Home > 전체기사
코로나19로 뜬 화상회의 솔루션 ‘줌’, 암호화 키를 중국에 전송
  |  입력 : 2020-04-05 23:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코로나 사태로 갑자기 떠오른 앱 개발 회사...자회사 세 곳이 전부 중국에 있어
사용자들의 비밀 메시지를 회사는 열람 가능...게다가 비밀 키는 중국으로 전송 중


[보안뉴스 문가용 기자] 화상회의 플랫폼인 줌(Zoom)에서 최근 새로운 사실이 발견됐다. 회의 세션과 메시지 등을 암호화하고 복호화하는 데 사용되는 암호화 키가 중국에 있는 서버로 전송된다는 것이다. 회의에 참석한 사람들 중 중국에 있는 사람이 한 사람도 없더라도 이런 일이 벌어지고 있는 것으로 드러났다.

[이미지 = iclickart]


코로나19 사태 이후 가장 인기가 치솟은 앱인 줌은, 이 인기 때문에 여러 가지 특수를 누리고 있지만 동시에 공격자들과 보안 업계의 뜨거운 관심도 받고 있다. 줌 개발사 역시 이런 상황에 맞게 사이버 보안 및 프라이버시 정책을 바꿨으며 취약점들에 대한 패치도 진행하고 있다.

또한 줌은 ‘종단간 암호화’를 지원한다고 하는데, 줌이 말하는 종단간 암호화와 보안 업계에서 말하는 것과는 차이가 있음을 줌 측이 얼마 전 인정했다. 보통 ‘종단간 암호화’라고 하면 메시지를 보내는 사람과 받는 사람 외에는 그 누구도 메시지를 볼 수 없는 기술을 말한다. 서비스나 플랫폼을 개발하고 제공하는 회사도 메시지를 보지 못하는 게 바로 종단간 암호화다.

하지만 줌의 경우, 회의 참석자들과 줌 서버 간 통신들만을 암호화한다는 의미로 ‘종단간 암호화’라는 용어를 쓰고 있었다. 즉, 사용자들이 메시지를 암호화하더라도 줌은 복호화된 내용을 열람할 수 있게 된다는 것이다. 줌은 사용자들의 회의 세션 사용 현황을 전부 모니터링 할 수 있다는 뜻인데, 줌 측은 “라이브 회의 세션을 중간에서 가로채거나 복호화 할 메커니즘 자체를 보유하고 있지 않다”고 주장하고 있다.

이러한 점 때문에 줌의 프라이버시 침해 가능성이 논란이 되고 있는 가운데 토론토대학의 시티즌랩(Citizen Lab)이 최근 분석을 통해 “암호화/복호화 키가 중국 북경에 있는 한 서버로 전송되고 있다”는 사실을 발견한 것이다. 시티즌랩 측은 보고서를 통해 “이는 줌이 중국 정부에 키 정보를 반드시 제공해야만 한다는 법 시스템을 생각했을 때 상당히 우려스러운 일”이라고 설명했다. 중국은 자국 기업이 정부의 요청에 반드시 응하도록 법이 마련되어 있다.

또한, 시티즌랩은 줌의 암호화가 AES-128 키를 통해 이뤄지는 것으로 밝히기도 했다. 줌은 공식 문건을 통해 AES-256으로 암호화를 한다고 주장하고 있는데, 이것이 거짓말로 드러난 것이다. 게다가 이 AES 키가 ECB 모드에서 사용되는데, 이 방식은 데이터 패턴을 제대로 숨기지 못하는 것으로 알려져 있고, 어지간하면 사용하지 않는 것이 권장사항인 경우가 보통이다.

시티즌랩은 “줌은 미국에 근거지를 둔 기업인 것처럼 보이나, 줌 소프트웨어 개발을 한 자회사 세 개는 중국 회사”라고 주장하기도 했다. “줌이 미국 증권거래위원회에 제출한 서류를 보면 중국 자회사 세 군데를 통해 약 700명으로 구성된 연구팀을 운영하고 있다는 것을 알 수 있습니다. 또한, 줌의 수익 81%는 북미 시장에서부터 만들어진다는 것도 유추가 가능합니다. 중국에 연구진을 둠으로써 인건비를 절약하는 전략이라고도 볼 수 있는데, 이 때문에 ‘중국 정부가 개입할 가능성’이라는 리스크를 떠안게 되었습니다.”

시티즌랩의 연구 보고서는 여기(https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/)서 열람이 가능하다.

3줄 요약
1. 줌, 종단간 암호화에 대한 개념도 정확히 이해하지 못하는 회사.
2. 게다가 암호화 키가 전부 중국에 있는 한 서버로 전송되고 있음.
3. 알고 보니 자회사 세 개가 중국에 있음. 대부분 기술 연구진.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)