)을 발급할 예정이다.
구체적인 사항은 아직 나오지 않았지만 백신접종 상태를 확인할 수 있도록 QR 코드가 있는 접종 증명서에 비해 보안 측면에서는 더 나을 것으로 보인다. 하지만 국내여행 용도 출시 계획은 없다.
연방정부의 이 같은 방침은, 각 주 정부가 자체적으로 백신여권 시스템을 개발하여 활용해야 한다는 의미이기도 하다. 
NSW 주 정부는 10월 초부터, 현재 QR코드를 이용해 특정 장소 출입을 기록하는 ‘Service NSW’의 앱 내에서 ‘백신여권 시스템’을 시험한다는 계획이다.
‘Service NSW’는 백신접종 증명서를 위해 호주 예방접종청(Australian Immunisation Register)에 직접 접속해야 하는지, 또는 연방정부가 발급하는 개인 백신접종 증명서에 의존할 것인지 등 앱 작동 방식에 대한 세부 정보를 공개하지 않은 상태이다. 

 

NSW 주의 디지털 백신여권(vaccine passport)이 어떻게 작동하는지를 보여주는 일련의 스크린샷. 사진 : Service NSW

이와 관련해 ‘Service NSW’ 대변인은 “Service NSW의 앱 내에서 COVID-19 예방접종 증명서를 표시하고 접종 상태를 ‘COVID-Safe’ 체크인과 연계할 수 있는 기능에 관해 연방정부와 긴밀히 협력하고 있다”고 밝혔다. 
하지만 대변인은 연방정부의 증명서가 Service NSW 앱과 함께 백신접종 증명서로 여전히 허용되는지 여부에 대해서는 언급하지 않았다.
만약 허용이 된다면, NSW 주의 이 앱이 안전한지 여부에 관계없이 ‘위조’ 문제가 제기될 수 있다. 반면 연방정부의 백신증명서를 수용하지 않는다면 광범위한 혼란이 올 수도 있다.
상원 추정치에 따르면 이달 둘째 주에만 약 350만 명의 호주인이 연방정부의 백신접종 증명서에 접속했다. 게다가 대부분의 기존 증명서(앱 내 디지털 증명서보다 더 쉽게 위조 가능한)를 사용하고자 한 것으로 보인다.
‘Services Australia’의 레베카 스키너(Rebecca Skinner) 최고 책임자(CEO)는 상원 추정치에 대해 디지털이 아닌 인쇄된 인증서까지 포함된 것이라고 말했다. “헬프 데스크 전화를 통해 인쇄한 접종 증명서를 보내달라고 요청하는 이들이 있으며, 우리는 인쇄된 증명서를 발송하고 있다”는 게 그녀의 설명이다.
상원 추정치는 또한 증명서에 접속한 350만 명의 호주인 중 약 3분의 1이 ‘Express Plus Medicare’ 앱에서 디지털 증명서를 설정하는 데 어려움을 겪었으며 나머지 200만 정도는 디지털 증명서를 사용할 의도가 있는 것으로 보인다고 덧붙였다.
이는 쉽게 위조된 증명서가 예방접종 상태를 ‘증명’하는 가장 일반적인 방법이 되는 향후 시나리오를 보여주는 것이기도 하다.
‘위조’ 위험에 대해 스키너 CEO는 “앱 내 디지털 증명서나 인쇄물로 제공하기 위한 PDF 버전 모두 신뢰할 수 있다”고 말했다.
하지만 호주 정보기술(IT) 업계에서는 모든 버전의 연방정부 백신접종 증명서가 위조될 수 있음을 보여주었다.

 

디지털 백신접종 증명서가 널리 활용될 것으로 보이는 가운데 위조된 증명서가 만들어지고 있으며, 호주의 증명서 또한 미화 200달러에 거래되고 있다. 사진은 사기 방지 기능을 갖추었다는 유투브(youtube.com) 동영상의 한 장면.

방송에 따르면 소프트웨어 엔지니어인 리차드 넬슨(Richard Nelson)씨는 어떤 종류의 백신이든(백신이 아닌 약물을 포함하여) ‘Express Plus Medicare’ 앱의 ‘사기방지’ 증명서에 추가할 수 있음을 증명했다.
넬슨씨는 이 증명서의 경우 EU의 백신여권에 사용되는 것처럼 디지털 서명을 포함하지 않는 증명서는 어렵지 않게 위조될 것이라고 말했다.

 

‘가짜’ 증명서 수요, 
빠르게 증가

 

한편 EU를 비롯해 전 세계 주요 국가에서 일종의 ‘백신여권’ 활용이 크게 확대되면서 ‘가짜 백신접종 증명서’ 수요도 크게 증가하고 있다.
멜번 소재 RMIT대학교(Royal Melbourne Institute of Technology)의 사이버 보안 연구소 ‘Cyber Security Research and Innovation’를 맡고 있는 매트 워렌(Matt Warren) 교수는 백신접종 증명서가 미국에서 영국으로 확산되고 있다며 호주의 증명서 시스템에 ‘진짜 증명서인지의 문제’가 있다고 지적했다.
워렌 교수는 “안전한 시스템을 만들기 위한 노력이 없었다”며 “분명 백신접종에 반대하는 ‘anti-vaxxer’들이 COVID-19 접종을 하지 않으면서 여행하기를 원하기에 ‘위조 증명서’ 시장이 될 것이라 본다”고 말했다.
암호화된 메시징 앱인 ‘Telegram’에서 한 익명의 판매자는 여러 국가의 가짜 백신접종 증명서(또는 백신여권)와 함께 호주의 위조 증명서도 제공하고 있다. 이곳에서 구매하는 위조 증명서 가격은 미화 200달러이다.
위조 증명서를 판매하는 이들은 “우리는 이 유독한 백신으로부터 세상을 구하고자 여기에 있다”는 COVID-19 예방접종 반대 문구를 내걸고 있다. 
방송에 따르면 미국에 거주한다는 한 판매자는 호주인들을 위한 ‘많은’ 증명서를 만들 수 있다고 주장했다. 다만 방송은 이를 확인할 수 없었다고 전했다.

 

호주의 디지털 백신접종 증명서의 위조 가능성이 충분한 가운데 RMIT 대학교 'Cyber Security Research and Innovation' 소장인 매트 워렌(Matt Warren. 사진) 교수는 디지털 서명이 들어 있는 EU의 백신여권 안전성을 언급하며 “EU의 시스템이 호주 디지털 증명서의 대안이 될 수 있다"고 말했다. 사진 : RMIT University

또 다른 IT 기업 ‘at Check Point Software Technologies’의 한 보안연구원은 “위조한 COVID-19 증명서를 제공하는 그룹 및 온라인 채널의 팔로워 수가 전 세계적으로 급격히 늘어나고 있다”고 우려했다.
넬슨씨는 호주 내에서 위조된 백신접종 증명서를 원하는 이들로부터 연락을 받기도 했다며 호주 국내에서도 수요가 있음을 확인했다고 말했다.

 

더 나은 보안 시스템은…

 

디지털 보안 전문가들은 한결같이 EU에서 사용하는 백신여권 시스템이 더 안전하다고 말한다.
EU의 백신여권에는 위조를 막기 위해 디지털 서명이 있는 QR 코드가 포함되어 있다. 가령, 누군가 EU 국가에 입국하면 국경수비대가 QR 코드를 스캔하고 그 안의 디지털 서명은 ‘EU Gateway’라는 서비스를 통해 확인된다.
‘Gateway’에서는 백신접종 데이터를 저장하지 않는다. 서명이 정확한지만 확인하는 것이다.
이 시스템의 장점은 개인정보 보호이다. 증명서를 발급한 국가 이외의 누구도 백신여권 소지자의 개인 데이터에 접속할 수 없다.
개인정보 전문가인 바네사 티그(Vanessa Teague)씨는 “EU의 시스템이 호주의 그것보다 더 안전한 대안이 될 수 있다”는 의견이다. “호주가 국경을 개방하여 유럽 여행자들을 받아들이게 되면 EU 백신여권을 검증할 수 있어야 하므로 동일한 검증을 요구하는 백신접종 증명서를 구축할 수도 있다”는 설명이다.

 

프랑스 정부가 발행하는 COVID-19 백신접종 증명서 일부. EU 전역에서 사용하는 백신여권과 호환되는 QR 코드가 있어 EU 내 어느 국가에서든 통용된다. 사진 : TousAntiCovid

워렌 교수도 “호주의 경우 EU와 같은 효과적인 시스템을 선택하는 것이 합리적일 것”이라고 말했다. 또 베일리씨 역시 “EU의 이 기술에 대해 “오픈 소스이고 동료들의 검증을 받았으며 유럽에서 지난 몇 달 동안 많이 사용되었다”고 전했다. 그만큼 무리 없이 진행됐다는 것이다. 
지난 3월, 세계보건기구(WHO)는 진위 여부를 확인하기 위해 디지털 서명 사용을 권장하는 백신접종 증명서 개발 중간 지침을 발표했다.
베일리씨는 “연방정부가 왜 이것을 무시하기로 결정했는지 당혹스럽다”면서 “호주가 이 방식을 채택했다면 글로벌 상호 운용성의 효과가 있었을 것”이라고 덧붙였다. 그러면서 그는 “다른 국가들에 비해 6개월에서 12개월 뒤처지는 또 하나의 사례처럼 느껴진다”고 말했다.

 

김지환 기자 herald@koreanherald.com.au