감사원, ‘공공앱 구축·운영 실태’ 감사보고서 공개

국민 다수 사용 공공앱 36개 중 20개 앱에서 보안약점 1만1,895건 발견

행안부, 정부업무평가 항목에 소프트웨어 개발보안 적용 및 관리방안 마련 밝혀

[보안뉴스 김영명 기자] 정부와 공공기관이 국민 편의를 위해 대국민 서비스로 개발, 제공하는 공공 애플리케이션(이하 ‘공공앱’)에서 보안상 취약점이 많은 것으로 드러났다.

​​

▲감사원 로고[이미지=감사원]

감사원(원장 최재해)이 최근 ‘공공앱 구축·운영 실태’에 대한 감사보고서를 공개했다. 이번 감사보고서에는 인공지능(AI)과 클라우드 등 IT 기술이 진일보하고, 코로나19 팬데믹 이후 비대면 민원서비스도 꾸준히 증가함에 따라 스마트폰 공공앱의 활용도는 더욱 높아질 것으로 전망하는 내용이 담겼다.

감사원은 △공공앱의 민간영역 침해 실태 △해킹위험 등 보안상 취약점과 함께 △교통 및 관광 등 생활밀착형 앱의 이용자 편의성 △공공앱의 성과측정 시 효율성 평가의 적정성 등을 점검하고 사항별 문제 발생 원인과 개선 대안을 제시했다.

지난해 말까지 행정안전부(이하 행안부)가 기관별로 2021년 공공데이터 시행계획, 모바일 앱마켓(구글 플레이, 앱스토어 등), 정부 사이트 등록 내역 등을 확인해 행정기관 등의 공공앱 운영실태를 분석한 결과 총 992개의 공공앱이 운영 중인 것으로 확인됐으며, 이는 2020년 대비 138개가 감소한 숫자다.

감사원이 이번 감사에서 실시한 ‘공공앱 민간유사 실태연구’에 따르면, 공공앱은 총 1,017개로 분야별로는 △공공행정 273개(26.8%) △교육 236개(23.2%) △문화관광 104개(10.2%) △교통물류 78개(7.7%) △재난안전 71개(7%) △재정금융 54개(5.3%) △기타 201개(19.8%)로 분석됐다.

감사원이 진행한 이번 공공앱 감사에서는 사전계획 단계, 개발 및 운영 단계, 사후관리 단계 등 총 3단계로 세분해 진행됐으며, 개발 및 운영 단계에서 보안성을 집중 점검했다.

감사원은 많은 국민이 주로 사용하는 36개 주요 공공앱의 보안실태를 점검한 결과, A 등 30개 앱에서 소프트웨어 결함 등 개발 단계에서의 보안 취약점이 확인됐으며, B 등 16개 앱에서 시스템상 허점 등 운영 단계의 보안 취약점이 발견됐다. 감사원은 해당 앱의 관리기관에 앱을 제거하고 주기적인 실태점검 등 관리 방안을 마련하도록 통보했다.

​

▲감사원이 공개한 ‘공공앱 구축·운영 실태’ 감사보고서 일부[자료=감사원]

공공앱 보안약점 및 취약점 점검 미약, 보안약점 다수 노출

행안부는 2014년 9월 ‘모바일 서비스 지침’을 개정해 행정기관이 운영하는 공공앱이 해킹 등 보안위협으로부터 안전하게 관리되도록 공공앱 개발 및 유지관리 시 보안 약점을 진단해 제거하고, 정기적으로 보안 취약점을 점검하도록 하고 있다.

올해 1월 중순부터 3월 초까지 진행된 감사원 감사기간 중 지난해 8월 말 기준 누적 다운로드 건수가 100만건 이상이 개인정보 등 중요정보를 취급하는 공공앱 36개를 선별해 보안실태를 점검했다.

그 결과 36개 앱 중 30개 앱(83.3%)은 보안약점 진단 및 제거를 제대로 하지 않아 앱별로 최소 1건에서 최대 3,192건의 보안 약점이 검출됐다. 또한, 16개 앱(44.4%)에서는 앱 기능 보안 취약점 점검을 제대로 하지 않았거나 검출된 보안 취약점에 대한 조치를 별도로 하지 않아 앱별로 최소 1건에서 최대 19건의 보안 취약점이 있는 것으로 드러났다.

보안 약점 있는 공공앱 30개 앱 중 66%, 1만1,895건 발생

‘공공앱의 보안 약점 및 보안 취약점 현황’을 분석했을 때 공공앱 개발 및 유지관리 단계의 보안 약점으로서 △공공앱의 웹 부분 △공공앱의 앱 부분, 그리고 보안 취약점으로 △앱의 기능 부분으로 분석했다.

먼저 공공앱의 ‘웹 부분 보안약점 진단’의 경우 30개 앱 중 20개 앱(66.6%)에서 총 1만1,895건의 보안 약점을 발견했으며, ‘부적절한 예외 처리’가 14개 앱에 3,035건, ‘오류 메시지 정보 노출’이 13개 앱에 2,158건 순으로 나타났다.

이어 공공앱의 ‘앱 부분 보안 약점 진단’에서는 총 32개 앱 중 23개 앱(71.8%)에서 총 2,051건의 보안 약점이 있었으며, ‘오류 메시지 및 시스템 데이터 정보 노출’이 15개 앱에서 811건, ‘부적절한 예외 처리’가 12개 앱에서 630건 순으로 나타났다.

‘앱 기능 보안 취약점 현황’을 분석했을 때는 ‘공공앱의 기능 보안 취약점 점검 항목별 현황’에서와 같이 36개 앱 중 16개 앱(44.4%)에 총 80건의 보안 취약점이 있었으며, ‘루팅 및 탈옥 기기에서의 정상 동작’은 7개 앱에 11건, ‘중요정보의 평문 저장 및 전송’은 6개 앱에 16건 순으로 많이 나타났다.

이와 같이 보안 취약성이 드러난 앱에 대한 조치가 재빨리 이뤄지지 않으면 향후 해킹 등 사이버공격 시 개인정보 유출 등의 피해가 발생할 우려가 있다.

공공앱의 보안 약점, 행안부 실태조사 미흡 드러나

감사원의 조사 결과 행안부는 2020년 ‘전자정부서비스 SW 개발보안 적용수준 점검 수행’ 용역을 통해 정보시스템 감리 대상인 88개 정보시스템을 대상으로 보안 약점의 진단과 제거 여부 등을 조사하면서 그에 포함된 32개 모바일 앱(행정앱, 공공앱)의 보안 약점을 조사했다. 하지만 전체 956개 공공앱 중 나머지 924개(96.6%) 앱의 보안 약점 현황은 조사하지 않았다.

이어 행안부는 2020년 11월~12월에 진행한 956개 공공앱 대상 ‘모바일 서비스 지침’에서 정의한 20개 점검항목별 행정기관 등의 보안 취약점 점검 및 조치여부 조사에서 조사 이후 미조치 보안 취약점에 대해 국정감사에서 지적받은 난독화를 제외하고는 조치 여부를 사후 조사하지 않았다.

또한, 행안부는 2015년 8월 모바일 서비스 지침을 개정해 2018년까지 매년 보안대책 마련 및 소프트웨어 개발보안 적용 여부를 측정해 공공앱 성과측정에서 ‘보안’(10점 만점) 항목으로 반영했는데, 2019년 9월의 성과측정 지표에서는 ‘보안’ 항목을 제외했다.

행안부는 감사원의 감사 결과 드러난 문제점에 대해 해당 기관에 개선하도록 통보한 후 조치결과를 제출받겠다고 밝혔으며, 앞으로 매년 실시하는 정부업무평가(행정관리역량평가) 항목에 소프트웨어 개발보안 적용 및 보안취약점 점검을 하도록 관리 방안을 마련하겠다는 의견을 밝혔다.

행안부는 이밖에도 국민 다수가 이용하는 주요 공공앱을 대상으로 전문기관을 통해 소프트웨어 개발보안 적용현황 및 실태를 2~3년 간격 등 주기적으로 점검하겠으며, 한국인터넷진흥원을 통해 공공앱에 대한 보안약점 진단 지원체계를 강화해 지원대상을 점차 확대하겠다고 답변했다. 한편, 이번 감사원의 ‘공공앱 구축·운영 실태’ 감사보고서는 감사원 홈페이지에서 확인할 수 있다.

[김영명 기자(boan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=109773&page=2&mkind=1&kind=2)]​