중국 공산당 중앙선전부가 시진핑(習近平) 중국 국가주석의 사상과 정책을 알리기 위해 만든 모바일 앱 ‘쉐시창궈(學習强國·학습강국)’에서 ‘백도어’로 보이는 코드가 발견됐다고 미국 정부의 후원을 받아 전세계 인터넷을 감시하는 오픈테크놀로지펀드(OTF)가 발표했다.

백도어란 시스템 설계자가 일부러 만들어 놓은 시스템의 보안 구멍이다. OTF는 수억명에 달하는 쉐시창궈 이용자들이 중국 정부의 감시와 통제에 노출될 수 있다고 주장했다. 쉐시창궈 앱은 중국 3대 과학기술(IT)업체 중 한 곳인 알리바바가 지난 1월 개발했다.

14일(현지시간) 워싱턴포스트(WP)와 CNBC에 따르면 OTF는 독일 사이버 보안업체 큐어53에 의뢰해 안드로이드용 쉐시창궈 앱을 분석한 결과, 백도어로 보이는 코드가 발견됐다고 발표했다.

큐어53은 “이른바 슈퍼유저(특권적 사용자) 권한으로 임의적인 명령을 내릴 수 있는 코드를 찾았다”면서 “만약 이 코드를 사용하면 소프트웨어를 설치하거나, 데이터를 수정하거나, 이용자가 어떤 것을 검색하는지 지켜볼 수 있는 시스템 접근권을 확보할 수 있다”고 언급했다.

이어 “이번 조사방법으로는 백도어가 이용되는 방식을 관찰할 수 없었다”면서 “감시 결과, 쉐시창궈 이용자들의 스마트폰에 이와 같이 높은 권한을 부여할 합법적인 이유를 찾을 수 없었다”고 지적했다.

큐어53은 “쉐시창궈앱이 이용자 스마트폰에 설치된 다른 앱을 검색한다”면서 “이 앱의 당초 목적으로 알려진 것과 연관성이 없다. 우리에게 이같은 광범위한 데이터 수집은 공산당의 필요에 의한 것이라고 추측하게 한다”고 꼬집었다.

OTF와 큐어53은 “쉐시창궈앱 개발사인 알리바바가 이 앱의 ‘허술한 보안 조치(백도어)’에 관여하고 있다”고도 주장했다. 쉐시창궈앱은 알리바바 메신저 서비스인 딩톡(DingTalk)을 기반으로 만들어졌다. 큐어53은 알리바바나 알리바바 클라우드에도 백도어가 있을 수 있다고도 지적했다.

하지만 중국 국무원 신문판공실은 WP에 “쉐시창궈앱에 그와 같은 기능은 없다”고 부인했다. 딩톡 대변인은 “딩톡은 개방형 기술 플랫폼으로 다른 앱의 개발에 이용될 수 있다”면서도 “백도어 코드 또는 스캐닝 등의 문제는 없다”고 주장했다.

쉬세창궈 앱은 시 주석의 사상과 정책은 물론 중국 전통문화와 역사, 지리, 공산당의 검열을 거친 시사 정보 등도 제공한다. 중국 정부가 이 앱의 확산에 나서면서 화웨이 앱스토어에서만 3억회 다운로드가 이뤄진 것으로 알려졌다.

【서울=뉴시스】