본문 바로가기
업계동향, 뉴스

‘줌’ 보안취약점 확인…정부 차원 대책 마련 시급

by UCGlobal UCGlobal 2020. 12. 22.

국내외 화상회의앱 점유율 1위
종단간 암호화 미지원·中정부 암호키 제출

서버단에서 정보 열람 가능성 존재 정부, 위험성 홍보·보안지침 마련해야

 

화상회의앱 점유율 1위를 차지하고 있는 ‘줌(ZOOM)’에 대한 보안 이슈 제기에 따라 정부 차원에서 공공·민간 보안주의보를 발효해야 한다는 주장이 나왔다.

중국인이 창업해 미국에 본사를 둔 화상회의 플랫폼 기업인 ‘줌’은 코로나19로 인한 비대면 문화 확산에 따른 가장 많은 수혜를 받은 기업으로 평가받는다.

모바일 앱 분석 서비스 와이즈앱에 따르면 지난달 국내 안드로이드 이용자 3800만여명 중 줌을 1번 이상 이용한 사람은 707만명으로 화상회의 앱 가운데 1위를 차지했다. 이는 코로나19 영향권에 있었던 3월 이용자수(187만명)보다도 4배 늘어난 수치다.

2위는 구글의 ‘미트’가 차지했고 103만명이 이용한 것으로 확인됐다. 3위는 ‘스카이프’, 4위는 ‘웹엑스’ 순이었다.

글로벌 시장에서도 줌은 점유율 1위를 차지하고 있다. 지난 2분기(4~6월) 세계 전체 앱 다운로드 순위 1위는 ‘틱톡’이 차지했으며, 2위가 ‘줌’이었다. 월평균 이용자수는 1억4840만명으로 지난해 2분기보다 47배 늘어난 것으로 나타났다.

 

김영식 국민의힘 의원은 11일 중국 정부에 의한 정보 유출 우려가 잠식되지 않은 상황이기 때문에, 줌의 민간사용의 자제에 정부가 주도적으로 나서야 한다고 밝혔다.

김영식의원실이 국가보안기술연구소를 통해 입수한 ‘줌 보안 취약점 현황 분석’에 따르면, 줌은 전송 계층 프로토콜인 TCP와 UDP를 연결한다.

TCP 연결은 전송 계층 보안(TLS)을 사용하고, UDP 연결은 영상, 음성 등의 실시간 데이터 전송에 사용되고, TLS 연결을 통해 키를 사용하여 미국 표준 알고리즘(AES)을 통해 암호화한다.

TLS 암호화는 이용자 종단간(E2E) 암호화가 아닌 이용자와 서버 사이의 암호화를 의미한다.

 

이 경우 서비스 제공자인 줌은 서버에서 미디어 스트림의 내용을 볼 수 있으며, 별도 서버를 구축하지 않고 퍼블릭 클라우드를 이용할 경우 서버에 저장하고 있는 데이터 보안은 더 심각해질 수 있다.

종단간 암호화는 실시간 다수 이용자와 키 분배 이슈 등으로 인해 낮아지는 성능 개선을 위해서는 고도의 기술이 필요하기 때문에 대다수의 플랫폼이 제공하지 못하고 있는 문제다.

또한 줌은 아마존웹서비스(AWS)의 퍼블릭 클라우드를 이용하고, AWS는 세계 각 지역에 데이터 센터를 두고 분산 처리하고 있다.AWS는 네트워크의 부하에 따라 세계지역의 서버에 복제돼 접근 가능하며, 중국 아마존 AWS와도 연결돼 있다.

심지어는 중국에 참가자가 없는 경우에도 중국의 서버로 데이터가 가는 경우도 발생하고 있다.

캐나다의 비영리 개인정보 및 보안 연구기관인 시티즌랩(CitizenLab)의 발표에 따르면, 암호화를 위한 인증키가 중국 지사에서 관리하는 서버에 저장된다.

중국에 위치하는 데이터 센터는 중국 당국에 암호키를 공개할 법적 의무가 있어 중국 정부가 필요 시 줌 사용자 데이터에 직접 접근할 수 있다. 2017년부터 시행중인 사이버보안법에 의거, 중국 내 모든 서버는 중국 당국이 요구시 모든 정보를 제출해야 한다. 이에 따라 화상회의와 관련된 모든 내용이 유출될 가능성이 존재하는 것이다.

이에 국가정보원은 정부와 공공기관에 대한 영상회의 관련 보안 가이드라인을 통해 줌을 포함한 보안성이 확인되지 않은 상용 화상회의 프로그램의 사용을 제한하고 있다.

김영식 의원은 반면, 민간영역의 보안정책을 담당하는 과기정통부와 한국인터넷진흥원은 줌의 보안 문제를 인식하고 있음에도 별도의 대책을 마련하고 있지 않는 것으로 확인됐다며, “기업의 핵심기술과 영업기밀 등이 중국으로 유출될 우려가 높은 만큼, 중국 눈치보기는 그만두고 당장 민간 부분의 줌 사용주의보를 발령해야 한다”고 밝혔다.

 

이와 함께 김 의원은 “중국산 프로그램과 플랫폼은 틱톡 등에서 정보유출 문제가 발생한 사례가 있고, 중국이 생산하는 통신장비와 IP캠 등에 대해서도 문제 지적이 계속되고 있는 만큼, 중국산 소프트웨어와 통신장비에 대해서도 보안성 확인이 완료될 때까지 민간 사용의 자제가 필요하다”라고 덧붙였다.

 지난 7일 과학기술정보방송통신위원회 국정감사에서는 정부 차원의 영상회의 플랫폼 보안 지침 마련에 대한 주문이 나오기도 했다.

이 자리에서 황보승희 국민의힘 의원은 “영상회의 플랫폼은 비대면 시대 효자 노릇을 하고 있지만 해킹으로 제3자에 실시간으로 정보가 제공될 수 있는 문제가 있다”고 지적했다.

현재 공공기관의 경우 온-나라 PC영상회의시스템’을 기본으로 사용하는 것이 원칙이나, 일선에서는 외부 회의 등에서 필요한 경우 줌과 같은 민간 플랫폼도 이용하는 형편이다.

그는 “한국과학기술정보연구원이 최근 구글의 미트로 연구성과를 발표했다”며 “해킹됐을 경우 국가 기술 유출로도 이어질 수 있다”고 지적했다.

황보 의원은 “국정원의 가이드라인만으로 해킹을 막기에는 역부족”이라며 “정부부처에 영상회의 플랫폼 사용에 대해 과기정통부 차원의 지침을 만들고 민간에도 위험성 홍보 및 실태파악이 필요하다”고 강조했다.



출처 : 정보통신신문(http://www.koit.co.kr)

댓글0