제주도가 호언장담한 제주형 전자출입명부 앱(App)인 '제주안심코드'가 실제 업소에 있는 QR코드와 인쇄물 및 사진속 QR코드를 구분하지 못하면서 악용 우려가 나오고 있다.
제주도는 블록체인 기술 기반 제주형 전자출입명부 앱 '제주안심코드'를 곧 출시할 예정이라고 지난 12일 밝혔다.
제주안심코드는 코로나19 확진자의 방문 이력과 접촉자를 신속하게 파악, 코로나19 집단감염에 효과적으로 대응하기 위한 제주형 전자출입명부 시스템이다.
제주도는 이 '제주안심코드'와 기존 전자출입명부(KI-Pass)와의 차별점으로 이용자가 업장에 부착된 QR코드를 찍는 방식을 강조했다. 기존 업장의 사업주가 이용자의 휴대폰에 뜬 QR코드를 찍는 방법이 뒤집어진 것이다. 도는 이를 통해 "사업주와 이용자의 편의성을 높인 것이 특징"이라고 밝혔다.
현재 공식 앱은 출시되지 않았지만 이 어플을 개발하고 있는 업체가 제작한 다른 앱을 통해 업장에 부착된 QR코드를 인식하면 해당 업장을 방문한 것으로 인증이 이뤄지고 있다.
하지만 기존 앱이 사업장에 있는 QR코드 뿐만 아니라 그외 인쇄물 속 QR코드나 사진으로 촬영된 QR코드에 대해서도 앱이 반응을 하는 경우가 있는 것으로 나타나면서 출시를 앞둔 '제주안심코드' 앱 역시 이에 대한 우려가 나오고 있다.
이를 악용할 경우 이용자가 실제 그 장소에 가지 않더라도 인쇄물이나 사진 속 QR코드를 입수해 앱을 통해 인증, 해당 장소에 간 것처럼 꾸밀 수 있기 때문이다.
이용자가 업장에 부착된 QR코드에 인식하는 것으로 방법이 바뀌면서 기존에는 대두되지 않았던 문제점이 떠오른 꼴이다.
실제로 제주도청 기자실에 있던 기자들이 기존 앱을 사용해 보도자료 등에 예시로 제시된 제주도청 탐라홀 QR코드를 촬영한 결과 '제주도청 탐라홀'을 방문한 것으로 인증이 됐다.
이 때문에 특정 집회나 다중밀집장소에 방문하면서도 방문 사실을 숨기기 위해 기존에 다른 업장에서 촬영한 QR코드를 통해 거짓 인증을 꾸며낼 수 있는 것이다.
제주도는 이와 같은 허점이 있음을 인정하면서 이에 대한 보완책으로 '제주안심코드'를 GPS와 결합, QR코드 인증을 한 휴대폰이 실제 그 장소에 있었는지 확인할 수 있는 방안에 대해 고심 중이다.
이와 함께 앱에 "방역에 혼란을 줄 경우 감염병관리법에 따라 처벌을 받을 수 있다"는 문구도 명시한다는 방침이다. [제이누리=고원상 기자]
