[디지털데일리 이종현기자] 국회 행정안전부 국정감사에서 공공기관의 웹사이트, 애플리케이션(앱)의 보안 취약점이 지적됐다. 면책특권이 있는 김영배 의원이 직접 해킹 장면을 시연했다. 비전문가도 손쉽게 웹사이트와 앱을 위변조할 수 있었다.

이는 기초적인 보안도 적용하지 않았기 때문에 생긴 일이다. 웹사이트는 HTTPS를, 앱은 난독화를 미적용했다.

하이퍼 텍스트 전송 프로토콜(HTTP)은 이용자가 웹브라우저에서 웹 서버에 접속할 수 있도록 하는 통신규약이다. 이용자가 HTTP를 통해 인터넷주소(URL)을 입력함으로써 웹브라우저와 서버가 정보를 주고받는 형태로 구동한다.

문제는 이 과정에서 오가는 정보가 암호화돼 있지 않다는 부분이다. 공격자가 해당 취약점을 노린다면 서비스 이용자가 행위나 입력하는 정보가 유출될 수 있다.

이에 전송보안계층(TLS)으로 보안을 강화한 HTTPS의 사용이 확산되고 있다. HTTP를 통해 전송되는 정보를 암호화함으로써 정보유출 및 중간자 공격을 예방한다. HTTPS가 지원되는 사이트를 HTTP로 접속 시 웹 브라우저 차원에서 HTTPS로 강제 전환하는 HSTS라는 기술이 등장하기도 했다.

김영배 의원(더불어민주당)이 행정안전부 공공기관 홈페이지 1280여개를 전수조사한 결과 폐쇄한 69개를 제외한 1211개 웹사이트 중 585곳이 HTTPS를 적용하지 않은 것으로 나타났다.

이같은 지적이 제기된 것은 처음이 아니다. 2018년 국정감사에서 박선숙 의원(당시 바른미래당)은 청와대, 기재부, 외교부, 법무부, 국방부 등 행정기관의 HTTPS 미적용을 꼬집었다.

당시에도 ‘아직도 적용하지 않았다’고 지적받았는데 2년이 지난 지금까지도 절반에 가까운 공공기관 웹사이트에 적용되지 않은 것은 보안에 대한 중요성을 인식하지 못했다는 것 외에는 납득하기 어렵다.

이런 허술함은 앱으로도 이어졌다. 김 의원은 누적 다운로드 횟수 8만 이상의 정부·지자체 앱 16개의 난독화 여부를 조사한 결과 절반은 난독화가 적용되지 않은 것으로 확인됐다.

난독화가 되지 않은 앱은 ▲보건복지부 ‘임신육아종합포털(아이사랑 모바일)’ ▲여성가족부 ‘성범죄자 알림e 모바일’ ▲서울특별시 ‘따릉이’ ▲인사혁신처 ‘공무원연금공단_모바일앱’ ▲국토교통부 ‘LH청약센터_모바일’ ▲산업통상자원부 ‘스마트한전’ ▲관세청 ‘모바일 관세청’ ▲행정안전부 ‘1365자원봉사알리미’ 등 8개다.

난독화 기술이 적용되지 않은 앱의 경우 소스를 들여다볼 수 있고, 또 이를 수정할 수도 있다. 김 의원은 해당 앱을 실행할 경우 별도의 안내 문구가 뜨도록 한 해킹 장면을 시연했다. 일반인도 구글 검색을 통해 구할 수 있는 프로그램으로, 15분 만에 공공기관 앱이 해킹된 것.

이를 악용할 경우 팝업창을 가장한 피싱 사이트 접속을 유도할 수 있다. 가짜뉴스 배포도 가능하다. 따릉이 앱을 켤 때마다 ‘따릉이 이용료를 시간당 1만원으로 인상합니다’ 따위도 가능하다는 뜻이다.

보안기업 스틸리언은 “앱에 대한 분석 기술이 발달함에 따라 앱 내부의 코드 분석이 용이해지고 있다. 특히 안드로이드 앱의 경우 디컴파일(Decompile)이 잘되는 편이라 거의 원본 소스코드 수준으로 확인 가능하다”며 “난독화는 공격자가 분석하기 어렵도록 해 어느 정도의 장벽을 두는 것”이라고 설명했다.

행정안전부는 김 의원의 지적에 오는 10월 말까지 모든 공공기관 홈페이지 3만여개를 전수조사해 HTTPS 도입을 골자로 하는 정부 발급 인증서 구축 계획(HTTPS-ONLY)을 발표했다.

한 보안 전문가는 “보안의 기본은 소 잃고 외양간 고치는 일”이라고 말한다. 취약점을 발견해 이를 공격하고, 다시 이를 보완하는 보안 특성상 어쩔 수 없는 일이라는 주장이다.

그는 “문제는 ‘소를 잃고도 외양간도 고치지 않는’ 행위”라며 “허술한 보안(HTTP, 난독화 미적용)으로 그동안 얼마큼의 소를 잃었는지 알 수 없는 상황. 하루빨리 튼튼한 외양간으로 고쳐야 한다”고 피력했다.

<이종현 기자>bell@ddaily.co.kr