클럽하우스 대화 유출? 더 큰 문제는 개발자들의 역설계 행위

2021-02-23 18:36
  • 카카오톡
  • url
주말 동안 클럽하우스 대화가 유출됐다. 한 사용자가 로그인 정보를 흘려 여러 사람이 한꺼번에 로그인 해서 벌어진 일이었다. 일종의 해프닝이었다. 더 큰 문제는 클럽하우스를 여러 플랫폼에서 사용하기 위해 개발자들이 역설계를 쉽게 해낸다는 것이다. 이건 해프닝으로 끝나지 않을 수 있다.

[보안뉴스 문가용 기자] 지난 주 음성 기반 인기 소셜미디어인 클럽하우스의 개발진들은 “사용자가 클럽하우스 내에서 생성된 음성 데이터를 훔칠 수 없다”고 약속했었다. 그런데 바로 그 주말, 한 해커가 클럽하우스 내 여러 채팅 방에서 추출한 음성 데이터를 스트리밍함으로써 클럽하우스가 허술함이 드러났다.


[이미지 = utoimage]

이 사건은 블룸버그를 비롯해 여러 외신들에 보도되었다. 클럽하우스 측은 해당 사용자를 영구 차단하는 것은 물론 추가 조치를 취해 비슷한 일이 추가로 발생하는 일이 없도록 했다고 언론 인터뷰를 통해 밝혔다. 그럼에도 클럽하우스 이용자들에게 적잖은 불안감을 안긴 건 사실이다.

하지만 이 사건에 대하여 인터넷2.0(Internet 2.0)의 공동 창립자인 로버트 포터(Robert Potter)는 “해킹 사건이 아니”라고 주장했다. 그는 트위터(https://twitter.com/rpotter_9/status/1363624679563358208)를 통해 “한 사용자가 오픈소스 플랫폼을 통해 자신의 계정을 여러 사람이 사용할 수 있도록 유도하고, 다양한 사람들이 한 계정으로 로그인해 진행한 이야기를 녹음하고 전파했을 뿐”이라고 설명했다.

그의 설명에 의하면 “클럽하우스라는 시스템을 기술적으로 해킹한 것이 아니라, 자기 자신의 계정을 스스로 해킹한 것”이라고 이 사건은 정리되어야 한다. 다만 이러한 방법이 널리 공유될 경우, 사용자들이 스스로가 비밀 방에서 사적 대화를 나누고 있다고 착각하게 만듦으로써 함정에 빠트리거나 민감한 정보를 탈취할 수 있다고 그는 경고했다.

클럽하우스와 관련된 또 다른 위험 가능성이 제기되기도 했다. IT 전문 외신인 테크크런치(TechCrunch)에 의하면 클럽하우스가 iOS 전용 앱이라는 점 때문에 많은 사용자들이 불만을 가지고 있고, 이 때문에 개발자들이 클럽하우스가 윈도와 안드로이드 환경에서도 작동할 수 있도록 앞 다투어 리버스 엔지니어링을 하고 있다고 한다. 그러면서 ‘오픈 클럽하우스(Open Clubhouse)’라는 플랫폼마저 탄생했다.

테크크런치는 진짜 문제가 클럽하우스를 역설계에 너무 취약하다는 것이라고 지적한다. 이러한 노력들이 악의적인 것은 아니지만 “앱의 보안이 완벽하지 않다는 것을 적나라하게 드러내는 행위들”이라는 것이다. 클럽하우스 측은 이런 노력들을 ‘차단’으로 무마시키고 있다. 오픈 클럽하우스는 서비스 개시 5일 만에 차단됐다. 하지만 비슷한 플랫폼 개발의 가능성이 원천 차단된 것은 아니라고 한다.

일각에서는 역설계라는 행위 자체에는 아무런 문제가 없다는 주장이 나오고 있기도 하다. 역설계를 하는 의도가 문제지, 개발자나 보안 연구자 모두 역설계를 통해 탐구하고 궁금증을 해결한다는 것이다. 오픈 클럽하우스의 경우 개발자인 AiX의 의도는 클럽하우스를 보다 많은 사람들이 사용할 수 있도록 하는 것이었고, 클럽하우스 측은 이것이 규정 위반이라고 보고 서비스를 중단시켰다.

보안도 보안이지만 클럽하우스는 아직 사용자 프라이버시 문제에 대해 이렇다 할 해결책이나 대안을 제시하지 못하고 있다. 보안 전문가들은 클럽하우스가 사용자의 대화 내용과 각종 개인정보, 인터넷 브라우징 내역 등의 민감한 정보를 가져간다는 점을 지적하며 이것이 GDPR 등 프라이버시 규정 위반이라고 지적해왔다. 클럽하우스는 정보를 가져간다는 것을 약관에 명시해 놓긴 했지만 그 정보를 왜 가져가며, 어디에 사용하는지는 하나도 설명하지 않고 있다.

또한 클럽하우스의 데이터 처리를 위해 중국에 있는 서버를 활용한다는 의혹이 제기되기도 했다. 이 때문에 클럽하우스에서 생성되고 입력되는 정보들은 전부 중국 정부의 손에 넘어간다는 주장이 나오기도 했었다. 이 의혹은 아직 말끔히 해명되지 않은 상태다.

3줄 요약
1. 주말 동안 누군가 클럽하우스 음성 채팅 내용을 스트리밍 서비스 함.
2. 알고 보니 누군가 많은 사람들의 동시다발적 로그인을 유도한 것으로 기술적 해킹은 아니었음.
3. 진짜 문제는 개발자들이 역설계를 통해 윈도용과 안드로이드용 클럽하우스를 만들고 있다는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기