코로나 사태로 갑자기 떠오른 앱 개발 회사...자회사 세 곳이 전부 중국에 있어
사용자들의 비밀 메시지를 회사는 열람 가능...게다가 비밀 키는 중국으로 전송 중

[보안뉴스 문가용 기자] 화상회의 플랫폼인 줌(Zoom)에서 최근 새로운 사실이 발견됐다. 회의 세션과 메시지 등을 암호화하고 복호화하는 데 사용되는 암호화 키가 중국에 있는 서버로 전송된다는 것이다. 회의에 참석한 사람들 중 중국에 있는 사람이 한 사람도 없더라도 이런 일이 벌어지고 있는 것으로 드러났다.


[이미지 = iclickart]

코로나19 사태 이후 가장 인기가 치솟은 앱인 줌은, 이 인기 때문에 여러 가지 특수를 누리고 있지만 동시에 공격자들과 보안 업계의 뜨거운 관심도 받고 있다. 줌 개발사 역시 이런 상황에 맞게 사이버 보안 및 프라이버시 정책을 바꿨으며 취약점들에 대한 패치도 진행하고 있다.

또한 줌은 ‘종단간 암호화’를 지원한다고 하는데, 줌이 말하는 종단간 암호화와 보안 업계에서 말하는 것과는 차이가 있음을 줌 측이 얼마 전 인정했다. 보통 ‘종단간 암호화’라고 하면 메시지를 보내는 사람과 받는 사람 외에는 그 누구도 메시지를 볼 수 없는 기술을 말한다. 서비스나 플랫폼을 개발하고 제공하는 회사도 메시지를 보지 못하는 게 바로 종단간 암호화다.

하지만 줌의 경우, 회의 참석자들과 줌 서버 간 통신들만을 암호화한다는 의미로 ‘종단간 암호화’라는 용어를 쓰고 있었다. 즉, 사용자들이 메시지를 암호화하더라도 줌은 복호화된 내용을 열람할 수 있게 된다는 것이다. 줌은 사용자들의 회의 세션 사용 현황을 전부 모니터링 할 수 있다는 뜻인데, 줌 측은 “라이브 회의 세션을 중간에서 가로채거나 복호화 할 메커니즘 자체를 보유하고 있지 않다”고 주장하고 있다.

이러한 점 때문에 줌의 프라이버시 침해 가능성이 논란이 되고 있는 가운데 토론토대학의 시티즌랩(Citizen Lab)이 최근 분석을 통해 “암호화/복호화 키가 중국 북경에 있는 한 서버로 전송되고 있다”는 사실을 발견한 것이다. 시티즌랩 측은 보고서를 통해 “이는 줌이 중국 정부에 키 정보를 반드시 제공해야만 한다는 법 시스템을 생각했을 때 상당히 우려스러운 일”이라고 설명했다. 중국은 자국 기업이 정부의 요청에 반드시 응하도록 법이 마련되어 있다.

또한, 시티즌랩은 줌의 암호화가 AES-128 키를 통해 이뤄지는 것으로 밝히기도 했다. 줌은 공식 문건을 통해 AES-256으로 암호화를 한다고 주장하고 있는데, 이것이 거짓말로 드러난 것이다. 게다가 이 AES 키가 ECB 모드에서 사용되는데, 이 방식은 데이터 패턴을 제대로 숨기지 못하는 것으로 알려져 있고, 어지간하면 사용하지 않는 것이 권장사항인 경우가 보통이다.

시티즌랩은 “줌은 미국에 근거지를 둔 기업인 것처럼 보이나, 줌 소프트웨어 개발을 한 자회사 세 개는 중국 회사”라고 주장하기도 했다. “줌이 미국 증권거래위원회에 제출한 서류를 보면 중국 자회사 세 군데를 통해 약 700명으로 구성된 연구팀을 운영하고 있다는 것을 알 수 있습니다. 또한, 줌의 수익 81%는 북미 시장에서부터 만들어진다는 것도 유추가 가능합니다. 중국에 연구진을 둠으로써 인건비를 절약하는 전략이라고도 볼 수 있는데, 이 때문에 ‘중국 정부가 개입할 가능성’이라는 리스크를 떠안게 되었습니다.”

시티즌랩의 연구 보고서는 여기(https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/)서 열람이 가능하다.

3줄 요약
1. 줌, 종단간 암호화에 대한 개념도 정확히 이해하지 못하는 회사.
2. 게다가 암호화 키가 전부 중국에 있는 한 서버로 전송되고 있음.
3. 알고 보니 자회사 세 개가 중국에 있음. 대부분 기술 연구진.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>