업계 1위 줌(ZOOM)의 망신살 “보안 문제없다”더니···
줌, 홍보해온 것보다 낮은 수준의 데이터 암호화로 소비자 기만해와
동의 없이 설치되는 ‘줌오프너’ 개인정보보호 해쳐···美와 합의안 마련
미국의 공정거래기구인 연방통상위원회(FTC)가 화상회의 플랫폼 줌(ZOOM)의 개인정보 침해를 지적한 후, 지난 9일 양 측이 합의안을 발표했다.
줌은 신종 코로나바이러스 감염증(코로나19)으로 인해 재택근무 및 화상강의 등에 이용되면서 사용자가 지난해 12월 1000만명에서 올해 4월 3억명으로 급증했다. 줌은 이용자의 이름, 이메일 주소, 대략적인 위치, 신용카드 번호, 참석자의 ID, 줌 클라우드에 저장된 채팅·메시지·파일·녹음된 미팅 등 수많은 정보를 수집한다. 여기에서 이용자의 개인 정보 보안에 대한 우려가 제기돼왔다.
# 홍보 내용보다 낮은 수준의 암호화 제공
줌은 그간 '종단간 AES 256비트 암호화'를 제공한다고 광고해왔다. 종단간 암호화는 수신자와 발신자만이 대화 내용을 읽을 수 있도록 통신을 보호하는 방법으로, 가장 강력한 암호화 수준 중 하나이다. 그러나 실제 줌은 최종 사용자 간의 데이터 암호화인 종단간 암호화가 아닌, 사용자와 서버 간 전송되는 데이터만 암호화했다. 이런 사실이 드러나자 FTC는 줌 측에 소비자 정보를 보호하기 위한 보완책 마련을 촉구했다.
줌은 유료 고객에게 미팅 후 기록된 내용을 보안 클라우드에 저장할 수 있는 옵션도 제공했다. 그러나 FTC에 따르면, 일부 미팅 내용은 줌의 보안 클라우드에 전송되기 전 최대 60일까지 서버에 암호화되지 않은 채로 보관됐다. 더불어 줌 측은 클라우드에 전송된 미팅 내용은 당사자 외에는 해독되지 않는다고 밝혔지만, 실제로는 줌 측이 사용자의 미팅 내용에 접근할 수 있는 암호 키를 보유해 접근 가능했다는 사실이 밝혀졌다.
# 애플 맥 OS에 자동으로 설치되는 ‘줌오프너’
애플 맥(Mac) 사용자에게 제공되는 ‘줌오프너(ZoomOpener)’ 소프트웨어가 개인 정보 보호를 해칠 수 있다는 우려도 제기됐다. 줌오프너는 사용자에게 적절한 통지나 동의 없이 설치돼 공정위 법을 위반했다.
애플은 악성코드 방어를 위해 웹사이트나 링크에서 외부 앱을 실행하려 할 때 대화 상자를 띄운다. 따라서 줌 미팅 초대 링크를 받았다면, 대화상자를 통해 줌 앱을 열고 미팅에 참여하겠다고 클릭해야 한다.
하지만 줌 측은 줌오프너 소프트웨어를 맥 OS에서 자동으로 작동시켜 애플의 사파리 브라우저에서 악성코드를 차단하기 위한 안전장치를 우회할 수 있도록 했다. 이에 애플은 지난해 7월 자동 업데이트를 통해 줌오프너 웹 서버를 사용자 컴퓨터에서 삭제했다.
그러나 이용자가 링크만 클릭하면 아무나 허가 없이 줌으로 웹캠을 통해 이용자를 감시하거나 악성코드를 컴퓨터에 설치할 수 있어 우려가 제기됐다. 또 사용자가 줌 앱을 삭제하더라도 줌오프너 소프트웨어는 그대로 남아 있고 사용자의 허가 없이 줌 앱이 다시 설치될 수 있다.
# 제3자가 줌 보안기능 평가…허위 광고 금지 명령까지
FTC는 줌이 보안에 관한 약속을 준수하고, 향후 소비자의 정보를 보호하기 위한 종합적인 프로그램을 시행하도록 요구했다. 합의안에는 사생활 보호 및 허위 광고 금지 등에 관한 구체적인 시행 요건이 담겼다.
이 합의안에 따라 줌 측은 △잠재적인 내·외부 보안 위험을 매년 평가해 문서화 △사용자에게 취약성 관리 프로그램을 제공 △네트워크에 대한 무단 액세스로부터 이용자 보호를 위한 ‘다단계 인증’ 배포 △데이터 삭제를 제공 △타사 보안 기능 방해 금지를 준수해야 한다. 더불어 독립된 제3자가 2년 주기로 줌의 보안을 평가하고 데이터 침해 시 FTC에 통보해야 한다.
앤드루 스미스 FTC 소비자보호국장은 “코로나19로 가족, 학교, 사회단체, 기업 등 사실상 모든 사람들이 화상회의를 사용해 의사소통을 하고 있어 이런 플랫폼의 보안이 그 어느 때보다 중요해지고 있다”고 말했다.
한편 줌 대변인은 성명을 통해 사용자들의 보안이 최우선 사항이며 FTC와의 협의안을 통해 제품을 혁신·개선해 안전한 플랫폼을 제공하겠다고 밝혔다.
출처 : 여성경제신문(http://www.womaneconomy.kr)