[Zoom에 주목하라] ③ 보안 이슈에 거짓말까지? 성장통 겪는 줌... CEO가 직접 진화 나서

"보안상 문제가 있으니 테슬라·스페이스X 전 직원은 줌을 이용해 업무를 진행하는 것을 금지한다." 일론 머스크 테슬라·스페이스X 최고경영자(CEO)가 직원들에게 보낸 이메일 내용이다.

3일 클라우드 업계에 따르면, 코로나19로 급 성장한 줌 비디오 커뮤니케이션(이하 줌)이 성장통을 겪고 있다. 코로나19로 인해 이용자가 20배 급증하면서 그동안 알려지지 않았던 줌의 보안 문제가 수면 위로 떠오른 것이다.
 

[사진=줌 제공]

가장 대표적인 사례가 프라이빗 온라인 회의에 해커가 무단 침입해 회의나 모임 진행을 방해하는 '줌 폭격(Zoom Bombing)'이다.

파이낸셜타임스(FT) 등 외신에 따르면, 일부 이용자가 줌을 이용해 온라인 회의를 하는 도중 화면에 지나친 폭력이나 음란물 영상이 나타났다며 미국 연방수사국(FBI)에 수사를 의뢰했다.

관련기사

• 삼성전기, 1분기 영업이익 1803억원… 전년比 28.7% 증가
• 막 내린 화랑미술제, 5만8천명 방문…'역량 있는 신진작가 주목'

미국 FBI 보스턴 지국은 "음란물이나 혐오 영상, 위협적인 표현 등으로 줌 온라인 회의가 중단되는 등 방해를 받았다는 신고가 여러 차례 접수됐다"고 밝혔다. 신고에는 음란물뿐만 아니라 인종 차별, 성차별 발언 등도 포함된 것으로 알려졌다.

최근 매사추세츠의 한 고등학교에서는 정체를 알 수 없는 사람이 온라인 수업에 침입해 교사의 집 주소를 외치고 욕설을 퍼붓기도 했다. 캘리포니아의 또 다른 고등학교에서는 다수의 해커가 온라인 수업의 중앙 화면에 음란물을 띄우는 등 해킹 공격이 도를 넘고 있다.

이러한 해커들의 공격을 '줌 폭격(Zoom Bombing)'이라고 부른다. 소셜 미디어(SNS)에는 줌 폭격으로 음란물이나 차별적 영상을 접했다는 게시물이 계속 올라오고 있다.

상황이 이러자 뉴욕 법무장관은 줌의 개인정보 보호와 보안 문제 관련 조사에 착수했다. 뉴욕 법무부는 줌에 최근 트래픽 폭증과 해커 암약에 대응하기 위해 어떤 조치를 했는지 묻는 서신을 보냈다.
 

줌을 활용해 화상회의를 진행하는 모습. [사진=로이터·연합뉴스]

또 다른 문제는 '거짓말'이다. 줌은 지금까지 자사 서비스가 '종단간 암호화'로 안전하게 제공된다고 홍보했으나, 연이은 해킹으로 뉴욕타임스 등 언론사가 줌에 정확한 사실관계를 요청한 결과 현재 줌은 'TLS 암호화'로 서비스를 제공하고 있다고 실토했다. 이러한 거짓 마케팅은 미국 연방거래위원회(FTC)에 제재를 받을 수 있는 중대한 문제다.

사실 TLS 암호화 기술 자체에 문제가 있는 것은 아니다. 구글, 페이스북 등 많은 인터넷 기업이 TLS 암호화로 자사 서비스를 제공하는 만큼 검증된 보안 기술이라 할 수 있다. 구글 행아웃 미팅, 마이크로소프트 팀즈 등 줌의 경쟁 서비스도 모두 TLS 암호화로 데이터를 전송한다. 실제로 해커들의 줌 폭격은 암호화된 데이터를 해킹한 것이 아니라, 이용자들의 초대용 URL(인터넷 주소)을 알아내 무단으로 온라인 회의에 침입하는 경우가 대부분이다. 이 경우 온라인 회의 호스트가 줌 내에서 몇 가지 설정만 추가하면 해커들의 공격을 막을 수 있다.

다만 TLS 암호화는 데이터를 전송하면서 처음과 끝부분만 128 또는 256비트로 암호화하기 때문에 데이터를 전달, 관리하는 서비스 제공 업체가 중간에 데이터 내용을 들여다볼 수 있다는 약점이 있다. 반면 종단간 암호화 기술은 데이터 전송의 시작부터 끝까지 모든 부분을 암호화하기 때문에 서비스 제공 업체도 데이터 내용을 들여다볼 수 없다. 정부나 수사 기관이 요청해도 관련 데이터를 제공할 방법이 없다. 이에 텔레그램, 시그널 등 보안을 강조하는 인터넷 서비스는 종단간 암호화를 적극적으로 활용하고 있다. 카카오톡도 2015년부터 비밀 메시지만 종단간 암호화로 데이터를 전송한다.

종단간 암호화를 활용하면 보안은 강력해지지만, 서비스 관리가 복잡해지고 서비스 속도가 느려지며 이용자 가입 절차가 더 까다로워지기 때문에 신규 이용자 유치에 어려움이 생긴다. 이에 많은 인터넷 기업이 여전히 TLS 암호화 위주로 서비스를 설계하고 있다.

때문에 미국은 기업이 TLS 암호화로 인터넷 서비스를 제공할 경우 '투명성 보고서'를 반드시 제출하도록 규정하고 있다. 투명성 보고서란 대규모 인터넷 기업이 '고객의 정보를 어떻게 관리하고 있는지', '각국의 정보 요청에 어떻게 대응했는지', '보안 프로그램을 어떤 방식으로 운영하고 있는지' 등의 내용이 담긴 문서다. 줌이 사실 TLS 암호화를 이용하고 있다고 실토하자 미국 정부는 지난 3월 18일 줌에 처음으로 투명성 보고서를 작성할 것을 요청했다.

보안 논란이 확대되자 줌은 황급히 진화에 나섰다. 2일(현지시간) 에릭 유안 줌 CEO는 줌 공식 블로그를 통해 "향후 90일에 걸쳐 줌의 보안을 재점검하고, 기업을 위해 만들었던 서비스인 줌을 교육과 모임에 맞게 재설계할 것"이라고 밝혔다. 이를 위해 향후 90일 동안 줌은 신규 기능 업데이트 없이 보안 기능 업데이트만 진행된다.

또한 줌은 미국 정부의 요청에 맞춰 정기적으로 투명성 보고서를 발간하고, 해커들이 악용하는 줌의 보안 취약점을 제보하면 포상하는 버그 현상금 프로그램도 운영할 계획이다.

유안 CEO는 오는 8일(현지시간) 웹 세미나를 열고 줌의 향후 개인정보 보호와 보안 관련 업데이트 로드맵을 구체적으로 공개할 것이라고 밝혔다.

한편, 줌은 한국 한정으로 이용자 지원이 부족하다는 문제도 제기되고 있다. 현재 줌은 한국 지사 없이 일본 지사를 통해 국내 서비스를 제공하고 있다. 서비스 자체는 한국어화되어 있고 본사의 인력을 통해 온라인상에서 한국어 지원 서비스를 제공하고 있지만, 지사를 설립하고 온·오프라인 지원을 함께 제공하는 경쟁사에 비하면 많이 부족하다는 평가가 나온다. 한 줌 이용자는 "서비스는 편리하지만, 문제가 생겼을 때 지원을 받는 것이 어렵다. 줌이 한국 서비스를 확대하고 싶다면 한국 지사를 설립해 사후지원을 강화하고 결제 수단을 다양화할 필요성이 있다"고 말했다.