직원용, 외부인용 버전에서 공격자가 권한 요청 없이 사용자 개인정보 추출 가능
국방부 “인터랩 제보 통해 해당 취약점 확인, 개발업체와 협조해 보완 조치중”
[보안뉴스 김영명 기자] 우리나라에서 국방의 의무를 지는 모든 군 복무자들에게 필수로 설치되고 있는 ‘국방모바일보안’ 앱에서의 정보 유출 가능성 등 보안 취약점이 <보안뉴스>에서 보도된 이후, 국방부에서 해당 앱의 문제점을 파악해 수정하고 있다고 밝혔다.
▲국방부에서 서비스하는 ‘국방모바일보안’ 앱(외부인용) 화면[자료=국방부]
현재 국방부는 군 내부 보안규정에 따라 부대 출입 시 국방모바일보안 앱을 사용하도록 조치하고 있다. 국방모바일보안 앱은 직원용, 병사용, 외부인용 등 총 3개 버전으로 서비스되고 있으며, 육군·해군·공군·해병대 등 전 군에서 복무하는 62만 5,000여명이 영내에서 생활할 때는 필수로 설치해야 한다.
국방모바일보안 앱의 기능은 ‘사진 촬영 차단’ 하나로 단순하다. 해당 앱을 설치해도 전화나 인터넷 기능이 차단되지는 않는다. 군은 앱 설치 이외에도 영내에 들어갈 때는 위병소에 휴대전화를 보관하거나 보안 스티커를 부착하는 등 다양한 방법을 통해 영내 보안을 강화하고 있다.
앞서 시민단체 인터랩은 분석 보고서를 통해 국방모바일보안 앱에서 사용자의 개인정보 및 군사정보 유출이 가능한 보안 취약점이 발견됐다고 밝힌 바 있다. 이와 관련 국방부 관계자는 “시민단체 인터랩 측에서 공개한 자료를 통해 해당 취약점을 인지하고 있다”며 “직원 및 외부인용 앱에서는 공격자가 아무런 권한 요청 없이 개인정보를 추출할 수 있는 2개의 취약점이 발견된 것도 확인했고, 해당 취약점에 대해서는 개발업체와 협조해 보완 조치중”이라고 설명했다. 또한, 군 내부 전문기관을 통해 또 다른 취약점이 있는지도 확인하고 있다고 덧붙였다.
구글 플레이 스토어에서 해당 앱을 검색할 때 나오는 소개 내용에는 ‘앱에서 사용자 데이터를 수집하지 않습니다’라고 설명하고 있다. 하지만 실제 인터랩 측의 분석에 따르면 국방모바일보안 앱 사용자의 위치정보와 시간정보가 함께 기록되고 있으며, 취약한 소스코드로 언제든지 해당 기록이 외부에 유출될 수 있다고 밝혔다. 이와 함께 위치정보인 GPS도 기록되고 있다는 게 인터랩의 설명이다.
이에 대해 국방부 관계자는 “국방모바일보안 앱은 사용자 데이터를 수집하지 않고 있으며, 사용자의 GPS 기록정보는 개인 휴대전화 내부에 로그로만 저장될 뿐 외부 유출 우려는 없다”고 말했다. 이어 “다만, 해당 문제 제기와 관련해서는 개발업체와 협조해 보안 앱 로그에 GPS 정보가 포함되지 않도록 기능을 보완할 예정”이라고 설명했다.
해당 앱을 활용해 역으로 우리나라 전 부대의 위치를 확인할 수 있다는 문제도 제기된 바 있다. 이러한 문제는 직원용, 병사용, 외부인용 등 모든 버전의 앱에 공통으로 적용되고 있다는 것이다.
그러나 국방부 관계자는 “GPS 정보는 부대 외부에서의 국방모바일보안 앱 해제를 위해 이용되고 있을 뿐, 부대 위치정보는 포함돼 있지 않다”며 “직원용 앱의 경우, 출퇴근 환경을 고려해 공공장소 외 영외 관사 등을 해제가능 구역으로 등록해 운영하고 있다”고 설명했다. 이어 “병사용 앱의 경우에는 철도역, 터미널, 시·군·구청 등 공공장소 중심으로 해제가능 구역이 설정돼 있고, 외부인용 앱의 경우, GPS 위치를 중심으로 공공장소 등 근방의 해제가능 구역 10개소가 설정돼 있다”고 밝혔다.
하지만 이는 앱 이용자가 해제가능 구역에서 보안 해제를 적용하지 않으면 영내가 아닌 다른 공간에서도 해당 앱으로 군사정보를 확인할 수 있다는 것으로 해석될 여지가 있다는 지적이다. 또한, 스마트폰의 화면보호기를 설정하지 않았을 경우 가족 등 타인이 국방모바일앱이 설치된 스마트폰을 통해 해당 정보를 확인할 수 있다는 우려도 여전히 남아 있다.
한편, 해당 앱을 사용하다가 최근 전역한 예비군들 사이에서는 ‘국방모바일보안 앱 삭제가 안 된다’는 불만의 목소리도 들리고 있다. 하지만 국방부 관계자는 “부대 외부에서 국방모바일보안 앱 해제 상태일 때는 ‘삭제’ 메뉴를 통해 앱을 완전히 삭제할 수 있다”며 “국방모바일보안 앱은 사용자 등록 및 로그인 기능이 없어 개인정보 보관 등의 우려도 없다”고 말했다.
[김영명 기자(boan@boannews.com)]
국방부 “인터랩 제보 통해 해당 취약점 확인, 개발업체와 협조해 보완 조치중”
[보안뉴스 김영명 기자] 우리나라에서 국방의 의무를 지는 모든 군 복무자들에게 필수로 설치되고 있는 ‘국방모바일보안’ 앱에서의 정보 유출 가능성 등 보안 취약점이 <보안뉴스>에서 보도된 이후, 국방부에서 해당 앱의 문제점을 파악해 수정하고 있다고 밝혔다.
▲국방부에서 서비스하는 ‘국방모바일보안’ 앱(외부인용) 화면[자료=국방부]
현재 국방부는 군 내부 보안규정에 따라 부대 출입 시 국방모바일보안 앱을 사용하도록 조치하고 있다. 국방모바일보안 앱은 직원용, 병사용, 외부인용 등 총 3개 버전으로 서비스되고 있으며, 육군·해군·공군·해병대 등 전 군에서 복무하는 62만 5,000여명이 영내에서 생활할 때는 필수로 설치해야 한다.
국방모바일보안 앱의 기능은 ‘사진 촬영 차단’ 하나로 단순하다. 해당 앱을 설치해도 전화나 인터넷 기능이 차단되지는 않는다. 군은 앱 설치 이외에도 영내에 들어갈 때는 위병소에 휴대전화를 보관하거나 보안 스티커를 부착하는 등 다양한 방법을 통해 영내 보안을 강화하고 있다.
앞서 시민단체 인터랩은 분석 보고서를 통해 국방모바일보안 앱에서 사용자의 개인정보 및 군사정보 유출이 가능한 보안 취약점이 발견됐다고 밝힌 바 있다. 이와 관련 국방부 관계자는 “시민단체 인터랩 측에서 공개한 자료를 통해 해당 취약점을 인지하고 있다”며 “직원 및 외부인용 앱에서는 공격자가 아무런 권한 요청 없이 개인정보를 추출할 수 있는 2개의 취약점이 발견된 것도 확인했고, 해당 취약점에 대해서는 개발업체와 협조해 보완 조치중”이라고 설명했다. 또한, 군 내부 전문기관을 통해 또 다른 취약점이 있는지도 확인하고 있다고 덧붙였다.
구글 플레이 스토어에서 해당 앱을 검색할 때 나오는 소개 내용에는 ‘앱에서 사용자 데이터를 수집하지 않습니다’라고 설명하고 있다. 하지만 실제 인터랩 측의 분석에 따르면 국방모바일보안 앱 사용자의 위치정보와 시간정보가 함께 기록되고 있으며, 취약한 소스코드로 언제든지 해당 기록이 외부에 유출될 수 있다고 밝혔다. 이와 함께 위치정보인 GPS도 기록되고 있다는 게 인터랩의 설명이다.
이에 대해 국방부 관계자는 “국방모바일보안 앱은 사용자 데이터를 수집하지 않고 있으며, 사용자의 GPS 기록정보는 개인 휴대전화 내부에 로그로만 저장될 뿐 외부 유출 우려는 없다”고 말했다. 이어 “다만, 해당 문제 제기와 관련해서는 개발업체와 협조해 보안 앱 로그에 GPS 정보가 포함되지 않도록 기능을 보완할 예정”이라고 설명했다.
해당 앱을 활용해 역으로 우리나라 전 부대의 위치를 확인할 수 있다는 문제도 제기된 바 있다. 이러한 문제는 직원용, 병사용, 외부인용 등 모든 버전의 앱에 공통으로 적용되고 있다는 것이다.
그러나 국방부 관계자는 “GPS 정보는 부대 외부에서의 국방모바일보안 앱 해제를 위해 이용되고 있을 뿐, 부대 위치정보는 포함돼 있지 않다”며 “직원용 앱의 경우, 출퇴근 환경을 고려해 공공장소 외 영외 관사 등을 해제가능 구역으로 등록해 운영하고 있다”고 설명했다. 이어 “병사용 앱의 경우에는 철도역, 터미널, 시·군·구청 등 공공장소 중심으로 해제가능 구역이 설정돼 있고, 외부인용 앱의 경우, GPS 위치를 중심으로 공공장소 등 근방의 해제가능 구역 10개소가 설정돼 있다”고 밝혔다.
하지만 이는 앱 이용자가 해제가능 구역에서 보안 해제를 적용하지 않으면 영내가 아닌 다른 공간에서도 해당 앱으로 군사정보를 확인할 수 있다는 것으로 해석될 여지가 있다는 지적이다. 또한, 스마트폰의 화면보호기를 설정하지 않았을 경우 가족 등 타인이 국방모바일앱이 설치된 스마트폰을 통해 해당 정보를 확인할 수 있다는 우려도 여전히 남아 있다.
한편, 해당 앱을 사용하다가 최근 전역한 예비군들 사이에서는 ‘국방모바일보안 앱 삭제가 안 된다’는 불만의 목소리도 들리고 있다. 하지만 국방부 관계자는 “부대 외부에서 국방모바일보안 앱 해제 상태일 때는 ‘삭제’ 메뉴를 통해 앱을 완전히 삭제할 수 있다”며 “국방모바일보안 앱은 사용자 등록 및 로그인 기능이 없어 개인정보 보관 등의 우려도 없다”고 말했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
