EU 연령 인증 앱, 2분 만에 해킹당해
원제: EU Declared Age App “Ready” While GitHub Flagged it Unfit, Then Hackers Bypassed It in 2 Minutes
왜 중요한가
EU의 오픈소스 정책과 보안 검증 프로세스의 허점을 드러내며 정부 기술 도입 신중성 필요성을 보여준다.
유럽연합이 4월 15일 '기술적으로 준비됐다'고 발표한 연령 인증 앱이 4월 16일 보안 연구자에 의해 2분 만에 해킹됐다. GitHub 저장소에는 실제 사용 부적합하다는 경고가 명시되어 있었으나 폰 데어 라이엔 집행위원장은 이를 언급하지 않았다.
영국 보안 컨설턴트 폴 무어는 4월 16일 EU 연령 인증 앱의 보안을 2분 만에 우회하는 영상을 X에 게시했다. 공격자는 앱의 eudi-wallet.xml 설정 파일에서 암호화된 PIN 항목을 삭제하면 기존 인증 자격을 유지하면서 새 PIN을 설정할 수 있었다. 같은 파일에서 PIN 시도 횟수 카운터를 0으로 재설정해 무제한 추측이 가능했고, 단순한 불리언 값으로 생체 인증을 완전히 비활성화할 수 있었다. 무어의 게시물은 폰 데어 라이엔을 직접 태그했으며 320만 조회수를 기록했다. 유럽위원회 GitHub 저장소에는 코드가 초기 단계 릴리스이며 보안과 개인정보 보호가 최종 제품 수준에 미치지 못한다는 경고가 명시되어 있었다. 그러나 폰 데어 라이엔의 4월 15일 발표에는 이런 제한 사항이 언급되지 않았다. Politico 보도 후 위원회는 연구자들이 개발용 '데모 버전'을 테스트했으며 결함이 수정됐다고 밝혔다.