‘2022 베이징 동계 올림픽’ 개막이 16일 앞으로 다가온 가운데 올림픽 공식 앱(App)에 보안 취약점이 존재한다는 주장에 제기됐다.

19일 로이터 통신에 따르면 18일 캐나다 토론토대학 산하 정보 통신, 인권 등을 연구하는 시티즌 랩(Citizen Lab)은 보고서를 통해 베이징 동계 올림픽 참가자들이 사용하는 모바일 앱 ‘My2022’에 보안 취약점이 있어 개인정보가 유출되고 해킹을 당할 수 있다고 밝혔다.

My2022 앱은 베이징 동계 올림픽 조직위원회가 올림픽 기간 참가 선수들의 코로나19 관련 의료 정보를 추적하고 공유하기 위해 구축했다.

시티즌 랩은 My2022 앱에 두 가지 보안 취약점이 있다고 지적했다. 첫째 개인정보 전송을 제대로 암호화하지 못해 해킹에 취약하다는 점이다. 둘째 My2022 앱의 개인정보 보호 정책이 사용자 정보를 공유할 기관을 지정하지 않았다는 사실을 발견했다는 것이다.

시티즌 랩은 “iOS 버전에서 My2022 앱 계정을 생성한 이후 이 같은 취약점을 발견했다”라며 “안드로이드 버전에서 해당 앱 계정을 만들 수는 없었지만, 해당 앱의 두 버전 모두 보안 취약점이 존재한다”라고 언급했다.

이어 “My2022 앱은 웹사이트 ID를 인증하고 암호화한 연결을 활성화하는 데 필요한 SSL 인증서 유효성을 검사하지 못했다”면서 “해커가 이런 취약점을 이용해 데이터를 악의적인 사이트로 전송할 수 있다”라고 표시했다.

또 “이런 데이터는 안전이 보장되지 않는 WiFi 액세스 포인트에 있는 사람, WiFi 핫스팟을 운영하는 사람이나 인터넷 서비스 제공업체 등이 판독할 수 있다”라고 표시했다.

시티즌 랩은 지난해 12월 초 베이징 동계 올림픽에 이 같은 보안 취약점을 통보했지만 아무런 응답을 받지 못했다고 밝혔다.

국제올림픽위원회(IOC)는 My2022 앱에 대해 독립적인 평가를 실시했지만 심각한 보안 취약점을 발견하지 못했다며 해당 앱을 의무적으로 설치할 필요는 없다고 전했다.

김성호 기자 kimsh@nvp.co.kr