[아주 돋보기] '클럽하우스'도 피해갈 수 없었던 중국발 보안 리스크
2021-02-16 10:22
한·미·일서 선풍적인 인기 끄는 클럽하우스, 중국 기술·인프라 이용 지적받아
중국 정부가 이용자 데이터 들여다볼 가능성 있어... 회사 측은 암호화로 안정성 보장 계획
중국 정부가 이용자 데이터 들여다볼 가능성 있어... 회사 측은 암호화로 안정성 보장 계획
미국, 일본을 넘어 한국에서도 인기를 끌고 있는 음성 기반 소모임 서비스 '클럽하우스'가 중국발 보안 리스크를 겪고 있다. 미국 스타트업임에도 중국 클라우드 인프라를 이용함으로써 상당수의 이용자 데이터가 여과 없이 중국으로 전송되고 있다는 지적이다. 클럽하우스 측은 문제를 해결하기 위해 중국 서버에 핑을 전송하지 못하도록 종단간 암호화를 도입할 계획이다.
16일 스탠퍼드인터넷관측소(SIO)는 '중국 속 클럽하우스: 데이터는 안전한가요?' 보고서를 통해 중국 상하이에 기반을 둔 클라우드 기업 '아고라'가 클럽하우스의 서비스 인프라를 제공 중이라고 밝혔다.
SIO는 "클럽하우스 이용자 아이디와 채팅방 아이디가 암호화되지 않고 일반 텍스트로 전송되는 만큼 아고라가 클럽하우스 이용자의 음성 데이터에 접근할 가능성이 있다"고 설명했다.
아고라는 다른 기업이 실시간 음성·영상 서비스를 개발할 수 있도록 관련된 기술과 인프라를 제공하는 기업이다. 클럽하우스를 포함해 상당수의 글로벌 스타트업이 아고라의 기술과 인프라를 활용해 자사의 서비스를 개발했다. 스타트업이 빠르게 서비스를 상용화하기 위해 클라우드 업체로부터 기술과 인프라를 임대하는 것은 실리콘밸리에선 보편화된 모습이다.
클럽하우스와 아고라의 공식적인 관계는 불명이지만, SIO 연구팀은 클럽하우스의 트래픽을 역추적함으로써 클럽하우스의 이용자 데이터가 아고라의 클라우드 인프라로 전송되고 있다는 사실을 밝혀냈다.
클럽하우스는 "(중국 정부가 이용자 데이터를 들여볼 가능성이 있는 만큼) 중국에 서비스를 제공하지 않을 것이며, 외부에서 데이터를 들여다볼 수 없도록 종단간 암호화를 추가할 계획이다. 외부 보안회사를 통해 클럽하우스 서비스의 안전성을 검증받을 것"이라고 전했다.
현재 클럽하우스는 테러·증오발언 방지, 미성년자 보호 등을 이유로 이용자의 음성 데이터를 '일정 기간' 녹음해서 보관하고 있다. 이러한 클럽하우스의 정책을 두고 SIO는 "이용자의 음성 데이터를 보관하는 일정 기간이 몇 시간, 몇 주 또는 몇 년인지 정확히 표기하고 있지 않으며, 아고라를 개인정보 하위처리자로 두고 있다는 사실도 공지하지 않고 있다"고 지적했다.
1년 전 '줌'에 이어 클럽하우스까지 중국 IT 기술·인프라를 이용하는 것에 대한 보안 문제를 지적받으면서 전 세계 기업 사이에서 중국 IT 서비스를 이용하는 것에 대한 기피 현상이 심화될 전망이다. 업계에 따르면 네이버, 넥슨 등 국내 IT 기업의 경우 중국 내 서비스에만 중국 IT 기술·인프라를 활용하고, 국내를 포함한 글로벌 서비스는 중국 IT기술·인프라와 거리를 두는 이원화 정책으로 문제를 해결하고 있다.