UPDATED. 2024-03-28 16:55 (목)
공공앱 사이버보안 취약점 '무더기' 확인
공공앱 사이버보안 취약점 '무더기' 확인
  • 박광하 기자
  • 승인 2022.09.12 17:43
  • 댓글 0
이 기사를 공유합니다

■감사원, 공공앱 구축·운영실태 감사보고서 공개

36개 주요 공공앱 보안실태 점검 결과
30개 개발단계·16개 운영단계 문제 발견
감사원 전경. [사진=감사원]
감사원 전경. [사진=감사원]

[정보통신신문=박광하기자]

정부, 지자체, 공공기관 등이 개발해 배포하는 공공앱에서 보안 취약점이 무더기로 발견됐다. 감사원이 36개 주요 공공앱의 보안실태를 점검한 결과, 30개 앱에서 소프트웨어(SW) 결함 등 개발 단계의 보안약점이 검출됐고, 16개 앱에서는 시스템상 허점 등 운영 단계의 보안취약점이 확인됐다. 일부 앱에선 800명이 넘는 개인정보가 유출되는 사고까지 일어난 것으로 드러났다.

감사원은 최근 이 같은 내용의 '공공앱 구축·운영실태' 감사보고서를 공개했다.

우리나라 스마트폰 보급률이 1인당 0.94대(2021년)에 달하고, 전체 스마트폰 가입회선 수가 약 5400만개(2022년 3월)에 이르고 있어 대국민 서비스에서도 스마트폰을 활용한 공공앱의 비중은 커지고 있다.

향후에도 인공지능(AI, Artificial Intelligence), 클라우드(Cloud) 등 정보통신기술(ICT) 진보와 코로나19 이후 비대면 민원서비스의 활성화로 공공앱의 활용도는 계속 높아질 전망이다.

그러나 국회, 언론 등은 일부 공공앱의 민간서비스 침해와 해킹에 따른 개인정보 유출 위험, 이용자의 실제 앱 이용상의 편의성 부족, 이용이 미미한 공공앱의 개발·운영에 따른 예산낭비 등과 관련한 문제를 제기하고 있다.

이에 감사원은 공공앱의 민간영역 침해 실태, 해킹위험 등 보안상 취약점, 교통·관광 등 생활밀착형 앱의 이용자 편의성, 공공앱의 성과측정 시 효율성 평가의 적정성을 점검하고 사항별 문제 발생원인을 분석해 그에 따른 개선대안을 모색하는 내용으로 이번 감사를 실시하게 됐다고 감사배경 및 목적을 설명했다.

감사에서는 정부에서 추진 중인 전자정부 사업 중 공공앱 사업의 개선방안 모색을 지원하기 위해 사전계획, 개발 및 운영, 사후관리 단계 등 공공앱 구축·운영 단계별로 공공성, 보안성, 편의성, 효율성 관련 쟁점들을 감사중점으로 설정해 사업추진 현황과 성과를 분석했다.

감사 결과, 공공앱 다수에서 보안약점 및 보안취약점 문제가 발견됐다.

'보안약점'은 개발 및 유지관리 단계에서 SW 결함, 오류 등으로 해킹 등 사이버 공격을 유발할 가능성이 있는 소스코드의 잠재적인 보안문제점을 의미하며, '보안취약점'은 유지관리 단계에서 실제로 해킹 구현이 가능한 SW 오류로 앱 실행파일의 기능 취약점을 의미한다.

감사원이 2021년 8월 말 기준 누적 다운로드 건수가 100만건 이상이고 개인정보 등 중요정보를 취급하는 36개 공공앱의 보안실태를 점검한 결과, 30개(83.3%) 앱은 개발 단계에서 보안약점 진단·제거를 제대로 하지 않아 앱별로 최소 1건에서 최대 3192건의 보안약점이 검출됐다.

16개(44.4%) 앱은 앱 운영 단계에서 기능 보안취약점 점검을 제대로 하지 않았거나 검출된 보안취약점에 대한 조치를 하지 않아 앱별로 최소 1건에서 최대 19건의 보안취약점이 발견됐다. 이 가운데, 앱의 기능별로는 총 80건의 보안취약점이 발견됐다. '루팅 및 탈옥 기기에서의 정상 동작'은 7개의 앱에서 11건, '중요정보의 평문 저장 및 전송'은 6개의 앱에서 16건 순으로 많이 나타났다.

이와 관련해 일부 공공앱은 과거에 보안취약점 때문에 보안사고까지 발생했다.

한 앱의 경우 지난 1월 서비스의 시스템 오류로 821명의 개인정보가 유출되는 사고가 발생한 이후에도 앱(iOS)의 소스코드 보안약점 진단을 하지 않아 이번 감사에서 24건의 보안약점이 존재하는 것으로 확인됐으며, 보안사고가 발생한 후에도 보안약점 진단·제거 등의 재발 방지 조치가 미흡해 사고가 반복적으로 발생할 위험이 있는 것으로 나타났다.

이와 같이 공공앱의 보안약점 및 보안취약점에 대한 조치가 이뤄지지 않으면 해킹 등으로 개인정보 유출 등의 피해가 발생할 위험이 있다는 게 감사원의 설명이다.

감사원은 이들 앱의 보안약점·보안취약점을 제거하고 주기적인 실태점검 등 관리방안을 마련하도록 통보했다.

코레일톡·SRT앱의 경우, 코레일 열차와 SRT 간의 환승 시 각각의 앱에서 예약·결제를 해야 하고, 지연열차는 현장예매만 가능하게 돼 있는 등 공공앱 이용에 불편함이 확인됐다. 지연열차의 경우 코레일 열차의 경우 20분 미만 지연열차, SRT는 모든 지연열차를 현장예매로만 살 수 있었다. 이에 감사원은 개별 앱 한곳에서 환승 통합발매가 가능하고 지연열차도 앱을 통해 예매할 수 있는 방안을 마련하도록 통보했다.

'성범죄자알림e' 앱은 공개대상 성범죄자의 실거주지나 사진 등 정보가 적절하게 반영되지 않은 사례가 확인돼, 성범죄자 신상정보 관리방안을 마련하도록 통보했다.

'숲나들e' 앱은 휴양림 예약담당자가 지인 등 특정인의 부탁을 받고 관리자계정 등을 이용해 대리 예약한 사례와 빈 객실을 대체객실 등으로 활용하고도 이를 확인할 수 있는 시스템이 미비한 점이 확인돼, 관리자계정에 대한 내부통제 방안을 마련하고 빈 객실 등에 대한 사용 내역 관리시스템을 도입하도록 통보했다.

공공앱이 민간서비스를 침해하고 있음도 확인됐다.

행안부와 행정기관 등 간 사전협의 과정에서 민간과 중복·유사해 민간서비스를 침해하는 공공앱의 개발이 통제되지 않고 있고, 행안부 등이 민간서비스 침해 공공앱의 정비를 일부 누락하거나 민간서비스 침해 공공앱에 대해 행정기관 등에 폐지를 권고해도 권고를 받은 일부 기관들은 이를 정비하지 않고 있었다.

이에 감사원은 행안부에 사전협의가 제대로 검토·반영되도록 관리하고 사후정비 대상이 누락되지 않도록 하며, 정비 과정에서 지적 선례를 참고하도록 통보했다.

공공배달앱의 경우에도 소상공인의 수수료 절감 등을 이유로 최근 대다수의 지자체가 이 앱을 도입하고 있으나, 행안부가 민간서비스와 중복·유사한 공공배달앱을 정비하지 않고 있어, 행안부에 지속적인 실태조사를 통해 행정기관 등이 개발·제공하는 공공배달앱을 정비하도록 통보했다.

공공배달앱은 지자체가 직접 개발·제공하거나 민관협력 등을 통해 지원하는 형태로 구분할 수 있는데, 지자체가 앱을 직접 개발·제공하는 경우(전북 군산시의 배달의명수 등)에는 정비대상인 민간서비스 침해 공공앱에 해당된다는 게 감사원의 설명이다.

이 밖에도, 공공앱의 누적 다운로드 수 등 성과측정값이 부정확하고 일부 성과측정 대상 앱이 누락돼 평가되지 않은 등의 사례가 확인됐다.

감사원은 평가자료를 재검증하고 성과측정 대상이 누락되지 않게 관련 업무를 철저히 하도록 주의 요구하고 평가기준을 명확히 하라고 통보했다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 함정기
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2024-03-28
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2024 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
한국인터넷신문협회 인터넷신문위원회 abc협회 인증 ND소프트