백신 여권 논의가 전 세계적으로 활성화되고 있는 가운데 다크넷에서 가짜 신종 코로나바이러스 감염증(코로나19) 백신과 백신 여권 등의 제품이 거래되고 있는 것으로 나타났다.
지난달 23일(현지시간) 영국 BBC방송은 "특수 브라우저를 통해서만 접속이 가능한 인터넷인 다크넷에서 코로나 백신과 관련된 광고들이 최근 급증하고 있으나 이것이 진품인지는 확인이 불가능한 것으로 전문가들이 보고 있다"고 보도했다.
다크웹뿐 아니라 일반적인 웹사이트나 전자상거래 플랫폼에서도 백신 증명서 사기가 기승을 부리고 있다. 지난주 미국 내 45개 주(州) 법무장관들은 트위터, 이베이, 쇼피파이 대표에 코로나19 가짜 백신 접종 증명서 판매를 예방하기 위해 즉각 행동을 취해야 한다는 취지의 서한을 보냈다.
아스트라제네카나 스푸트니크, 시노팜, 존슨앤드존슨의 백신은 한 병에 500~750달러(약 85만 원)에 거래되고 있으며, 가짜 백신 여권도 최저 150달러(약 17만 원)에 팔리고 있다고 BBC는 전했다. 사이버보안 기업 체크컴퍼니는 1월부터 백신 거래 광고들을 주목해왔으며 현재 1,200개 이상으로 증가한 상태라고 밝혔다.
백신 거래업자는 주로 미국과 영국, 스페인, 독일, 프랑스, 러시아에 있는 것으로 추정되고 있으며, 다음날 배송까지 보장한다고 선전하는 업체까지 있는 것으로 나타났다.
미국의 경우 지난달 30일 월스트리트저널(WSJ)에 따르면 이스라엘의 인터넷 보안업체 체크포인트소프트웨어테크놀로지스는 이미 가짜 미국 접종 증명서가 1장에 200달러(약 22만 원)에 판매되고 있다고 전했다. 개인 정보와 대금을 보내면 가짜 증명서를 이메일로 보내주는 방식이다.
러시아의 경우 지난달 16일 타스 통신 등에 따르면 경찰은 가짜 코로나19 백신 접종 증명서를 만들어 판매한 혐의를 받는 모스크바 거주 30세 남성을 체포했다고 밝혔다. 이 남성은 경찰 조사에서 지난해 가을부터 불법 활동을 해왔으며, 증명서 장당 발급 기간에 따라 4,000~5,000루블(약 6만1,000원~7만7,000원)을 은행 카드 계좌를 통해 송금받았다고 진술했다.
일부 범죄자들은 접종 센터·의사들과 담합해 병원 스탬프와 의사 서명 등을 도용해 가짜 증명서를 만들어 팔고, 일부는 아예 스탬프와 서명 등을 조작한 허위 증명서를 판매한 것으로 알려졌다. 사기꾼들은 조만간 접종 증명서가 의무화될 것이며 그렇게 되면 증명서 취득이 더 비싸질 것이라고 잠재 고객들의 구매를 부추긴 것으로 조사됐다.
체크포인트 수사요원들은 가짜 백신 여권 거래업자들은 이름과 원하는 허위 접종 날짜만 주면 제작할 수 있다고 홍보하면서 비트코인을 이용해 150달러에 거래하고 있다고 설명했다.
체크포인트의 오데드 바누누 대표는 가짜 백신이나 접종 카드, 진단 기구를 비공식 절차로 구입하는 것은 해커들에게 자금과 개인정보, 신분이 노출될 위험이 있다고 경고했다.
이에 전문가들은 모든 국가들이 백신 관련 문서의 위조 방지를 위해 QR코드를 도입할 것을 촉구했다. 8일 로이터 통신에 따르면 바누누 대표는 미국, 러시아를 비롯한 여러 국가에서 발행한 것처럼 보이는 가짜 접종 증명서 광고가 다수 보인다며 "많은 수요가 있기 때문"이라고 설명했다.
바누누 대표는 백신 접종 증명서에 암호화된 비밀번호로 디지털 서명을 하거나 QR코드 시스템을 활용하는 방법으로 위조를 어렵게 만들 필요가 있다고 강조했다.
국내에서도 위변조 방지를 위한 노력을 해야 한다는 목소리가 나왔다.
정부의 블록체인 기반 분산신원인증(DID) 정책 실행을 주도하고 있는 과학기술정보통신부 산하 한국인터넷진흥원(KISA) 상환 블록체인진흥단장은 8일 잠실 한국광고문화회관에서 온·오프라인 동시 개최된 '블록체인으로 혁신하는 디지털경제 정책 콘퍼런스'를 통해 백신 여권의 위변조 방지 및 개인정보보호 강화를 위해 DID가 필수적으로 적용되어야 한다고 말했다.
DID 방식에서는 사용자가 발행기관에 자신의 신원증명(백신접종 증명)을 요청하면, 발행기관은 개인키로 서명된 증명서를 사용자에 전송하고 동시에 공개 키가 포함된 DID 문서를 블록체인 저장소에 등록한다.
개인은 자신의 모바일 전자지갑에 증명서를 보관하고 있다가 필요할 때 검증 받고자 하는 기관에 제출할 수 있다. 검증 기관은 블록체인 저장소에서 블록체인 공개키를 획득해 사용자가 제출한 증명서의 진위 여부를 확인할 수 있다.
또 증명 목적에 따라 필요한 정보만 선택해 검증기관에 제공할 수 있어, 정보 주체가 정보의 통제권을 가지고 개인정보를 보호할 수 있다.