전세계적으로 급부상한 클라우드 기반 영상회의 플랫폼 ‘줌(Zoom)’의 보안 문제가 연일 제기되고 있다.

코로나19 확산으로 사회적 거리두기가 전세계에서 진행되면서 가장 핫하게 떠오른 줌이 이제는 큰 위기를 맞이한 형국이다.

미국 실리콘밸리에 본사를 두고 있는 줌은 클라우드 기반 영상회의 서비스를 제공한다. 최근 재택·원격근무 채택으로 영상 회의와 협업, 원격 화상교육이 확대되면서 사용자 수가 크게 급증했다. 줌은 사용하기 매우 간편한데다 가격도 저렴하고, 일정시간 무료로 이용할 수도 있어 전세계적으로 사용자가 폭발적으로 늘어났다.

취약한 보안, ‘거짓’ 논란에 ‘중국’ 이슈까지

최근 줌을 이용한 화상 수업이나 회의 중 누군가 무단 침입해 음란 영상을 틀고 나가거나 욕설을 하며 방해하는 ‘줌 폭격(Zoom Bombing)’이 잇달아 발생했다. 기본 설정에 따라 회의실(Meeting Room) 코드(아이디, ID)가 통상 9자리 숫자로 구성되다보니 이같은 공격이 발생하기 쉽다는 분석이 나온다. 무차별 대입공격(Brute Force)에 취약한 것은 물론, 구글링을 통해 쉽게 회의 아이디를 노출하기 취약하다는 지적이 나왔다.

페이스북에 줌 사용자 일부 데이터가 전송, 공유되는 심각한 문제도 발견됐다. 아이폰(iOS)에서 페이스북을 통한 인증을 사용해 줌에 접속할 때 사용자 정보가 페이스북으로 전송되는 결함도 발견됐다.

데이터 전송구간 종단간(E2E) 암호화가 미비한 것도 도마에 올랐다. 이로 인해 사생활 침해와 정보유출 우려 등이 제기됐다. 더욱이 그동안 줌이 ‘E2E(end to end) 암호화를 지원한다’며 강도높은 보안성을 지원한다고 강조해온 것과는 달리, 진정한 E2E 암호화가 구현되지 않았다는 지적이 나오면서 ‘거짓말’ 논란까지 제기됐다.

여기에 더해 줌이 상대적으로 취약한 암호화 방식(AES-128, TLS)를 사용하고 있는데다 암복호화 키가 중국 베이징에 있는 서버를 경유한다는 지적까지 나왔다.

캐나다 토론토대학 연구팀인 시티즌랩(Citizen Lab)은 3일(현지시간) 줌의 암호화가 AES-256 키가 아니라 단일 AES-128 키를 통해 이뤄진다고 밝혔다. 줌이 공개한 공식 문건에 AES-256으로 암호화한다고 명시했으나 이는 사실과 다르다는 것이다. AES-128 키는 강도가 약할 뿐만 아니라 줌은 암·복호화를 일정한 입력 패턴의 형태를 유지하는 ECB 모드에서 AES를 사용하기 때문에 암호화 방식으로 적절하지 않다고 했다.

출처 : 시티즌랩, 줌 문서 및 줌 웹사이트

시티즌랩은 “우리가 확인한 AES-128 키는 인터넷 트래픽에서 가로챈 줌 패킷을 해독하기에 충분하며, 줌 서버에서 생성되는 것으로 보인다. 경우에 따라 중국에 있는 서버를 통해 줌 미팅 참가자들에게 전달되기도 한다. 회의 참가자들이 중국에 있지 않더라도 발생한다”고 설명했다.

또한 시티즌랩은 “미국 증권거래위원회(SEC)에 제출된 자료에 따르면, 실리콘밸리에 본사를 둔 줌은 중국에 적어도 700명의 직원을 고용하고 있고, 이들은 연구개발(R&D) 부문 소속이다. 중국에 소프트웨어 개발 자회사 3곳을 두고 있다”면서 “줌의 수익의 81%는 북미 시장에서 나오고 있는 것으로 추산된다. 중국에 연구진을 둠으로써 인건비를 절감하고 이익률을 높이는 전략일 수 있는 한편으로, 중국 당국이 압력을 행사할 수 있는 것으로 볼 수 있다”고 제기했다.

시티즌랩은 줌의 대기실(Waiting Room) 기능의 보안 문제도 발견, 사용자에게 위험을 줄 수 있다고 판단해 줌을 통해 책임있는 취약점 공개 프로세스를 시작했다고 전했다.

이와 관련해 줌에 빠르고 신속한 패치를 요구하는 한편, 사용자들에게는 줌 대기실을 사용하지 말고 좀 더 기밀성이 높은 줌 비밀번호(패스워드) 기능을 사용하라고 권고했다.

정부기관, 기업 잇단 사용 중단 선언

시티즌랩은 보안 문제로 강력한 개인정보보호와 기밀 유지가 필요한 곳들은 줌을 사용하지 말라고 권고했다. 첩보 행위를 우려하는 정부, 사이버범죄·산업스파이를 걱정하는 기업, 민감한 환자 정보를 취급하는 의료서비스 제공업체, 민감한 주제를 다루는 활동가나 변호사, 기자 등이다.

줌 플랫폼의 보안성과 신뢰성에 대한 우려가 커지자 미국과 영국 등 정부와 기관, 주요 기업들은 줌 사용을 금지하는 조치를 잇달아 취하고 있다.

미국 항공우주국(NASA)과 일론 머스크가 이끄는 스페이스X는 사내 직원들의 사용을 금지했다.

미국 뉴욕 법무부는 줌의 개인정보호와 보안 관련 문제 조사에 착수했고, 뉴욕 교육당국은 각 학교에서 진행하는 온라인 수업에 줌 사용을 중단하고 마이크로소프트 협업 솔루션 팀즈(Teams)로 교체한다는 외신 보도도 나왔다.

연방수사국(FBI)도 피해 제보를 접수해 경고를 발령하고 보안 조사에 착수했다.

영국 국방부도 정부기관의 줌 사용을 금지했다고 알려졌다.

긴급 보안조치 시행…줌 CEO 사과, 재발방지 대책 발표

사태가 커지자 에릭 유안(Eric Yuan) 줌 CEO는 지난 1일과 3일(모두 현지시간) 연이어 회사 블로그를 통해 제기된 줌 보안 문제에 대해 사과했다. 또 지적된 보안 문제에 대한 해명과 함께 긴급 조치한 내용을 포함해 보안 강화를 위한 향후 업데이트 계획도 밝혔다.

유안 CEO는 “향후 90일에 걸쳐 줌의 보안을 재점검하고, 기업을 위해 만들었던 서비스인 줌을 교육과 모임에 맞게 재설계할 것”이라는 계획을 내놨다. 이를 위해 줌은 향후 90일 동안 줌은 신규 기능 업데이트 없이 보안 기능 업데이트만 진행하기로 했다.

미국 정부의 요청에 맞춰 정기적으로 투명성 보고서를 발간하고, 해커들이 악용하는 줌의 보안 취약점을 제보하면 포상하는 버그 바운티 프로그램도 운영할 계획이다. 아울러 업계 최고정보보안책임자(CISO)들과 협의회를 개최하는 한편, 새로운 문제를 식별할 수 있도록 화이트박스 침투 테스트도 진행하겠다고 했다.

줌은 지난 달 20일 ‘줌 폭격’을 방지하기 위해 대기실, 비밀번호, 음소거 제어, 화면 공유 제한 등의 보호 기능을 강화했다.

사용자 기기 정보 등을 수집해 페이스북으로 전송 문제를 해결하기 위해 iOS 클라이언트에서 페이스북 소프트웨어 개발 키트(SDK)를 제거하는 긴급 수정 조치도 진행했다.

개인정보보호 정책도 업데이트해 수집한 데이터와 사용 방식을 보다 명확하고 투명하게 변경했다.

가상 교실(virtual classroom) 보안 및 개인정보보호 정책 강화를 위한 가이드도 배포했다.

시티즌랩이 제기한 보안 문제에 대해선 “지오펜싱(geo-fencing, 위치 기반 가상 울타리)과 미팅 암호화라는 두가지 우선적인 이슈(primary topic)를 해결하기 위한 조치를 취했다”고 전했다.

코로나19 발생으로 전세계 수요가 급증하면서 서버 용량을 빠르게 추가해 서비스를 제공하는 과정에서 특정 회의가 중국의 시스템에 연결되게 되는 미흡함이 있다는 점을 인정하고, 재발방지와 함께 보안 및 개인정보보호를 개선하기 위한 노력을 지속적으로 벌이겠다고 재차 밝혔다.

유안 CEO는 “전날 인지한 직후, 중국 이외의 사용자들 보조 백업 브릿지 허용 목록(whitelist)에서 중국 데이터센터를 즉시 제거했다. 줌은 데이터 라우팅 방식과 위치에 관계없이 줌 직원을 비롯해 데이터 무단 접근을 방지하기 위해 강력한 사이버보안 보호, 내부 통제 기능을 제공해 계층화된 보안을 구현했다. 미팅 암호화 모범사례를 활용해 최대화된 보안을 제공하겠다. 외부 전문가와 협력하고 있고 커뮤니티에 피드백을 요청해 플랫폼에 최적화돼 있는지 확인할 것이다”고 강조했다.

그는 또 “우리는 지금 시기에 올바르게 일을 처리해야 하는데 엄청난 책임성을 갖고 있다. 전적인 신뢰를 되찾기 위해 가야할 길이 멀다는 것을 알고 있다. 그러나 모든 사람이 연결상태를 유지하는 것과 동일한 강도로 우리 플랫폼의 보안을 강화하기 위해 최선을 다하고 있다”고 덧붙였다.

코로나19 확산 이후 줌 사용자는 폭발적으로 증가했다. 유안 CEO에 따르면, 작년 12월 말 기준 1000만명이었던 하루 최대 이용자 수(유료, 무료 포함)는 3월에 2억명을 넘어섰다. 또 20여개국 9만개 넘는 학교에서 줌을 이용한 원격 교육을 지원해왔다.

폭발적으로 늘어나는 사용자들을 지원, 전세계적으로 끊김없는 편리한 서비스를 제공하는데 주력해왔지만 보안은 부족했다.

영상회의 솔루션은 협업 용도로 정부·공공, 기업 등에서 많이 사용하고 교육 용도로 널리 활용된다. 때문에 보안과 개인정보보호는 필수다. 기업 평판과 서비스 신뢰성을 크게 악화시키는 결과를 초래한다.

코로나19 사태로 줌 스스로도 예기치못할만큼 이용자가 크게 증가하자, 서비스 편의성만 강조되면서 간과됐던 보안 문제가 수면 위로 떠올랐다. 성공가도를 달리던 줌이 오히려 큰 위기에 봉착한 셈이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network