퀸즈랜드 한 초등학교는 화상 수업을 위해 사용한 플랫폼 “줌”이 해킹을 당해 음란 외설물이 퍼트려져 큰 충격에 휩싸였다.
퀸즈랜드 맥카이의 임마누엘 카톨릭 초등학교의 5학년 학생들은 COVID-19 제한으로 인해 학교 출석을 대신하여 가정에서 학습할 때에 Zoom을 사용했는데 온라인 화상 수업에 초대받지 않은 손님이 Zoom 수업에 참석한 후, 학생들은 두 번의 음란한 영상을 공유하고 경악을 금치 못했다. 퀸즐랜드 경찰은 사이버 공격을 조사하고 있으며, 교사들은 즉시 수업을 종료했으나 학생들은 충격으로 상담을 받고 있다. 호주의 eSafety Commissioner Julie Inman Grant는 7뉴스와의 인터뷰에서 이번 해킹은“줌 폭탄”의 한 예라고 말하면서 사용자의 동의없이 공유한 “너무나 음란한 이 영상은 포로노 폭탄 테러”라고 말했다. 또한 Zoom은 “플랫폼에 개인정보망이 안전하게 구축되어 있지 않다”고 했다. 인만 그랜트는“우리는 이러한 일이 모든 곳에서 계속 일어날 수 있다는 점을 염두에 두고 보안 설정을 최대한 높은 수준으로 유지하려고 노력해야 한다”고 말했다.
Zoom은 이 사건에 대응하여 최근 비밀번호 보호 강화 및 학교 대기실의 가상 대기실 기본 설정 등 보안 조치를 업데이트 하겠다고 밝혔으나 줌 사용의 위험성은 여전하다.
‘줌(Zoom)’ 화상회의, 보안상 절대 안전하지 않아
줌이란 무엇인가?
줌(Zoom Video Communications)은 중국에서 태어나 미국으로 이주한, 중국과 미국 국적자인 에릭 유안이 설립한 회사이다. 에릭 유안은 시스코에 인수된 WebEx(웹엑스) 출신으로 인수 후 엔지니어링 부사장까지 올랐다. 이후 2011년 줌을 창업하고 나스닥 상장까지 이끌었다.
줌은 클라우드 기반 화상회의 솔루션으로서 기업용 메세징 시장의 강자인 슬랙(Slack)과 함께 무료와 유료 서비스를 잘 매칭하여 시장을 선점하고 있다.
전세계 많은 기업들이 온라인 화상회의를 할 경우 대부분 줌을 사용한다. 그 만큼 상당히 보편화 되어 있고 각 국에서 교육시장에서의 활용 역시 기업들만큼 보편화 되었다.
평균 하루에 천만명정도가 사용하는데 코로나 확산으로 하루 사용자수가 2억명까지 늘었다고 하니 코로나 특수라는 말이 과장은 아니다.
[줌 솔루션의 개발을 담당하는 중국법인, 약 700여명이 일하고 있다]
줌 폭탄(Zoom Bombind)과 줌 트롤링(Zoom Trolling)
줌의 보안상 취약점은 기본적으로 링크가 담겨 있는 초대장을 직접 전달해 접속하는 방식에서 기인한다. 초대장을 자세히 보면 화상 미팅 참여는 초대장의 링크주소(붉은색 상자)만 클릭하면 바로 회의 참여가 가능한 구조다. 당연히 해당 링크만 있으면 악의적인 목적을 가진 제 3자가 회의에 입장하여 엿보는 것이 전혀 어렵지 않은 구조다. 이러한 방식은 2020년 3월 중순까지 계속되었다. 줌 화상회의 경우 화상 카메라가 필수가 아니고 음성으로만 참여 하는 것도 가능하고 일반 전화로도 별도 인증없이 참여가 가능하여 늘 보안위험성을 가지고 있었다.
줌 폭탄(Zoom Bombing)은 취약 구조를 이용하여 화상회의 도중 제 3자가 들어와 정치적 메세지에 해당하는 나치 문양이나 인종차별 메시지를 보내고 음란물 사진이나 영상을 투척하는 등의 행위를 하는 것을 지칭한다. 동일한 의미로 줌 트롤링(Zoom Trolling)이라고도 한다. 초대장에 적힌 고유 접속번호(링크)만 알면 줌 폭탄은 누구나 쉽게 할 수 있다.
2020년 3월 중순까지는 화상 회의 초대장은 비밀번호가 없는 단문형식 링크주소였다. 링크주소만 있으면 누구나 들어갈 수 있었다. 해당 보안 문제가 불거진 이후 초대장은 다음과 같이 비번과 함께 바뀌었지만 여전히 취약하다. 한번 초대장이 유출되면 모든 화상 대화 내용이 유출된 것이나 마찬가지다. 이중안전장치가 없는 것이다.
줌 iOS 앱은 페이스북에 줌의 개인 정보 및 사용 정보를 광고 서비스 목적으로 페이스북에 전송하였으며 사전에 사용자에게 고지가 없었다. 창업자 에릭 유안과 줌은 공식적으로 사과하고 수정하였지만 개인정보를 언제든 마케팅에 사용할 수 있는다는 우려가 적지 않다.
공교육에 활용해도 될까?
공교육시장에서의 문제 역시 기업이 도입할 경우 불거질 문제 만큼 심각하다. 특히 교육시장의 특성상 금전적 이해관계보다는 줌폭탄이나 줌트롤링으로 인한 사고가 더 우려스럽다. 해외서비스의 특성상 링크주소와 평문인 비번만 알면 접근이 가능하기 때문에 악의를 가지고 있는 제 3자가 온라인 교육 중에 난입하여 정치적인 혹은 성인 관련 컨텐츠를 무차별적으로 노출시킬 수 있다.
줌에서는 온라인 화상 교육전에 참여자를 확인하는 대기방(Waiting Room)을 사용할 것을 권고하고 있으나(선생님이 미리 참여자를 확인하고 불법 침입자를 걸러내라는 것이다) 근본적인 문제 해결이 될 수 없다.
구글 행아웃, 시스코 웹엑스, MS 팀즈 등이 대안이 될 수 있으나 모두 해외 서비스들이다. 어차피 해외 클라우드 서비스들이 추천되고 있는 이상 다른 대안에 대한 논의를 빠르게 시작해야 한다. 적어도 줌을 교육부가 적극적으로 권고할 필요는 없어 보이며, 오히려 조심시켜야 한다. 줌을 대신할 대안책이 속히 논의되고 만들어져야 한다.
“해킹 우려” 세계 각국 ‘줌’ 금지령
화상회의 플랫폼 줌(Zoom)에 대해 세계 각국이 ‘금지령’을 내리고 있다. 해킹 우려에다 데이터가 중국 정부 손에 넘어갈 수 있다는 사실이 알려지며 ‘차이나 리스크’가 부각됐기 때문이다.
블룸버그에 따르면 대만 정부는 공공기관의 줌 사용을 전면 금지했다. 대신 구글과 마이크로소프트(MS) 등의 플랫폼 사용을 권고했다. 독일 외교부는 직원들에게 줌을 개인용 장비로만 사용할 것을 권고했다.
앞서 미국도 뉴욕시를 비롯해 네바다주와 로스앤젤레스(LA) 학교에서 보안 문제를 이유로 줌 사용을 금지했다. 영국 국방부도 줌 사용을 금지했으며, 싱가포르, 인도도 해킹을 당하자 사용중단을 결정했다.
7뉴스 / 뉴스톱(http://www.newstof.com/news/articleView.html?idxno=10619)
