보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

62만 사용 ‘국방모바일보안’ 앱의 보안 취약점... 국방부 “문제 파악해 수정중”

입력 : 2023-06-06 23:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
직원용, 외부인용 버전에서 공격자가 권한 요청 없이 사용자 개인정보 추출 가능
국방부 “인터랩 제보 통해 해당 취약점 확인, 개발업체와 협조해 보완 조치중”


[보안뉴스 김영명 기자] 우리나라에서 국방의 의무를 지는 모든 군 복무자들에게 필수로 설치되고 있는 ‘국방모바일보안’ 앱에서의 정보 유출 가능성 등 보안 취약점이 <보안뉴스>에서 보도된 이후, 국방부에서 해당 앱의 문제점을 파악해 수정하고 있다고 밝혔다.

▲국방부에서 서비스하는 ‘국방모바일보안’ 앱(외부인용) 화면[자료=국방부]


현재 국방부는 군 내부 보안규정에 따라 부대 출입 시 국방모바일보안 앱을 사용하도록 조치하고 있다. 국방모바일보안 앱은 직원용, 병사용, 외부인용 등 총 3개 버전으로 서비스되고 있으며, 육군·해군·공군·해병대 등 전 군에서 복무하는 62만 5,000여명이 영내에서 생활할 때는 필수로 설치해야 한다.

국방모바일보안 앱의 기능은 ‘사진 촬영 차단’ 하나로 단순하다. 해당 앱을 설치해도 전화나 인터넷 기능이 차단되지는 않는다. 군은 앱 설치 이외에도 영내에 들어갈 때는 위병소에 휴대전화를 보관하거나 보안 스티커를 부착하는 등 다양한 방법을 통해 영내 보안을 강화하고 있다.

앞서 시민단체 인터랩은 분석 보고서를 통해 국방모바일보안 앱에서 사용자의 개인정보 및 군사정보 유출이 가능한 보안 취약점이 발견됐다고 밝힌 바 있다. 이와 관련 국방부 관계자는 “시민단체 인터랩 측에서 공개한 자료를 통해 해당 취약점을 인지하고 있다”며 “직원 및 외부인용 앱에서는 공격자가 아무런 권한 요청 없이 개인정보를 추출할 수 있는 2개의 취약점이 발견된 것도 확인했고, 해당 취약점에 대해서는 개발업체와 협조해 보완 조치중”이라고 설명했다. 또한, 군 내부 전문기관을 통해 또 다른 취약점이 있는지도 확인하고 있다고 덧붙였다.

구글 플레이 스토어에서 해당 앱을 검색할 때 나오는 소개 내용에는 ‘앱에서 사용자 데이터를 수집하지 않습니다’라고 설명하고 있다. 하지만 실제 인터랩 측의 분석에 따르면 국방모바일보안 앱 사용자의 위치정보와 시간정보가 함께 기록되고 있으며, 취약한 소스코드로 언제든지 해당 기록이 외부에 유출될 수 있다고 밝혔다. 이와 함께 위치정보인 GPS도 기록되고 있다는 게 인터랩의 설명이다.

이에 대해 국방부 관계자는 “국방모바일보안 앱은 사용자 데이터를 수집하지 않고 있으며, 사용자의 GPS 기록정보는 개인 휴대전화 내부에 로그로만 저장될 뿐 외부 유출 우려는 없다”고 말했다. 이어 “다만, 해당 문제 제기와 관련해서는 개발업체와 협조해 보안 앱 로그에 GPS 정보가 포함되지 않도록 기능을 보완할 예정”이라고 설명했다.

해당 앱을 활용해 역으로 우리나라 전 부대의 위치를 확인할 수 있다는 문제도 제기된 바 있다. 이러한 문제는 직원용, 병사용, 외부인용 등 모든 버전의 앱에 공통으로 적용되고 있다는 것이다.

그러나 국방부 관계자는 “GPS 정보는 부대 외부에서의 국방모바일보안 앱 해제를 위해 이용되고 있을 뿐, 부대 위치정보는 포함돼 있지 않다”며 “직원용 앱의 경우, 출퇴근 환경을 고려해 공공장소 외 영외 관사 등을 해제가능 구역으로 등록해 운영하고 있다”고 설명했다. 이어 “병사용 앱의 경우에는 철도역, 터미널, 시·군·구청 등 공공장소 중심으로 해제가능 구역이 설정돼 있고, 외부인용 앱의 경우, GPS 위치를 중심으로 공공장소 등 근방의 해제가능 구역 10개소가 설정돼 있다”고 밝혔다.

하지만 이는 앱 이용자가 해제가능 구역에서 보안 해제를 적용하지 않으면 영내가 아닌 다른 공간에서도 해당 앱으로 군사정보를 확인할 수 있다는 것으로 해석될 여지가 있다는 지적이다. 또한, 스마트폰의 화면보호기를 설정하지 않았을 경우 가족 등 타인이 국방모바일앱이 설치된 스마트폰을 통해 해당 정보를 확인할 수 있다는 우려도 여전히 남아 있다.

한편, 해당 앱을 사용하다가 최근 전역한 예비군들 사이에서는 ‘국방모바일보안 앱 삭제가 안 된다’는 불만의 목소리도 들리고 있다. 하지만 국방부 관계자는 “부대 외부에서 국방모바일보안 앱 해제 상태일 때는 ‘삭제’ 메뉴를 통해 앱을 완전히 삭제할 수 있다”며 “국방모바일보안 앱은 사용자 등록 및 로그인 기능이 없어 개인정보 보관 등의 우려도 없다”고 말했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)