화상회의 앱 줌(Zoom) 프라이버시 논란…그 대안은?
재택근무 ‘필수템’ 된 화상회의 플랫폼 줌, ‘줌 공격’ 해결 시급
이 기사를 공유합니다
Benjamin Powers
Benjamin Powers 2020년 4월8일 09:00
줌의 화면보기 옵션 중 하나. 출처=줌
줌의 화면보기 옵션 중 하나. 출처=줌

최근 코로나19로 재택근무가 늘면서 화상회의 플랫폼 줌(Zoom)의 인기가 급상승했다. 줌의 에릭 위안 CEO는 얼마 전 블로그에 지난해 12월 1천만 명이던 줌의 이용자 수가 최근 2억 명까지 증가했다고 썼다.

하지만 플랫폼 이용자 수가 증가함에 따라 그만큼 프라이버시와 보안에 대한 문제도 터져 나오고 있다. 모르는 사람이 갑자기 회의에 입장해 욕설이나 무례한 발언을 하거나 음란물을 투척해 회의를 방해하는 이른바 줌 공격(Zoombombing)이 기승을 부린 것이다. 뉴욕 법무부 장관이 줌의 운영 방식에 의문을 제기했고, 급기야 집단소송이 일어났다.

뉴욕 법무부 장관은 “최근 급증한 많은 양의 민감한 데이터를 다룰 만큼 줌의 보안 관리 수준이 높지 않아 보여 우려스럽다”고 말했다.

최근까지도 줌의 아이폰 앱에는 이용자 개인정보를 페이스북으로 몰래 전송하는 소프트웨어가 깔려 있었다. 소송 원고 측이 제기한 소장에 따르면 해당 코드 때문에 페이스북은 이용자들을 대상으로 맞춤형 광고를 내보낼 수 있었다.

줌의 프라이버시 논란은 이번이 처음이 아니다. 지난해 한 연구는 400만 명에 이르는 줌 이용자 카메라가 도촬에 취약한 상태라는 사실을 밝혀냈다.

위안 CEO는 “우리는 현재 모든 기능 개발을 일시 중단하고 엔지니어팀 전원을 자사의 가장 중대한 사안인 신뢰, 안전, 프라이버시 문제에 집중하도록 하고 있다”고 말했다. 하지만 많은 이용자는 그 정도로 충분하지 않다고 생각한다. 그들은 이미 줌에 대한 신뢰를 잃었고 다른 대안을 모색하고 있다.

“줌이 사용하기 편리한 네트워크일지는 몰라도 프라이버시 문제를 심각하게 받아들이지 않는 업체"라며 "그들은 모든 화상 전화가 처음부터 끝까지(E2E, end-to-end) 암호화된다고 주장하지만, 사실은 그렇지 않다. E2E 암호화 방식이라면 줌 역시 영상이나 음성 전화 내용을 알 수 없어야 한다. 줌에서 사용하는 것은 ‘전송 암호화(transport encryption)’ 방식으로, 외부인이 통화 도중에 끼어들어 회의 내용을 엿보거나 들을 수 없는 수준으로만 암호화가 된다는 뜻이다. 즉, 이용자들은 줌이 자신의 정보를 보거나 유출하지 않으리라고 믿는 수밖에 없다는 뜻이다. 하지만 여태껏 행적을 보면 줌의 선의에 큰 기대를 하기는 어렵다.” - 뢰벤 야프, 지코인(Zcoin) 프로젝트 COO

VPN 등 개인정보 보호 툴과 암호관리 앱을 하나로 묶은 서비스를 제공하는 앱인 마이프라이버시(MyPrivacy)의 설립자 요아브 드가니도 줌에 프라이버시와 보안 관련 문제가 많다고 지적했다. 보안이 취약한 클라우드에 회의 녹화(녹음)본을 업로드할 수 있다 보니, 회의에 참석하지 않은 상사나 그 외의 사람들도 회의를 다 볼 수 있다. 게다가 회의 주최자는 회의 당시 오고 간 채팅 내용을 텍스트 파일로 받아볼 수 있다.

“회의방의 호스트는 ‘참석자 행동추적(attendee attention tracking)’이라는 기능을 사용할 수도 있다. 이 기능을 사용하면 호스트가 회의 참석자들의 컴퓨터를 감시하면서 30초 이상 활동하지 않는 사람들을 가려낼 수도 있다.”-요아브 드가니, 마이프라이버시 설립자

만약 회의창을 배경화면에 띄워 놓고 몰래 게임을 하거나 페이스북을 보다가는 ‘부재중’으로 분류될 수도 있다.

드가니는 이런 점들을 악용하는 사람들이 있다고 지적했다. 또 최근 들어 ‘Zoom’이라는 이름을 내건 수십 개의 웹사이트가 검색창과 광고에 우후죽순처럼 생겨났는데, 이를 클릭한 사람들을 대상으로 한 피싱 사기도 급증했다.

 

개인정보 보호

개인정보 보호 툴 개발자 가운데 일부는 가장 안전한 대안으로 짓시(Jitsi)를 추천한다.

짓시의 설립자 중 한 명인 에밀 이보브는 짓시가 다른 화상회의 서비스 플랫폼과 차별화되는 부분으로 마찰이 적다는 점을 꼽았다. 회의창 개설이 이름 입력하는 것만큼이나 쉽고, 클릭 한 번이면 회의에 참여할 수 있다. 두 개의 웹브라우저 사이에서 개인간(P2P) 영상, 데이터, 음성 커뮤니케이션을 가능하게 해주는 WebRTC(Web Realtime Communications)를 사용하고 있어 별도의 프로그램을 컴퓨터에 다운받을 필요가 없고 계정도 없어도 된다.

“짓시는 프라이버시와 보안을 매우 중시한다. 우리는 어떠한 개인정보도 요구하지 않으며 익명성을 전적으로 지지한다. 또 우리는 오픈소스 서비스다. 바로 이 점이 짓시가 다른 서비스들과 가장 근본적인 차별점이다. 서비스 운영에 관한 우려가 있다면 사이트에 가서 한 번 시험해보면 된다. 15분밖에 걸리지 않는다.” -에밀 이보브, 짓시 설립자

오픈소스라는 건 누구나 소프트웨어를 속속들이 살펴볼 수 있다는 것을 의미한다. 하지만 짓시는 E2E 암호화 방식을 사용하지 않는다.

“커뮤니티 관점에서 문제점을 살펴보고 있고, 우리도 조만간 해결책이 나오길 바라고 있지만 현재 WebRTC로는 할 수 없는 작업이다. 당분간 WebRTC 표준에 근거해 암호화로 메시지 인증과 무결성 확인을 하는 프로토콜인 DTLS-SRTP를 통해서 한 곳에서 다른 곳으로 이동하는 모든 데이터를 암호화(Encryption in Flight, EIF)하고 있다. 회의창에서 대화를 나눌 때 컴퓨터는 항상 암호화된다.” -에밀 이보브

웨어바이(Whereby)라는 화상회의 서비스 플랫폼도 있다. 하지만 이 플랫폼의 결정적인 단점은 무료 버전에서는 4명까지만 회의를 할 수 있다는 점이다. 전문가용 유료 서비스는 한 달에 9.99달러를 내야 하며 회의방을 최대 3개까지 개설할 수 있고, 한 방에서 12명까지 모여 회의할 수 있다.

페이스타임(Facetime)도 대안 가운데 하나다. 페이스타임은 프라이버시에 중점을 둔 메시징·통화 앱 시그널(Signal)처럼 E2E 암호화 방식을 사용한다.

실리콘밸리에 있는 개인정보보호 스마트기기 개발업체인 아이오텍스(IoTeX)의 CEO 롤렌 차이는 “제품이나 서비스를 개발할 때 편리함을 생각하면서도 백엔드(back-end)에서 프라이버시를 보호하도록 설계할 수 있다”고 말했다.

“그러면 개인정보 사용 원칙이 이미 정해져 있기 때문에 중앙에 있는 서비스 제공자를 신뢰할 수 있는지 걱정할 필요가 없다. 고객이 주도권을 쥐는 셈이다. 블록체인상에서 키가 발행되기 때문에 중앙의 서비스제공자가 키를 보관하지 않을 거라고 애써 억지로 믿지 않아도 되는 진정한 E2E 암호화가 가능하다.” - 롤렌 차이

위에서 언급한 여러 대안을 고려해보되, 화상회의를 이메일로 대신할 수 있다는 것도 생각해보라. 물론 안전하게 주고받을 수 있는 이메일 시스템에만 해당하는 말이다.

· This story originally appeared on CoinDesk, the global leader in blockchain news and publisher of the Bitcoin Price Index. view BPI.
· Translated by NewsPeppermint.

제보, 보도자료는 contact@coindeskkorea.com으로 보내주세요.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.