티스토리 뷰
코로나 바이러스에 의한 사회적 거리두기와 재택근무의 확산으로 글로벌 전역에서 몸값을 올린 줌이 보안 이슈에 시달리고 있습니다. 지난해 12월 평균 1천만 명이던 접속자 수가 올 3월에는 무려 2억 명으로 엄청나게 증가했을 정도로 줌은 코로나의 수혜를 크게 입었었는데요. 이러한 인기의 급증 때문에 오히려 해커들 및 악의적인 사람들의 공격 대상이 되었습니다. 바로 오늘, 줌은 이러한 문제에 대한 대안으로 각종 보안 기능을 강화한 줌 5.0 버전을 출시했습니다. 그럼에도 줌에서 발생한 보안 이슈가 하도 다양하고 심각해 한동안은 줌에 대한 불신이 사그라들지 않을 것 같습니다. 오늘 포스팅에서는 관련 문제와 이슈를 정리했습니다.
줌 폭탄(Zoom Bombing)과 줌 트롤링(Zoom Trolling)
기본적으로 줌은 미팅 룸을 만든 사람이 발행한 링크를 참석자들에게 보내면, 참석자들이 링크를 클릭해 미팅 룸에 입장하는 방식입니다. 비밀번호를 설정할 수는 있지만, 사실 굳이 설정하지 않는 경우가 많습니다. 따라서 어떤 경로로든 링크만 알아낸다면 회의에 아무런 관련이 없는 사람도 미팅 룸에 들어와 참석자들을 보고 이들이 하는 말을 들을 수 있습니다. 이처럼 근본적인 보안 취약성 때문에 사람들이 무작위로 줌 회의에 들어가 정치적 메시지나 음란물 사진을 투척하는 '줌 폭탄' 또는 '줌 트롤링' 행위가 한동안 해외에서 큰 문제로 대두되었습니다.
서버 위치 및 데이터 암호화 문제
줌은 미국 나스닥에 상장한 미국 기업이지만 줌 서비스를 개발하고 데이터를 관리하는 담당지역은 중국임이 밝혀졌습니다. 특히 화상 회의 내용 중 일부가 중국 서버를 경유하는 것으로 알려졌는데, 중국은 정부의 기업에 대한 검열이 강한 국가인 만큼 이와 관련해 논란이 일고 있습니다. 또한 줌 측은 각종 데이터를 암호화하여 처리한다고 밝혔으나, 전문가들은 줌의 일부 영상 데이터 및 음성 데이터가 해킹 및 가로채기에 취약하며, 충분히 안전하게 보호받지 못하고 있다고 지적합니다. 줌을 사용하는 대부분 사람들은 자체 프라이빗 클라우드를 제공받지 못하는 중저가 모델을 사용하는데, 이 경우 누군가가 회의 내용을 엿들을 수 있다는 뜻입니다.
이메일 도메인에 기반한 랜덤 연결
현재는 해결되었다고 하지만, 이메일 도메인에 기반한 개인 정보 유출 문제 역시 불거졌습니다. 줌을 이용하던 사용자 수천 명의 이메일 주소와 사진이 유출되어 낯선 사람들로부터 연락이 오는 상황이 잇달아 발생했습니다. 이는 동일한 이메일 도메인을 사용하면 해당 사용자들을 같은 회사의 근무자로 인식하고 그룹화처리하는 줌 시스템 상의 오류로 인해 발생했습니다. 줌은 현재 해당 도메인들을 블랙리스트하는 방식으로 문제를 해결했다고 하나, 비슷한 사태가 반복될 수 있는 만큼 보다 근본적인 대처가 필요해 보입니다.
줌 iOS 앱 개인 정보 유출 문제
iOS 앱에 설치된 줌 앱은 사전에 사용자 고지나 동의 없이 개인 정보를 광고 서비스 목적으로 페이스북에 전송해온 것으로 드러났습니다. 심지어 사용자가 연결된 페이스북 계정이 없을 때에도 사용자 정보를 광고 활용 목적으로 전송하도록 설정되어 있었습니다. 이 문제가 불거진 후 줌 창업자인 에릭 유안은 잘못을 인정하고 공식적으로 사과한 후 해당 기능을 삭제했습니다. 그러나 이 사건은 줌이 지닌 취약한 보안 의식 수준을 드러낸 계기가 되었으며, 사용자 개인 정보가 마케팅 목적으로 잘못 쓰일 수 있는 위험성을 다시 한번 세상에 알렸습니다.
줌 5.0, 무엇이 달라졌을까?
이러한 보안 이슈들로 크게 타격을 입은 줌은 CEO가 직접 사과를 하고 유명 기업들의 보안 전문가로 구성된 특별팀을 부랴부랴 구성했습니다. 그 결과 보안 이슈를 개선한 버전 줌 5.0을 출시했습니다. 새 버전에서는 관리자가 미팅 룸의 접속 인원을 제어할 수 있는 기능이 강화되었으며, '대기실'이 추가되어 실제 미팅 룸 입장 전 참석자들을 한 차계 걸러낼 수 있게 되었습니다. 또한 클라우드 기록을 암호화하여 저장하며, 계정 연락처 보안 기능을 강화했다고 합니다. 이러한 조치들은 줌이 시행 중인 '보안 및 개인정보 보호 개선 90일 계획'의 일부라고 하니 앞으로도 보안 기능이 더욱 추가될 것 같습니다.
온라인 회의, 웨비나 툴의 대안은?
한국에서는 재택 근무를 해제한 회사들이 늘어났으나, 여전히 온라인으로 회의를 대신하고 있는 곳들도 많습니다. 초중고 수업과 대학교 강의, 각종 세미나들 역시 아직은 온라인에서 이뤄지고 있는 추세입니다. 많은 사람들이 예측하듯 이제는 코로나 바이러스가 잠잠해지더라도 온라인 회의, 온라인 강의가 이전보다 보편화할 가능성이 큽니다. 그렇다면 아직 보안 기능을 강화 중인 줌 말고 어떤 툴을 활용해야 보안 걱정 없이 안전하게 이용할 수 있을까요? 일단 미국에서 떠오르고 있는 가장 유력한 대안은 마이크로소프트의 팀즈(Teams)입니다. 이외에도 지난 포스팅에서 소개한 시스코의 웹엑스(WebEx) 역시 대안이 될 수 있습니다. 이와 함께 회의 중 또는 강의 중인 내용이 위험에 노출될 수 있음을 인지하고 보안 관리에 주의를 기울이는 태도가 모두에게 필요한 시점인 것 같습니다.