5월 기술자 프레데릭 리히텐슈타인(Frédéric Rechtenstein)은 한국에 돌아와 자가 격리 기간을 가지던 중 자가격리자용 앱에 호기심이 생겼습니다. 리히텐슈타인은 앱에서 중요한 보안 결함을 확인했습니다.
결함은 추측이 쉬운 사용자 ID를 통해 격리자의 이름, 실시간 위치, 주소, 전화번호와 의료 증상을 포함한 개인정보에 접근할 수 있고 격리 사항 준수 여부를 조작할 수 있었습니다. HTTPS 대신 자체 암호화 키를 사용했고, 키는 1234567890123456이었습니다.
문제를 보고받은 한국 관계자들은 2주간의 격리 기간이 끝나면 개인 정보를 삭제하고 앱을 비활성화했다고 말했지만, 일주일이 지난 시점에서도 정부 서버 접근은 가능했습니다.
관계자들은 보고를 통해 보안 문제를 인지했고, 지난주 문제가 수정될 때까지 악용 보고가 없었다고 말했습니다.
행정안전부 재난정보통신과의 정찬현은 바이러스의 확산에 대응해 앱 배포가 시급했다며 이를 늦출 보안 점검을 할 여유가 없었다고 말했습니다. 감시 기능의 추가 요청에 따라 업무량이 증가했으며, 소프트웨어를 개발한 위니텍의 홍성복은 당시 소수의 한국인만이 앱을 사용할 것으로 생각했다고 말했습니다.