'줌(Zoom)' 화상회의, 보안상 안전하지 않다

줌이란 무엇인가

줌(Zoom Video Communications)은 중국에서 태어나 미국으로 이주한, 중국과 미국 국적자인 에릭 유안이 설립한 회사이다. 에릭 유안은 시스코에 인수된 WebEx(웹엑스) 출신으로 인수 후 엔지니어링 부사장까지 올랐다. 이후 2011년 줌을 창업하고 나스닥 상장까지 이끌었다.
줌은 클라우드 기반 화상회의 솔루션으로서 기업용 메세징 시장의 강자인 슬랙(Slack)과 함께 무료와 유료 서비스를 잘 매칭하여 시장을 선점하고 있다. 

국내기업들 역시 외국 기업들과 온라인 화상회의를 할 경우 대부분 줌을 사용한다. 필자 역시 외국 클라이언트들과의 온라인 회의가 잡히면 늘 외국 클라이언트들의 줌 미팅 초대를 받았다. 그 만큼 상당히 보편화 되어 있고 해외에서는 교육시장에서의 활용 역시 기업들 만큼 보편화 되었다. 

평균 하루에 천만명정도가 사용하는데 코로나 확산으로 하루 사용자수가 2억명까지 늘었다고 하니 코로나 특수라는 말이 과장은 아니다.

WEB CONFERENCING 시장에서 1위인 줌">

줌 폭탄(Zoom Bombind)과 줌 트롤링(Zoom Trolling)

줌의 보안상 취약점은 기본적으로 링크가 담겨 있는 초대장을 직접 전달해 접속하는 방식에서 기인한다.  초대장을 자세히 보면 화상 미팅 참여는 초대장의 링크주소(붉은색 상자)만 클릭하면 바로 회의 참여가 가능한 구조다. 당연히 해당 링크만 있으면 악의적인 목적을 가진 제 3자가 회의에 입장하여 엿보는 것이 전혀 어렵지 않은 구조다. 이러한 방식은 2020년 3월 중순까지 계속되었다. 줌 화상회의 경우 화상 카메라가 필수가 아니고 음성으로만 참여 하는 것도 가능하고 일반 전화로도 별도 인증없이 참여가 가능하여 늘 보안위험성을 가지고 있었다.

줌 폭탄(Zoom Bombing)은 취약 구조를 이용하여 화상회의 도중 제 3자가 들어와 정치적 메세지에 해당하는 나치 문양이나 인종차별 메시지를 보내고 음란물 사진이나 영상을 투척하는 등의 행위를 하는 것을 지칭한다. 동일한 의미로 줌 트롤링(Zoom Trolling)이라고도 한다. 초대장에 적힌 고유 접속번호(링크)만 알면 줌 폭탄은 누구나 쉽게 할 수 있다. 

영상을 보면 화상회의 중 누군가 들어와 9.11 테러 영상을 틀거나, 손가락 욕을 하는 등 줌 폭탄 사례를 확인할 수 있다. 해당 교육은 취소됐다. 

중국에 서버 둔 줌, 보안에 취약한 이유

평문으로 전달되는 회의 ID(링크)만 알면 누구나 접속 가능한 줌의 취약성은 FBI가 이미 경고한 바 있다. 2020년 3월 말 메사추세스주 한 고등학교에서 줌을 활용한 원격강의 때 줌 폭탄이 일어난 후 FBI는 추가적으로 줌을 통한 회의 내용이 유출될 수 있음을 경고했다. 통신상 영상과 음성 데이터의 암호화가 적용되지 않고 있다는 말이다.

설상가상으로 캐나다의 보안업체인 시티즌랩은 미국 나스닥 상장사인 줌의 실질적인 개발은 줌의 중국법인에서 이루어지고 있으며 그들이 주장하는 그들 나름대로의 보안 통신을 위한 암호화 키 관리 서버 역시 중국에 있음을 밝혔다. 설상가상으로 화상회의 내용중 일부가 중국에 있는 서버를 경유하는 것으로 알려저 창업자 에릭 유안의 국적과 함께 더욱 '차이나리스크'를 고조시키고 있다. 

지금까지 알려진 줌의 문제점과 취약성은 총 14개이며. 이중에서 가장 취약한 점을 분석하면 다음 4가지 이다.

① 종단간 암호화 (End-to-End Encryption) 문제

줌은 공식적으로 종단간(End-to-End) 암호화를 지원한다고 한다. 하지만 이것은 사기에 가깝다. 줌은 크게 2가지 방식으로 서비스를 제공하고 있다. 무료로 100명까지 40분 동안 사용할 도 있는 대중(퍼블릭) 클라우드 버전과 사용자 관리를 제외한 미팅 데이터(음성, 영상, 텍스트)를 사용자가 서버에 직접 보관할 수 있는 일종의 개인(프라이빗) 클라우드(On-Premise 혹은 하이브리드 클라우드) 유료 버전이다.

공교육 시장에서는 주로 무료이거나 저렴한 퍼블릭 클라우드 버전을 많이 활용한다. 다음은 줌의 퍼블릭 클라우드에 대한 줌의 공식자료이다.

과거 화상회의 솔루션들은 서버의 부하를 줄이고자 대부분의 통신을 P2P(Peer to Peer) 방식으로 처리하여 서비스 공급자의 서버로는 미팅 데이터(화상, 음성, 텍스트)가 경유 되지 않았다. 이러한 방식은 소규모 화상회의나 온라인 교육관련 솔루션에서는 아직도 많이 사용한다.

지금은 PC뿐만이 아니고 스마트폰으로도 연결할 수 있도록 하고 다수가 참여해도 회의 품질을 유지하기 위하여 모든 데이터를 서버에서 처리하여 대역폭 관리를 최종 사용자의 단말기와 통신 사정에 따라 최적화 할 수 있는 퍼블릭 클라우드기반으로 하는 것이 추세다. 이 경우 데이터 보안문제에 신경써야 한다. 

퍼블릭 클라우드 서비스에서 보안은 회사의 존폐를 좌지우지 할 수 있을 정도로 중요한 문제다. 줌은 공식적으로 종단간 암호화를 지원하고 있다고 표명했다. 공식 자료에도 암호화를 뜻하는 자물쇠 아이콘을 사용하고 있다. 정말 암호화가 이뤄지고 있을까.

필자는 줌을 직접 사용하며 네트워크 패킷 필터링을 통해 직접 통신 과정을 들여다 보았다. 일반적으로 영상/음성 전송과 같이 속도가 중요한 스트리밍 서비스에 주로 사용하는 인터넷 통신 프로토콜을 TCP/IP대비 UDP(User Datagram Protocol)라 한다.

UDP 특성상  TCP보다 연결 속도가 빠르고 다중 연결(1:N, N:M)을 가능하게 하지만 동시에 신뢰성이 TCP에 비하여 떨어지고 비연결형 서비스이기 때문에 네트워크의 여러 경로를 지나게 된다. TCP의 경우 HTTPS, SSL을 통해 인증절차와 함께 패킷을 암호화 할 수 있으나 UDP의 경우 DNS Cache Poisoning이나 DNS Spoofing을 통해 암호화 되어 있지 않은 패킷을 가로채어 내용을 들여다 볼 수 있다.

웹브라우저를 통해 줌에 가입하고 로그인하여 화상회의를 열거나(Hosting) 화상회의에 참여하는 과정은 통신상에서 그들이 말한 종단간 암호화(End-to-End Encryption)가 되어 있다. 보통 사용자 정보와 회의 정보와 같은 메타데이터 통신은 암호화되어 있다는 것이다.

회원가입과 회의 열기 등은 모두 웹브라우저에서 가능한 기능이고 실제로 화상회의나 온라인 교육 처럼 영상과 음성 및 채팅 등은 별도의 앱이 구동된다. 문제는 이 앱이다.

그러나 실제로 화상회의 혹은 온라인 교육시 영상과 음성데이터는 일반적인 UDP로서 암호화 되어 있지 않다.

맥락데이터(User & Meeting Meta Data)는 암호화되어 있는데 정작 회의내용에 해당하는 영상과 음성(Meeting Data)은 암호화되어 있지 않다. 현실적으로도 수많은 영상 음성 회의를 클라우드상에서 암호화하여 다양한 단말기에 전송하기에는 기술적으로도 쉽지 않은 문제이다. 

이 말은 결국 미팅 데이터를 직접 보관할 수 있는 고가의 프라이빗 클라우드(On-Premise 버전) 버전을 사지 않는 한 서버를 관리하는 줌에서는 전세계의 모든 회의 데이터를 들여다 볼 수 있다는 말이 된다. 이 문제는 해외의 여러 언론과 연구기관 및 보안회사들이 경고하고 있다. 줌이 말하는 종단간 암호화는 마케팅용어에 지나지 않는다는 지적들이 많다.

② 중국 서버 경유 문제

대부분의 퍼블릭 클라우드 서비스들은 높은 서비스 품질과 가용성을 위하여 주로 아마존 AWS 를 인프라로 사용한다. 줌 역시 아마존 AWS를 사용하고 있으며 아마존 AWS의 특성상 전세계의 서버에 분산처리를 하고 있다.

예를 들면 우리나라에서 줌서비스를 이용할 때 바로 미국 아마존의 줌 메인 서비스에 접속하는 것이 아니라 국내의 아마존 서비스(아마존 한국 Region)에 복제되어 있는 서비스를 이용할 수 있다. 네트웍 부하에 따라서 싱가폴의 아마존 AWS를 사용할 수도 있고 중국의 아마존 AWS에 접근 할 수도 있다.

당연히 중국 고객들을 위한 안정적인 서비스를 위해서는 중국 아마존 AWS(아마존 중국 Region)를  이용했을 터인데 사실 이러한 방식은 전세계 글로벌 온라인 서비스 업체들은 동일한 방식으로 서비스 한다. 

문제는 회의 내용이 암호화 없이 그대로 노출 될 수 있어 차이나 리스크 관점에서 줌 서비스를 도입하기 어렵게 만들 수 있다. 특히 캐나다의 보안업체인 시티즌랩이 밝혀낸 것처럼 맥락데이터(User & Meeting Meta Data)의 암호화를 위한 인증키마저도 줌 중국 지사에서 관리하는 서버에 있다는 것이 알려지면서 과연 줌이 중국정부의 정보 공개 요구가 있을 경우 반대할 수 있겠는가라는 의문이 들 수밖에 없다.  

이러한 이유로 미군, NATO, 영국 국방부, 대만, 미국 일부지역(뉴욕, LA), 싱카폴에서는 줌사용을 금지하고 있다. 해당 문제가 불거진 이후 창업자 에릭 유안과 줌은 공식적으로 중국쪽 서버를 통신 연결에서 배제했다고 했다. 필자가 통신 패킷을 분석해봐도 중국쪽 서버 IP는 필자가 사용중에는 더이상 보이지 않았지만 아직 신뢰하기 이르다.

③ 비밀번호 없는 회의 초대장 문제

2020년 3월 중순까지는 화상 회의 초대장은 비밀번호가 없는 단문형식 링크주소였다. 링크주소만 있으면 누구나 들어갈 수 있었다. 해당 보안 문제가 불거진 이후 초대장은 다음과 같이 비번과 함께 바뀌었지만 여전히 취약하다. 한번 초대장이 유출되면 모든 화상 대화 내용이 유출된 것이나 마찬가지다. 이중안전장치가 없는 것이다.
 

④ iOS 앱 개인정보 유출문제

줌 iOS 앱은 페이스북에 줌의 개인 정보 및 사용 정보를 광고 서비스 목적으로 페이스북에 전송하였으며 사전에 사용자에게 고지가 없었다. 창업자 에릭 유안과 줌은 공식적으로 사과하고 수정하였지만 개인정보를 언제든 마케팅에 사용할 수 있는다는 우려가 적지 않다.

국내 공교육에 활용해도 될까? 

기업간  혹은 기업내 화상 회의 내용 유출은 해당 기업의 이익에 큰 영향을 미칠 수 있다. 줌 측에서는 알렉스 스타모스(Alex Stamos) 전 페이스북 안보국장을 컨설턴트로 초빙하여 해결책 모색에 나섰다. 스타모스는 지난달 트위터에 "줌 보안문제를 개선하려면 최장 30일 플랜을 구축해야 한다"고 주장한 인물이다.

줌은 스타모스 외에도 넷플릭스, 우버, NTT 데이터 출신 트래픽ㆍ해킹방지ㆍ시큐리티 전문가를 초빙해 새로운 정보보안팀을 구성할 방침이라고 밝혔다. 그러나 미 항공우주국(NASA)과 스페이스X가 정보유출 가능성을 이유로 사용금지를 발표하였으며 로이터 통신은 9일(현지시간) 구글이 전 직원을 대상으로 사내의 모든 데스크톱에서 '줌' 프로그램을 삭제할 것을 지시했다고 보도했다. 

기업들은 줌의 보안관련 기술과 정책이 좀더 강화된 이후에 사용하는 것을 권고한다. 꼭 써야한다면 줌의 프라이빗 클라우드(On-Premise) 버전을 추천하고 있다.

특히 구글의 QUICK과 같이 데이터 암호화를 위한 TLS를 적용할 수 있으면서 UDP와 같은 효율성을 가진 새로운 프로토콜을 줌이 도입하기 전에는 회의 내용이 그대로 유출될 수 있음을 인지하여야 한다. 

공교육시장에서의 문제 역시 기업이 도입할 경우 불거질 문제 만큼 심각하다. 특히 교육시장의 특성상 금전적 이해관계보다는 줌폭탄이나 줌트롤링으로 인한 사고가 더 우려스럽다. 해외서비스의 특성상 링크주소와 평문인 비번만 알면 접근이 가능하기 때문에 악의를 가지고 있는 제 3자가 온라인 교육중에 난입하여 정치적인 혹은 성인 관련 컨텐츠를 무차별적으로 노출 시킬 수 있다. 

줌에서는 온라인 화상 교육전에 참여자를 확인하는 대기방(Waiting Room)을 사용할 것을 권고하고 있으나(선생님이 미리 참여자를 확인하고 불법 침입자를 걸러내라는 것이다) 근본적인 문제 해결은 아니다. 

구글 행아웃, 시스코 웹엑스, MS 팀즈 등이 대안이 될 수 있으나 모두 해외 서비스들이다. 어차피 해외 클라우드 서비스들이 추천되고 있는 이상 다른 대안에 대한 논의를 빠르게 시작해야 한다. 적어도 줌을 교육부가 적극적으로 권고할 필요는 없어 보인다. 국내 최대 포털인 네이버나 다음카카오의 시장 진입이 아쉬울 따름이다.

정부가 줌 같은 외부 클라우드가 공공 교육시장에 접근할 수 있도록 열어준 이상 국내 클라우드 기업들이 공공시장에 쉽게 접근 할 수 있도록 길을 열어주어야 하겠다. 국내 공공 시스템이 망분리라는 미명 아래 퍼블릭 클라우드 서비스 접근 자체를 막아온 잘못된 시장논리가 지금에 와서 온라인 교육 솔루션 문제 해결을 어렵게 만들고 있는지도 모르겠다.