QR코드 사용, 찝찝한데 괜찮을까?
코로나 19로 이동 동선을 까발리고 다닌 지 1년이 넘다 보니 이젠 점심시간에 식당에 가거나 카페에 들러 커피 한잔 살 때도 자연스럽게 체온 체크는 물론 스마트폰 속에 있는 QR코드를 들이댑니다. 식당마다 QR코드 찍거나 수기로 전화번호와 이름을 쓰라는 통에, 손으로 장부 쓰기는 귀찮기도 해서 대부분 네이버나 다음 같은 포털 사이트에서 QR코드를 연결해 사용합니다. QR코드를 만들고 싶지 않아도 만들 수밖에 없는 상황으로 몰려가고 있는 것입니다. 일단 손으로 쓰는 것보단 편하니까 더욱 그렇습니다. 심지어 카카오톡은 휴대폰을 흔들기만 해도 QR코드가 생성되니까요.
하지만 하루에도 두서너 번씩 식당이나 카페를 가게 되는데 갈 때마다 QR코드를 찍으면서 찝찝하지 않으셨나요? 저는 찍을 때마다 도대체 이 QR코드에는 나의 어떤 정보가 담겨 식당으로 넘어갈까 궁금했습니다. 포탈에서 처음 QR코드를 만들 때 전화번호와 이름 기입을 요구하고 본인 확인을 하니 단지 이름과 전화번호만 담겨있을까? 아니면 이미 네이버나 다음에서 제공하는 이메일을 사용하느라 저장되어 있는 주소, 생년월일 같은 개인정보를 포함하여 휴대폰 고유 식별번호, 휴대폰 위치정보 등도 담기지는 않을까 하는 염려의 발로입니다.
특히 QR코드 만드는 것은 공개된 오픈소스인지라 누구나 개인이 직접 만들 수 있습니다. 명함에 들어가는 기본정보인 전화번호, 주소, 이메일을 비롯하여 개인 블로그 URL, 사진, 동영상, 지도까지도 넣을 수 있습니다. 개인 QR코드 만드는 것은 정말 쉽습니다. 중국에서는 길거리 거지조차도 동냥그릇에 QR코드를 붙여 놓습니다. 계좌번호가 들어간 QR코드입니다. 그런데 우리는 식당과 카페 등을 들어가면서 내가 직접 개인정보를 입력한 QR코드로 들이미는 것이 아니라 네이버나 다음 같은 포털사이트에서 일방적으로 만들어주는 QR코드를 들이댄다는 것입니다. 그 안에 어떤 정보가 들어가는지도 모르는 채 말입니다.
궁금하면 못 참는 성격이라 네이버와 다음과 유튜브를 뒤졌습니다. 참 제대로 된 정보 찾기 어렵더군요. 온갖 사이트에서 QR코드에 대한 설명을 늘어놓으면서 정작 그 안에 어떤 정보가 담기는지에 대한 내용은 찾을 수가 없었습니다. 그러다 눈이 번쩍 뜨이는 콘텐츠를 발견했습니다. 'Tech유람'이라는 id를 가지신 분의 daum 브런치 북 '생활 속의 IT기술 알아보기' 내용 중 '네이버 QR코드 체크인에는 어떤 정보가 담겨있을까?(https://brunch.co.kr/@sangjinkang/24)'라는 제목의 글이었습니다. 역시 IT업계의 고수는 재야에 숨어 계셨습니다. 포탈에서 생성된 QR코드에 엔코딩 된 것과 이것을 코드 리더기로 읽어낸 결과치를 상세하고 정확히 분석해주셨습니다. 이 분 결론은 불필요한 개인정보가 누구나 보고 읽을 수 있는 문장 형태로 정보가 들어가 있지는 않다는 것입니다. QR코드 리더기로 스캔을 해도 암호문 같이 영문과 숫자의 나열로 보입니다.
QR코드를 리더기로 읽으면 보이는 화면조금 구체적으로 인용해 살펴보면, 네이버나 다음 같은 포털사이트에서 생성한 정사각형 모양의 QR코드에 담겨있는 내용은 3 부분으로 구성되어 있는데 헤더와 데이터가 담긴 페이로드, 서명 영역이랍니다. 헤더는 말 그대로 이 QR코드가 어떤 알고리즘으로 작성되어 있는지를 보여주는 부분입니다. 우리가 궁금한 부분은 아니고요. 우리는 실제 데이터가 적혀있는 페이로드 부분이 궁금한데, 이 부분에는 버전(QR코드 개발 version), 유효시간(expiration time ; 15초), subject(사용자 관련 정보), 그리고 발급자(네이버/다음) 정보가 들어 있답니다. 이중 제일 궁금한 곳이 subject 부분인데 이곳은 암호화되어 있어 어떤 정보가 담겨 있는지는 알아낼 수가 없다고 합니다. 추측컨데 QR코드 만들 때 입력하게 되는 이름과 전화번호가 들어가 있지 않을까 생각됩니다.
내가 들이미는 QR코드에 담겨있는 정보는 이 정도입니다. 이 QR코드로 체크인을 하여 확인하면 식당이나 카페에서는 방문객 출입시간 정보만 입력합니다. 추후 코로나 19 확진자 방문이 확인되면 방역당국이 두 정보를 합쳐 이용자를 식별하고 연락을 취하게 됩니다. 이 정보는 4주 후 자동 폐기된다고 합니다.
결론은 QR코드는 조금은 안심하고 사용해도 될 것 같습니다. 구체적으로 QR코드에 어떤 정보까지 담기는지에 대해서는 확인할 수 없지만 지금까지 확인한 바로는 그렇습니다. 또한 단순히 현재 코로나 19로 인한 출입 확인 절차로 사용하는 QR코드에 대해서만 그렇고요. QR코드를 악용한 피싱 사례들도 많은 바 다른 용도로 사용하실 때는 주의가 필요합니다. 또한 나의 이동 동선에 대한 프라이버시 노출이라는 차원의 고민은 별개로 하고요. 코로나 19 확산 방지를 위해 개인정보의 노출을 어느 정도 할 것인가에 대한 사회적 합의는 그래도 QR코드 체크인을 사용해야 한다는 쪽으로 기울어 있는 것만은 틀림없는 것 같습니다.
