침해사고/위협동향

‘줌’ 암호화 키 중국 서버 경유··· 연일 보안 문제 시끌

이종현
줌 테스트 통화의 토폴로지 /시티즌랩
줌 테스트 통화의 토폴로지 /시티즌랩
[디지털데일리 이종현기자] 코로나19 이후 재택·원격 솔루션으로 부각된 화상회의 솔루션 ‘줌(Zoom)’가 보안 문제로 골머리를 앓고 있다. 이번에는 암호화 키의 중국 서버 경유다.

줌은 공식 문건을 통해 자사 솔루션에 ‘AES-256’ 암호화를 사용한다고 주장해왔다. 하지만 캐나다 토론토대학의 시티즌랩에 따르면은 줌은 AES-256 방식이 아닌 ECB모드에서 ‘AES-128’ 키로 암호화를 하고 있다. 이 방식은 암호화 기능이 떨어져서 사용하지 않는다는 것이 시티즌랩의 지적이다.

또한 부실하게 암호화된 데이터가 중국 북경의 서버를 경유하는 것으로 밝혀져 논란이 커졌다. 이는 미팅 참가자와 기업이 중국에 있지 않더라도 발생하는 일이다.

줌은 나스닥에 상장한 미국 기업이다. 실리콘밸리에 본사를 두고 있다. 하지만 줌이 중국에 최소 700명의 직원을 두고 있는 자회사 3곳을 두고 있다는 점이 부각되며 중국 정부가 개입할 가능성이 있는 것 아니냐는 의혹도 제기됐다.

특히 중국은 ‘국가정보법’, ‘반간첩법’, ‘반테러법’ 등을 통해 정부가 기업에 데이터를 넘겨받을 수 있는 시스템이 마련돼 있다. 정부가 요구할 경우 중국 기업은 정부에 데이터를 반드시 제공해야 한다. 이는 ‘화웨이 백도어’ 논란에서도 지적된 문제점이다.

중국 소재의 줌 자회사는 중국 정부의 데이터 요구에 응할 수밖에 없다. 굳이 강제적인 조치를 취하지 않더라도 부실한 암호화로 사이버공격에도 취약하다.

줌은 시티즌랩의 보고서 이후 공식 블로그를 통해 “해당 이슈는 2월 줌의 수요 증가로 중국 지역 용량을 늘리며 생긴 실수”라며 “중국 외 사용자 데이터가 중국 서버를 경유하는 작업을 중단하고 데이터에 무단 액세스를 막기 위한 안전장치를 강화했다”고 전했다.

줌에 대한 평가는 악화일로다. 1월2일 68.72달러이던 줌의 주가는 코로나19 팬더믹 이후 160달러까지 폭등했다. 하지만 이후 발생한 ‘줌 폭격(Zoom-Bombing)’ 등의 보안 문제에 발목이 잡혔다. 미 연방수사국(FBI)은 잇따른 줌 폭격에 주의를 당부했다.

미국 뉴욕시 교육청 등 미국 미국 내 교육기관에서는 ‘줌 금지령’이 내려지고 있는 상황이다. 일론 머스크 테슬라 최고경영자(CEO)는 자사 스페이스X 전 직원의 줌 사용을 금지했다. 미국항공우주국(NASA)도 같은 조치를 취했다.

줌 회원정보를 무단으로 페이스북에 전송하는 등 개인정보 유출 논란도 발생했다. 페이스북 계정을 가지지 않은 줌 회원의 정보도 페이스북에 전송됐다. 미국 캘리포니아주에서는 이에 대한 소송이 진행 중이다. 여기에 이번 중국 서버 경유 논란까지 더해졌다.

4월9일 온라인 개학의 실시간 쌍방향 수업 도구로 줌을 주목하고 있던 교육 당국에서도 비상이 걸렸다. 다수 학교가 ‘EBS 온라인 클래스’ 등을 채택했지만 화상회의 툴을 이용한 실시간 쌍방향 수업을 고려 중인 학교도 적지 않다.

보안업계 관계자는 “줌 폭격 이슈로 줌의 보안 문제가 드러난 상황에서 공공교육에 줌을 이용하는 것은 바람직하지 않다”며 “교사 자율에 맡길 것이 아니라 정부가 나서서 줌 사용 금지나 자제를 주문해야 한다”고 말했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널