EU 연령 인증 앱 공개 직후 '2분 해킹' 논란… 보안 컨설턴트, PIN 저장 취약점 지적

유럽위원회(European Commission)가 소셜 네트워크와 성인 콘텐츠 사이트 방문자의 연령을 검증하기 위한 무료 오픈소스 앱을 이번 주 공개했다고 WIRED가 전했다. 그러나 앱이 출시되자마자 보안 전문가들로부터 심각한 결함이 드러났다는 지적이 잇따르면서 정책 효과가 시작 단계부터 흔들리고 있다.

공개 시점은 수요일 기자회견이었다. 우르줄라 폰 데어 라이엔(Ursula von der Leyen) 유럽위원회 위원장은 연령 확인에 실패한 플랫폼을 겨냥해 "이제 더 이상 변명은 없다"고 말했다. 플랫폼이 이용자 연령 검증 책임을 회피할 수 없도록 공식 기반을 제공한다는 취지였다.

하지만 보안 컨설턴트 폴 무어(Paul Moore)는 X(옛 트위터)에서 이 앱을 "2분도 안 되어 해킹했다"고 주장했다고 Politico가 보도했다. 무어는 공개 직후 일련의 보안 문제를 발견했다고 밝혔다.

핵심 결함으로 지목된 것은 사용자가 생성한 PIN의 저장 방식이다. 해당 방식이 공격자에게 이용자의 앱 프로필을 비교적 손쉽게 탈취할 수 있는 경로를 열어 준다는 것이 무어의 설명이다.

화이트햇 해커 밥티스트 로버(Baptiste Robert)도 Politico에 해당 취약점의 존재를 확인했다. 최초 제보자 외 제3자가 독립적으로 재현한 결과라는 점에서 단순한 개인 주장으로 선을 긋기 어려운 사안이 됐다.

무어는 폰 데어 라이엔 위원장을 태그한 X 게시글에서 "이 제품은 언젠가 거대한 유출 사고의 도화선이 될 것이다. 시간문제일 뿐"이라고 경고했다. 무료·오픈소스 배포 여부 이전에 기본 보안 설계 단계에서 문제가 있다는 취지의 지적이다.

이번 사안은 유럽이 소셜 네트워크와 성인 사이트 운영자에게 연령 확인을 강제하려는 정책 드라이브에 기술적 신뢰성 리스크를 안겼다. WIRED는 이를 이번 주 주요 보안·프라이버시 이슈 중 하나로 보도했다.