[팩트요약] 

코로나19 델타 변이 바이러스에 이어 오미크론 변이까지 발생하면서 전 세계가 비상이다. 국내에서도 이미 오미크론 확진자가 전국적으로 나타나기 시작하고 일평균 확진자가 7000명을 오르내리면서 지난 11월1일부터 시작했던 ‘단계적 일상회복(위드코로나)’도 중단됐다. 2단계로의 진입은 무기한 미뤄졌다. 

이런 가운데 정부가 백신패스 등 다중이용시설 출입을 위해 도입한 QR인증 시스템에 허점이 드러났다. 본인의 백신 접종 여부와 횟수 등 방역을 위한 기본 정보가 저장된 QR인증서는 이를 승인받은 당사자만 사용해야 하지만 타인도 이를 도용 또는 로그인할 수 있다는 의혹이 제기됐다.

[검증내용] 

취재진은 서울 종로구 한 주점에서 이미 출입을 위해 QR인증서를 확인하고 입장했다. 이후 주점 측의 양해를 구한 뒤, 동행했던 A씨의 인증서로 한 스마트폰에서는 네이버 아이디로 로그인을 하고, 또 다른 스마트폰에서는 카카오 아이디로 로그인을 해 백신접종 여부가 포함된 QR 체크인을 실행했다. 

처음에는 카카오 QR체크인 실행 시, 전자예방접종증명서(COOV)가 실행되면 네이버에서는 동일인의 아이디로 인증서 불러오기가 불가할 수도 있겠다는 긍정적인 결과를 기대했다. 하지만 동시에 양쪽 앱에서 모두 COOV 인증서 불러오기가 실행되면서 다소 실망감을 안겨줬다. 

우선 해당 매장을 출입하기 위해 했던 방식과 동일하게, 출입구에 설치된 QR 스캐너 앞에서 A씨의 아이디로 로그인하고 A씨의 코로나19 백신 접종 정보가 든 카카오톡 애플리케이션(앱)을 실행하자 15초의 제한 시간이 있는 QR인증서가 떠올랐다. 

곧이어 또 다른 스마트폰으로 네이버 앱을 실행하고 A씨의 코로나19 백신 접종 인증서를 동일한 방법으로 실행했다. 약 5초 간격으로 QR 스캐너에 앱에 떠오른 QR코드를 갖다 댔다. QR 스캐너는 두 가지 앱 모두에서 “2차 접종 후 14일이 경과되었다”는 메시지와 함께 안전한 출입이 가능하다는 안내를 했다.

앞서 질병관리청을 비롯해 정부는 전바 예방접종 증명서(COOV)를 통해 코로나19 백신 접종 등의 정보까지 포함한 전자출입을 대신할 수 있는 시스템을 개발했다며, 국민들이 휴대하기 간편하면서 위·변조가 불가능한 정보통신기술(ICT)을 접목했다고 천명한 바 있다. 

특히 전 세계 최초로 블록체인 분산신원인증(DID) 기술을 모두 적용해 국내외의 관심을 받고 있다며, 다른 국가들에 비해 국민들의 스마트폰 보급률이 높고 정보통신기술의 인식 수준이 높다고 강조했다. 하지만 최근 백신 패스(PASS)로 사용하기 위해 정부가 사용을 권고한 COOV 앱은 오히려 다중이용시설 출입 시 오류를 일으키기도 하고, 서버가 등록된 KT가 사용 폭증을 감당하지 못해 서버가 다운되기도 하는 등 말도 많고 탈도 많았다. 

최근에는 식당 등 영업점들이 COOV 앱의 오류 관련 문의가 이어지자 보건복지부는 오히려 기존 SNS 앱을 사용하라고까지 권고했다. 이는 사실상 오류가 아닌 전자출입명부의 호환 문제로 COOV의 QR코드는 영업점이 사용하는 전자출입용 QR코드와 다르기 때문이다.

정부 추진하는 방역패스 무색하게 만드는 QR인증(출입인증) 허점 드러나
정부가 공언한 백신접종 인증 시스템 악용될 소지에 대한 가능성 점검

보건복지부 관계자는 “COOV 앱에서 제공하는 QR코드는 전자출입명부에서 사용하는 QR코드가 아니다”라며 “기존에 사용하던 QR코드 발급사(네이버, 카카오, PASS, Toss 등)를 이용하기 바란다. 불편을 드려 죄송하다”라고 말했다. 

이에 대해 질병청에 연락을 취했다. 어렵게 닿은 질병청에 “카카오톡 앱과 네이버 앱의 동시 접속으로 공공장소나 식당 등 다중이용시설을 출입하는 사람들이 지인 등의 아이디로 임의의 체크인을 하게 되면 동선 파악에도 문제가 발생할 수 있고 코로나19 확산 방지도 어려움을 겪을 수 있는 것 아닌가”라고 문의를 했다. 

질병청 측은 이에 대해 “현재로서는 타인의 아이디 도용 시, 또는 부정 목적으로 사용 시, 2년 이하의 징역이나 500만 원 이하의 벌금에 처해질 수 있다고 말씀드릴 수 있다”며 “형법에 따른 과태료 등이 부과될 수 있다”고 답했다. 

이어 “당장은 한 애플리케이션으로 로그인 시 인증이 다른 곳에서는 안 되도록 막거나 시스템상 차단할 수 있는 방안을 당장 도입하겠다고 확답을 할 수는 없다”며 다만 “개발 또는 관련 부서에 개선 사항으로 전달하도록 하겠다”고 덧붙였다. 

즉 지금 현재로는 한 명의 아이디로 여러 사람이 동시에 로그인해서 백신 접종 등의 정보를 악용하더라도 단속할 수 있는 방법은 없다는 의미다. 

문제는 또 있다. 한 제보자는 일요서울에 “70~80대 고령자들의 경우 코로나19 확산 등으로 집 밖으로의 외출을 자제하고 있기 때문에 잘 사용하지 않게 되는 이들의 명의로 QR체크인을 활용할 수 있다”고 전해왔다. 

QR체크인이 최초 전화번호 등 수기로 출입명부를 작성하던 것에 비해 상당히 편리하고 활용성이 좋은 것은 맞지만, 악용되면 당장 방역에 구멍이 날 수 있다는 점도 방역당국이 인지해야 한다는 지적이 이어졌다. 

또 다른 제보자는 “코로나19 백신의 안정성에 대해 의심을 품는 사람들이 여전히 많이 있는데 이들 가운데 지인의 아이디를 공유해서 쓰면 어떨까 하는 제안도 나오는 것을 들은 바 있다”면서 “QR인증이 아닌 본인 확인을 철저하게 할 수 있는 방안부터 마련하는 것이 시급해 보인다”고 조언했다. 

[검증방법]
 - 다중이용시설 QR 스캐너 
 - 네이버 앱 및 카카오톡 앱
 - 질병관리청 및 보건복지부

[검증결과]
기대치 않았지만 코로나19 백신 접종에 대한 정보를 토대로 방역 패스(PASS)를 도입한다던 정부의 계획과 그 과정의 허점이 이를 따르려던 국민들을 통해서 드러났다. 다중이용시설 출입을 위해 카카오톡과 네이버앱을 통한 백신접종 여부를 포함한 출입 체크인 QR코드는 타인이 도용할 수도 있다는 점도 확인했다. 

더욱이 이에 대해 질병청은 당장 시스템 개선이 어렵다고 입장을 밝혀, 확진자 추적 및 방역 시스템의 구멍에 대한 우려의 목소리가 끊이지 않을 전망이다. 당장은 백신 접종 여부의 확인보다 본인 인증의 필요성이 더욱 요구된다.