정부가 추진 중인 ‘백신여권(전자 예방접종증명서)’의 보안 문제가 제기된 가운데, 질병관리청과 애플리케이션 개발 업체가 보안 취약점이 없다는 답을 내놨다. 다만 백신 부작용이 발생하거나 효능이 다할 경우 앱에 실시간으로 업데이트가 가능할지는 미지수다.
13일 이투데이 취재 결과 백신여권 애플리케이션에는 QR코드와 DID(Decentralized Identifier, 탈중앙화 신원증명) 기술이 모두 적용됐다.
8일 진행된 ‘블록체인으로 혁신하는 디지털 경제’ 정책 콘퍼런스에서 해당 앱에 DID 기술이 적용되지 않아 보안 위협이 우려된다 지적한 내용과는 다르다.
지난 1일 정세균 국무총리가 코로나19 중앙재난안전대책본부회의 모두발언에서 “이달 중 스마트폰에서 손쉽게 백신 접종사실을 확인할 수 있는 애플리케이션 ‘그린패스’를 공식 개통한다”라고 말했다.
이에 해당 앱에 DID 기술이 적용되는지, 개인정보 유출 우려는 없는지 다양한 지적들이 제기됐다. DID는 블록체인을 활용해 위변조가 불가능한 디지털 신원을 증명하는 기술이다.
한국인터넷진흥원(KISA)와 과학기술정보통신부, 블록체인법학회, 한국정보보호학회에서 개최한 해당 콘퍼런스에서 박상환 KISA 블록체인진흥단장은 “질병청에 확인한 바로는 해당 앱에는 블록체인 기술이 적용됐지만, 아쉽게도 DID를 적용하지는 않았다”라며 “공식적으로 나와 있는 구현방식 자체가 없다”고 지적했다.
이어 진행된 발표에서 박근덕 서울외대 AI블록체인연구소장 또한 “디지털, 종이 등 QR코드를 발행하는 다양한 증명서 형태가 있는데, QR코드 방식에는 전자서명정보가 들어가지 않아 증명서를 발급받은 사람과 제출한 사람이 같은 사람인지를 확인할 방법이 없다”라며 “DID 기술을 활용해 기존 신원 관리시스템과 증명관리 시스템을 연계해야 한다”라고 설명한 바 있다.
이 같은 우려는 최근 해외에서 가짜 백신 접종 증명서가 다크웹에서 거래된다는 사실이 밝혀지고 본격 대두됐다.
QR코드나 종이를 통한 증명서 특성상 위변조가 쉽다는 것이다. 관련 보도에 따르면 가짜 백신 접종 증명서는 건당 110~250달러에 거래, 해외여행이나 취업에 악용되고 있다.
질병관리청과 백신여권 애플리케이션 개발 업체는 해당 우려가 잘못됐다는 입장이다.
QR코드는 데이터를 전송하는 방법 중 하나일 뿐이고, DID는 위변조를 확인하기 위한 기술 중 하나라는 것. 질병관리청과 업체의 설명에 따르면 백신여권 앱에는 QR코드 방식과 DID 기술이 모두 탑재됐다.
스마트폰에서 증명서를 QR코드형태로 띄우고, 다른 기기에서 해당 QR코드를 검증하는 형태로 앱 개발이 진행 중이다.
질병관리청 관계자는 “다크웹 사례의 경우 종이로 된 예방접종증명서에 한해 이뤄지는 것”이라며 “전자 예방접종증명서(백신여권)의 경우 DID 기술을 통해 발급 주체를 질병관리청으로만 한정, 제3자가 내용을 무단으로 수정하거나 새롭게 발급하는 행위들은 원천적으로 방지될 것으로 기대하고 있다”라고 설명했다.
다만 백신 부작용이 발생하거나 효능이 다할 경우 앱에 실시간으로 업데이트가 가능할지는 미지수다.
질병관리청 관계자는 “전자 예방접종증명서(백신여권)는 감염병법 제27조 제1항 및 제3항에 따라 코로나19 예방접종 사실만을 질병관리청이 공증하는 효력이 있는 전자 문서일 뿐, 개인별 백신 효능 등을 감안하여 자동으로 공증 문서의 효력을 연계하는 방식으로 설계하기에는 법령 및 제도상 곤란하다”라고 답했다.
업계 관계자는 “기술적으로 업데이트를 하는 게 어렵지는 않을 것”이라며 “추가적으로 관련 사항들을 업데이트 하는지는 정책적, 법적 해석에 따라 갈릴 것”이라고 설명했다.
백신여권 앱 출시 일정도 아직 정확히 밝혀지지 않았다.
질병관리청 관계자는 “관련 내용은 금주 보도자료 배포계획에 따라 안내할 예정”이라고 말을 아꼈다.