베이징동계올림픽 참가자 용 앱 'My 2022' 화면. [시티즌랩 웹사이트]

[헤럴드경제=한지숙 기자] 2022년 베이징동계올림픽에서 선수, 취재진 등 대회 참가자 모두가 의무적으로 써야하는 스마트폰 앱 ‘My 2022’에 대한 해킹과 검열 우려가 제기됐다.

캐나다 토론토대학의 사이버보안 감시기구인 '시티즌랩'은 18일(현지시간) ‘국가를 넘는 노출: My 2022’(冬奥通·동계통) 앱 분석’ 보고서를 공개하고, 이 앱이 음성 및 파일 전송 시 암호화에 결함이 있으며, 정치적으로 민감한 내용도 보고할 수 있도록 설계돼 있다고 의혹을 제기했다.

신종 코로나바이러스 감염증(코로나19) 대유행 속에서 치러지는 베이징올동계올림픽에선 2만명에 가까운 자원봉사자를 포함한 운영진, 각국 선수, 기자와 정부 관계자 등이 대회 기간 중 외부 사회에 차단된 ‘폐쇄루프’에 들어가 지내게 된다.

이 때 ‘My 2022’을 설치해야한다. 경기 일정, 관광지 정보, 새소식 등 대회와 관련한 다양한 정보를 안내하는 이 앱은 파일전송과 채팅 기능까지 갖췄다. 사용자는 여권번호와 항공편 등 여행이력은 물론 베이징 도착 14일전부터 발열, 피로, 두통 등 증상 유무 등 건강정보를 넣도록 돼 있다.

시티즌랩은 IT포렌식 전문가에 의뢰한 결과 이 앱 안에 일련의 금칙어 목록이 포함돼 있는 것을 발견했다. 이는 ‘일리걸워즈(illegalwords·불법적인 말).txt(텍스트 형식 파일)’ 문서 파일로서 중국어 뿐 아니라 위구르어, 티벳어, 영어로 된 2442개의 단어와 문장이 담겼다. 신장과 티벳 지역, 중국 정부 기관명, 달라이 라마와 파룬궁 등 정치적으로 민감한 단어들도 있었다. 단 현재 앱 버전 상 이런 금칙어 목록이 실제 검열에 사용된 흔적은 없으며, 왜 들어가있는 지 조차 분명치 않다고 시티즌랩은 설명했다. 이 단체의 제프리 녹켈 조사원은 “비록 현재 불법적인 말 파일이 사용되고 있지 않다고 해도, ‘My 2022’ 앱은 이미 이 파일을 읽을 수 있는 코드 기능이 삽입돼 있어, 검열을 활성화시키는 건 전혀 어렵지 않다”고 말했다.

파일명 'illegalwords.txt'에 담긴 중국어 단어(왼쪽)와 이를 영어로 번역한 말(오른쪽). [시티즌랩 웹사이트]

시티즌랩은 또한 이 앱이 SSL(Secure Sockets Layer) 인증서 방식을 활용해 음성 및 파일 전송 시 해킹될 우려가 있다고 지적했다. 의료정보 같은 민감한 개인정보가 악성코드에 의해 외부에 노출될 수 있으며, 일부 데이터 트래픽은 전혀 암호화되지 않았다는 것이다.

독일 공영 도이체벨레는 이번 분석 결과는 디지털 보안에 대한 국제적 관심을 부른다며, 이미 독일, 호주, 영국, 미국은 ‘디지털 스파이’를 우려해 참가 선수와 해당국 올림픽위원회에 개인 휴대전화와 노트북을 두고 갈 것을 촉구했다고 보도했다. 보도에 따르면 네덜란드 올림픽위원회는 출국 건 선수의 개인 휴대전화와 노트북 지참을 아예 금지시켰다.