|
◇화상회의 사용량 급증에 해커 표적…`줌 폭격`에 중국 리스크까지 부각
11일 보안 업계에 따르면 줌은 보안 관련 현재 최소 3건의 소송에 휘말렸다. 페이스북과 이용자 데이터를 공유한 사실이 드러나면서 사용자들이 개인정보 유출을 이유로 집단소송을 제기했고, 줌 주주들을 대표해 마이클 드루가 보안 우려로 주가에 큰 영향을 미쳐 손해를 입었다며 미국 캘리포니아 연방법원에 제소했다.
줌은 코로나19 확산으로 원격근무, 원격수업이 늘어나면서 지난해말 1000만명이었던 사용자가 지난 3월에는 일평균 2억명 이상으로 급증한 것으로 알려졌다. 그러나 사용자가 폭발적으로 늘어나면서 해커들의 표적이 돼 이른바 `줌 폭격(Zoom bombing)`을 당하고 말았다. 미국의 고교에서 화상회의 서비스 줌(Zoom)을 이용해 원격수업을 진행하던 중 신원을 알 수 없는 사용자가 들어와 욕설을 퍼붓거나 음란물 이미지를 올린 사건이 잇달아 발생했다. 해커들이 자동화된 도구를 통해 진행중인 영상회의를 발견하고, 해당 영상회의 방의 인터넷주소(URL)를 알아내 무단으로 참여한 것이다.
줌의 보안 문제는 영상회의에 참가하는 사용자와 사용자간의 암호화가 지원되지 않는 점에 기인한 것으로 알려졌다. 줌의 암호화는 사용자와 서버간에만 이뤄지기에 서버에서는 내용을 볼 수 있는 것이다. 반면 아이폰 등의 경우 사용자의 메시지를 거버가 전달만 해주기에 서버에서는 내용을 확인할 수가 없다.
공식 사이트가 아닌 블로그나 카페 등에서 악성코드가 심어진 줌 설치파일이 유포되는 문제도 있다. 정상적인 설치파일처럼 만들어진 프로그램 안에 악성코드를 심어 내려받도록 하는 것으로, PC에 악성코드가 깔리면 저장된 개인정보들이 탈취될 수 있고 다른 악성코드를 심기도 한다. 최근에는 사용자의 컴퓨터에 가상화폐 채굴기를 설치하는 악성코드가 담긴 줌 설치파일이 발견됐다.
줌은 일부 서버가 중국에 있는 것으로 확인되면서 정보유출 리스크가 더욱 부각됐다. 중국은 정부가 요청하는 경우 데이터를 공개해야만 한다. 또 다크웹에서 줌 계정이 거래되는 것이 확인되기도 했다.
◇보안패치 집중·전문가 선임에도 세계 각국서 `줌 금지령` 확산
줌은 잇단 보안 사고가 터지자 신기능 개발을 중단하고 보안 패치에 집중하면서 알렉스 스타모스 전 페이스북 최고보안책임자(CSO)를 선임하고, 자문위원회도 설립하는 등 대응에 나섰다. 그럼에도 미국 뉴욕 교육청과 구글 등 대기업, 독일·대만 등 정부는 줌 사용을 제한하고 있다. 세계 각국에서 `줌 금지령`이 확산되고 있지만, 국내에서는 아직 정부 차원의 사용 금지 움직임은 보이지 않고 있다. 온라인 개학이 본격화되면서 학교에서 원격수업 솔루션으로 줌이 많이 쓰일 것으로 보여 보안 우려가 높아지고 있다. 다만 지난 9~10일 원격수업 관련 한국인터넷진흥원(KISA)에 접수된 침해사고나 보안위협 탐지건은 없었다.
◇온라인 개학으로 우려↑…“비밀번호 설정 등 보안수칙 각별히 주의”
보안 업계에서는 줌 사용시 보안수칙 준수에 더욱 각별히 신경써야 한다고 당부한다. 영상회의에 개인 ID를 사용하지 말고 회의별로 ID를 따로 만들어 사용해야 한다는 조언이다. 또 대기실 기능을 사용 하거나 회의 참가용 비밀번호를 설정할 필요가 있다. 불필요한 사용자의 오디오 및 비디오 사용을 금지하고, 화면이나 파일 공유를 함부로 하지 말아야 한다. 영상회의 시작 후에는 바로 회의방을 잠그는 것이 좋다.
업계 관계자는 “강한 개인정보 및 비밀 유지가 필요한 경우에는 아예 줌을 사용하지 않는게 좋다”며 “참석 URL은 반드시 참여자만 공유하고, 공식 사이트를 통해서만 설치파일 내려받아야 한다”고 강조했다. 또 최신 보안패치를 유지하고 백신 프로그램을 반드시 사용해야 한다는 당부다.
|
