지난 4월, 종단간 암호화라는 표현을 잘못 써왔다고 밝혀
공개키 암호화 기술 통해 서버 개입 없는 종단간 암호화 구축
[보안뉴스 이상우 기자] 코로나19 확산으로 원격근무를 도입하는 기업이 늘고, 이에 따라 화상회의에 관한 수요 역시 증가했다. 앱 시장조사 기업 와이즈앱에 따르면 지난 1월 안드로이드 스마트폰에서 화상회의 앱 줌 사용자는 1만 여명 정도였으나 올해 9월에는 707만 명으로 크게 늘었다.
[이미지=구글플레이 화면 캡처]
이처럼 줌 사용자가 크게 늘어나는 반면, 줌과 관련한 보안사고는 계속됐다. 흔히 ‘줌 바밍(Zoom bombing)’이라고 부르는 회의 방해는 물론, 줌 사용자 계정과 비밀번호를 다크웹에서 거래하는 모습도 발견됐다. 회의 내용에 대한 암호화 역시 도마에 올랐다. 줌은 과거에도 종단간 암호화(End to End Encryption, E2EE)를 지원한다고 소개한 바 있으나 올해 초 자사의 블로그를 통해 용어를 잘못 사용해 왔다고 밝히기도 했다.
종단간 암호화란 메시지를 보내는 순간부터 상대방이 받을 때까지 암호화한 상태로 전송하며, 이를 복호화할 수 있는 키를 서버가 아닌 최종 사용자 단말기에 보관하는 방식을 말한다. 따라서 데이터를 중간에 가로채더라도 암호화된 상태이기 때문에 메시지를 받는 상대방이 아니라면 내용을 알아볼 수 없다.
하지만 줌의 경우 최종 사용자 사이의 암호화가 아닌 사용자와 서버 사이에 전송되는 데이터만 암호화했으며, 복호화 키가 서버에 보관돼 있기 때문에 마음만 먹는다면 줌이 사용자의 회의 내용을 직접 확인하는 것도 가능했다는 의미다.
이러한 논란을 잠재우려는지, 줌은 현지시간으로 10월 14일 열린 자사의 ‘줌토피아 2020’ 컨퍼런스를 통해 ‘E2EE 테크니컬프리뷰’를 적용한다고 밝혔다. ‘진짜’ 종단간 암호화를 도입하겠다고 발표한지 5개월이나 지난 시점이지만, 개선을 위한 노력은 진행하고 있는 셈이다.
[이미지=줌 비디오 커뮤니케이션]
줌의 E2EE는 이전과 마찬가지로 GCM 암호화 기술을 사용하지만, 키가 작동하는 위치를 변경했다고 밝혔다. 일반 회의의 경우, 줌 서버에서 키를 생성하고 앱을 통해 회의에 참석자에게 키를 알려주는 방식을 사용해왔다.
이와 달리 새롭게 적용하는 줌 E2EE의 경우, 회의 개설자단에서 키를 생성해 암호화하고, 회의 참가자는 이 키를 개설자에게 전달받아 메시지를 복호화한다. 줌은 공개키 기반 암호화 방식을 통해 이를 구현했으며, 이 과정에 줌 서버는 개입하지 않기 때문에 키를 확인할 수 없다고 설명했다. 쉽게 말해 회의에 쓸 1회용 공인인증서를 생성하고 이를 통해 인증된 사용자만 회의 내용을 알 수 있다는 의미다.
줌 비디오 커뮤니케이션 에릭 위안 CEO는 “이번 발표는 암호 키에 대한 접근성을 차단하는 종단간 암호화로, 줌 회의를 보호한다는 우리 비전의 첫 걸음이다. 우리가 도입한 기술은 기존의 다른 종단간 암호화 메시지 플랫폼과 동일한 수준의 보안을 제공할 수 있게 됐으며, 여기에 더해 고품질 화상 기술과 확장성을 제공이라는 우리의 장점까지 더했다”고 말했다.
줌은 코로나19의 확산과 함께 단기간에 폭발적으로 성장한 스타트업이다. 이에 초기에 구상한 사업 규모를 훨씬 뛰어넘는 사용자가 몰리게 됐고, 결과적으로는 중국 데이터센터 경유, 제로데이 취약점 발견, 사용자 정보 유출, 종단간 암호화 부재 등 다양한 문제가 제기된 바 있다. 보안이라는 측면에서 줌이 겪어온 각종 이슈와 이에 따른 대응은 스타트업도 사용자의 민감한 데이터를 다룰 경우 이를 보호하기 위해 더욱 많은 노력을 기울여야 한다는 점을 시사하고 있다.
[이상우 기자(boan@boannews.com)]
공개키 암호화 기술 통해 서버 개입 없는 종단간 암호화 구축
[보안뉴스 이상우 기자] 코로나19 확산으로 원격근무를 도입하는 기업이 늘고, 이에 따라 화상회의에 관한 수요 역시 증가했다. 앱 시장조사 기업 와이즈앱에 따르면 지난 1월 안드로이드 스마트폰에서 화상회의 앱 줌 사용자는 1만 여명 정도였으나 올해 9월에는 707만 명으로 크게 늘었다.
[이미지=구글플레이 화면 캡처]
이처럼 줌 사용자가 크게 늘어나는 반면, 줌과 관련한 보안사고는 계속됐다. 흔히 ‘줌 바밍(Zoom bombing)’이라고 부르는 회의 방해는 물론, 줌 사용자 계정과 비밀번호를 다크웹에서 거래하는 모습도 발견됐다. 회의 내용에 대한 암호화 역시 도마에 올랐다. 줌은 과거에도 종단간 암호화(End to End Encryption, E2EE)를 지원한다고 소개한 바 있으나 올해 초 자사의 블로그를 통해 용어를 잘못 사용해 왔다고 밝히기도 했다.
종단간 암호화란 메시지를 보내는 순간부터 상대방이 받을 때까지 암호화한 상태로 전송하며, 이를 복호화할 수 있는 키를 서버가 아닌 최종 사용자 단말기에 보관하는 방식을 말한다. 따라서 데이터를 중간에 가로채더라도 암호화된 상태이기 때문에 메시지를 받는 상대방이 아니라면 내용을 알아볼 수 없다.
하지만 줌의 경우 최종 사용자 사이의 암호화가 아닌 사용자와 서버 사이에 전송되는 데이터만 암호화했으며, 복호화 키가 서버에 보관돼 있기 때문에 마음만 먹는다면 줌이 사용자의 회의 내용을 직접 확인하는 것도 가능했다는 의미다.
이러한 논란을 잠재우려는지, 줌은 현지시간으로 10월 14일 열린 자사의 ‘줌토피아 2020’ 컨퍼런스를 통해 ‘E2EE 테크니컬프리뷰’를 적용한다고 밝혔다. ‘진짜’ 종단간 암호화를 도입하겠다고 발표한지 5개월이나 지난 시점이지만, 개선을 위한 노력은 진행하고 있는 셈이다.
[이미지=줌 비디오 커뮤니케이션]
줌의 E2EE는 이전과 마찬가지로 GCM 암호화 기술을 사용하지만, 키가 작동하는 위치를 변경했다고 밝혔다. 일반 회의의 경우, 줌 서버에서 키를 생성하고 앱을 통해 회의에 참석자에게 키를 알려주는 방식을 사용해왔다.
이와 달리 새롭게 적용하는 줌 E2EE의 경우, 회의 개설자단에서 키를 생성해 암호화하고, 회의 참가자는 이 키를 개설자에게 전달받아 메시지를 복호화한다. 줌은 공개키 기반 암호화 방식을 통해 이를 구현했으며, 이 과정에 줌 서버는 개입하지 않기 때문에 키를 확인할 수 없다고 설명했다. 쉽게 말해 회의에 쓸 1회용 공인인증서를 생성하고 이를 통해 인증된 사용자만 회의 내용을 알 수 있다는 의미다.
줌 비디오 커뮤니케이션 에릭 위안 CEO는 “이번 발표는 암호 키에 대한 접근성을 차단하는 종단간 암호화로, 줌 회의를 보호한다는 우리 비전의 첫 걸음이다. 우리가 도입한 기술은 기존의 다른 종단간 암호화 메시지 플랫폼과 동일한 수준의 보안을 제공할 수 있게 됐으며, 여기에 더해 고품질 화상 기술과 확장성을 제공이라는 우리의 장점까지 더했다”고 말했다.
줌은 코로나19의 확산과 함께 단기간에 폭발적으로 성장한 스타트업이다. 이에 초기에 구상한 사업 규모를 훨씬 뛰어넘는 사용자가 몰리게 됐고, 결과적으로는 중국 데이터센터 경유, 제로데이 취약점 발견, 사용자 정보 유출, 종단간 암호화 부재 등 다양한 문제가 제기된 바 있다. 보안이라는 측면에서 줌이 겪어온 각종 이슈와 이에 따른 대응은 스타트업도 사용자의 민감한 데이터를 다룰 경우 이를 보호하기 위해 더욱 많은 노력을 기울여야 한다는 점을 시사하고 있다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
