팬데믹 속 폭발적 인기‘줌’… 보안 취약성 심각

수개월 새 사용자 1천만에서 2억으로 급증

접근용이성 위해 철저한 보안설계 등한시

개인정보 보호 관련 입장도 분명치 않아

모바일 기기 통한 사용이 PC보다 더 안전

 

코로나 팬데믹으로 집에서 일하기 시작한 이후 나는 화상회의 앱인 줌(Zoom)에서 이뤄지고 있는 무수한 모임들에 초대를 받았다. 가상 해피아워, 일과 관련한 회의 그리고 저녁모임 등등이다. 그러나 나는 초대에 응하지 않았다. 내 머리가 난처할 정도로 길게 자랐기 때문만이 아니라 나는 줌과 관련해 근본적인 문제를 갖고 있기 때문이다.

왜 줌이 팬데믹 속에서 이처럼 인기를 끌고 있는지 이해한다는 것을 먼저 말하고 싶다. 이 기업은 앱을 무료용으로 개발했으며 사용하기가 아주 쉽다. 테크 용어로 우리는 이것을 ‘매끈하다’고 부른다. 테크놀러지에 관한 지식이 전혀 없는 친구들과 친척들도 단지 링크를 클릭해 회합에 참여할 수 있다. 그리고는 스크린 위의 친숙한 얼굴들을 보며 이런저런 얘기로 시간을 보낼 수 있다.

 

집 밖의 사람들을 절실하게 보고파 하는 최소한 2억 명이 지금 줌을 사용하고 있다. 수개월 전 이 숫자는 1,000만 명이었다. 우리들 대부분은 줌을 무료로 사용한다. 줌이 유료 상품도 갖고 있지만 말이다. 우리들 대부분에게 줌은 친구 혹은 친지들을 보면서 대화할 수 있는 생명선이다.

하지만 지난해 나는 이 앱에 대해 우려하게 됐다. 줌은 사생활 보호와 관련한 다수의 문제점들을 드러냈다. 너무 자주 문제가 발생해 이것은 두더지잡기의 한 게임이 되기도 했다. 그 가운데는 악성웨어가 줌에 침입해 우리의 웹 카메라를 하이재킹할 수 있도록 허용해주는 취약성도 포함돼 있다.

기본적인 보안이슈는 ‘줌 폭격’(Zoombombing)으로 정점에 이르렀다. 트롤이 사람들의 비디오 회의에 침투해 포르노 같은 부적절한 소재들로 폭격을 가하는 것이다. 최근 자신의 블로그에서 줌의 최고경영자인 에릭 유안은 자신들의 실수에 대해 사과하고 앞으로 사생활 보호와 보안 이슈를 시정하는 데 초점을 맞추겠다고 밝혔으며 이후 또 한 차례 이 같은 방침을 확인했다.

만약 이것과 관련해 어떤 기시감을 느꼈다면 당신은 틀리지 않았다. 우리는 이런 상황을 반복해 경험한다. 데이터 보안과 사생활 보호보다 사용하기 쉽다는 편리함에 초점을 맞추기 때문이다. 우리는 얼마 전 귀에 꽂히는 이름의 도어벨 카메라인 링(Ring)을 통해 이것을 경험했다. 아마존이 소유한 링은 소포 절도범죄가 급증하는 상황에서 인기를 끌었다. 하지만 이어지는 소비자들의 호평에도 불구하고 링은 잇단 사생활 보호 스캔들에 휘말렸다. 그 가운데는 한 해커가 수많은 가정들의 카메라를 하이재킹한 사례도 있었다.

이런 교훈은 배우고 또 배워야 한다. 업체가 우리 사생활을 보호하지 못할 경우 계속 그 제품을 사용해서는 안 된다. 그리고 다른 이들에게 작동을 잘하고 사용하기 쉽다는 이유로 사용을 권유해서도 안 된다. 사생활은 한번 잃으면 되찾아오기 힘들다. 디지털 권리 보호 비영리 단체인 일렉트로닉 프론티어 재단의 정책분석가인 매튜 과리글리아는 “회전문이 존재한다. 당신이 어떤 업체에 데이터를 주면 누가 거기에 접근할 수 있는지 알 길이 없다. 왜냐하면 이런 일들은 업체의 비밀이라는 블랙박스 속에서 일어나기 때문”이라고 말했다.

사생활 보호와 보안 문제를 시정할 책임은 분명히 우리가 아닌 줌에 있다. 그러나 우리는 상황을 받아들이길 거부함으로써 줌에 압력을 가할 수 있다. 만약 줌을 사용하고 있다면 주의를 기울이면서 그리고 강력한 보안 세팅을 한 다음 그렇게 하길 바란다.

 

■줌의 사생활 보호 및 보안 이슈들

우선 왜 줌이 현재의 지금 현미경 아래 놓이게 됐는지 좀 더 자세히 살펴보자. 이 이슈는 두 가지 핵심적인 문제로 귀결된다. 사생활 보호 방침과 보안 설계이다.

▲줌의 사생활 보호 방침

줌은 최근 사생활 보호 방침을 좀 더 분명하고 투명하게 수정했다고 밝혔다. 이를 통해 줌은 그 누구의 어떤 개인정보도 판매한 적이 없으며 그럴 계획도 없다고 강조했다. 하지만 이런 방침은 제3자와 정보를 공유하는지에 대해 밝히지 않고 있다. 애플과 시스코 같은 기업들은 이를 명시적으로 밝히고 있다. 이것은 주목할 만한 누락이다. 테크 기업들은 다른 업체들에 직접적으로 팔지 않고도 사용자 데이터로 돈을 벌 수 있다. MIT 슬론 경영대학원이 발표한 연구조사에 따르면 인사이트를 찾아내기 위해 정보를 마이닝 하는 업체들과 정보를 공유함으로써 그렇게 할 수 있다는 것이다.

어떤 경우에는 데이터 수집 도구들이 3자에게 ‘렌트되기도’ 한다. 이런 관행은 당신 정보가 ‘판매되지’ 않았다는 것을 기술적으로는 사실로 만들어 주지만 업체는 여전히 당신 데이터로 돈을 벌고 있다. 줌의 글로벌 리스크 및 규정준수 책임자인 린 할랜드는 줌은 돈과 맞바꾸려 사용자 데이터를 익명화하거나 총합하지 않으며 렌트해 주지도 않는다고 주장했다.

그렇다면 왜 관련 방침에 이를 명시하고 있지 않은가? 할랜드는 “우리는 데이터를 어떻게 다루는지 분명히 하려고 노력하고 있다. 간혹 당신 데이터를 가지고 하지 않는 일들을 열거할 때 하나가 빠지면 사람들은 ‘당신은 그 짓을 하고 있는 게 분명하다’고 말한다”며 억울하다는 입장을 보였다.

▲줌의 보안 설계 결점들

줌은 지난 수주 사이 드러난 보안 허점들을 메우려 맹렬히 노력해 왔지만 윈도우스와 맥 컴퓨터를 위한 줌의 제품은 설계상 취약성을 갖고 있다. 이것은 대체적으로 줌이 앱을 애플의 공식적인 맥 앱스토어나 마이크로소프트 윈도우스 앱 스토어를 통해 제공하지 않기로 한데서 비롯된다. 대신 소비자들은 이것을 웹에서 직접 내려 받는다. 이런 방식으로 줌의 소프트웨어는 이른바 샌드박스 환경에 놓이는 것을 피했다. 하지만 그럼으로써 애플과 마이크로소프트의 운영체계에의 접근은 제한을 받고 있다.

그 결과 줌은 운영체계들과 그들의 웬 브라우저들에 보다 더 깊숙한 곳으로 접근할 수 있게 됐으며 이것은 줌의 가입을 손쉽게 만들어주는 중요 요인이 됐다. 앱을 설치하는 보다 더 안전한 방법을 피하는 결정을 함으로써 줌은 더 취약한 보안 설계를 선택했다고 앱 보안 전문가인 사이넌 이렌은 지적했다. “줌은 설치과정을 더 쉽고 간편하게 만들기를 원한다. 그러면서 동시에 이들은 더 많은 것을 모으기 위해 운영체계에 더 깊숙이 들어가길 원하고 있다”며 “이것은 우리들을 잠재적 취약성에 노출시킨다”고 설명했다. 줌은 보안 설계와 관련한 논평을 거부했다.

 

■위험을 각오하고 줌을 사용하라

그렇다면 무엇을 해야 하나? 지금 같은 어려운 시기에 더 나은 대안을 별로 없다. 다음은 명심해야할 몇 가지 조치들이다.

▲조심해서 줌을 사용하라

일반적으로 줌은 맥이나 윈도우스 PC보다는 모바일 기기를 통해 사용하는 게 더 안전하다. 모바일 앱들은 당신 데이터에 대한 접근이 제한된 한층 더 규제된 환경에서 운영된다. 게다가 앱 스토어나 플레이 스토어를 통해 제공된 앱들은 애플과 구글에 의해 보안 취약성 검사 같은 리뷰를 받는다. 또 줌의 회합 줌 폭격을 통해 원치 않는 게스트가 침입하는 것을 막기 위한 회합 비밀번호 같은 보안 설정을 꼭 작동시켜야 한다. 마지막으로 다른 이들에게 데이터 보안이 취약한 제품을 사용하라고 말하는 게 무엇을 뜻하는 것인지 명심해야 한다. 업무상 비밀들이 오가는 회합처럼 민감한 경우에는 사용을 피하는 게 좋다.

▲사생활 보호가 걱정된다면 대안을 찾아보라

구글의 행아우츠와 시스코의 웨벡스, 애플 기기들을 위한 페이스타임 같은 보다 평판이 좋은 업체들의 비디오 채팅 도구들이 있다. 줌처럼 사용이 간편하지는 않겠지만 잘 작동하고 걱정도 덜 수 있다. 다인 사생활을 제대로 보호해주지 못한다면 제품이 훌륭하다는 것만으로는 충분치 않다. 많으 이들이 이미 교훈을 얻은 것으로 보이며 그에 따라 움직이고 있다. 일론 머스크의 로켓기업인 스페이스X는 직원들에게 줌 사용을 금지했으며 뉴욕 교육구도 최근 온라인 수업을 위한 줌 사용을 금지시켰다. 

<By Brian X. Chen>