[디지털데일리 이종현기자] 미국·대만·독일·호주·싱가포르 등에서 보안 문제를 지적받은 화상회의 솔루션 ‘줌(Zoom)’ 사용을 금지했다.

‘줌 폭격(Zoom Bombing)’으로 불리는 보안 허점을 노린 회의방 테러와 연달아 발생한 보안 이슈 때문이다.

◆보안 취약점 드러낸 줌=미국 정보기술(IT) 전문매체 더 버지(The Verge)는 “줌 통화에는 무작위로 생성된 9~11자리 접속용 번호(아이디)가 있는데, 이 번호는 추측하기 쉽고 무작위 대입 공격으로 회의방에 접속할 수 있다”고 지적했다. 줌 폭격이 이어지는 원인이다.

또 줌은 공식 문건을 통해 자사 솔루션에 ‘AES-256’ 암호화를 사용한다고 주장해왔으나 실제로는 이보다 암호화 기능이 떨어지는 ‘AES-128’ 방식을 사용한 것으로 드러났다. 캐나다 토론토대학의 시티즌랩에 따르면 해당 방식은 암호화 기능이 떨어져 사용하지 않는 방식이다.

미국 실리콘밸리에 본사를 두고 나스닥에 상장한 미국 기업인 줌비디오커뮤니케이션이 중국의 영향을 받는 것 아니냐는 의혹도 제기됐다. 줌의 설립자 에릭 위안은 중국 산둥성 출신의 개발자다. 실리콘밸리로 진출해 현지 화교가 설립한 화상회의 업체 웹엑스를 거쳐 줌을 창업했다. 미국 증권거래위원회 자료에 따르면 줌은 중국 내 직원 700명을 두고 있는 자회사 3개를 운영 중이다.

음모론에 지나지 않을 해당 내용이 이슈가 된 것은 줌의 화상회의 데이터가 중국 북경의 서버를 경유했다는 시티즌랩의 지적이 있고서다. 회의 참여자나 기업이 중국에 있지 않았음에도 일부 데이터가 중국 서버를 경유했다. 줌 폭격과 AES-128의 부실한 암호화 기능이 문제시되는 가운데 발생한 일이라 논란이 커졌다.

특히 중국은 ‘국가정보법’, ‘반간첩법’, ‘반테러법’ 등을 통해 정부가 기업에 데이터를 넘겨받을 수 있도록 제도화돼 있다. 중국 정부가 요구하면 기업이 거부하더라도 데이터를 볼 수 있다. 이는 ‘화웨이 백도어’ 논란에서도 지적된 문제점이다.

개인정보보호 논란도 있다. 미국 IT 매체 마더보드는 줌 iOS 버전이 프로그램에 포함된 페이스북 로그인 관련 소프트웨어 개발 키트(SDK)를 통해 페이스북에 회원정보를 보냈다고 보도했다. 페이스북 계정이 없는 줌 회원 정보도 페이스북에 넘어갔다. 마더보드는 해당 보도 후 줌이 페이스북에 데이터를 전송한 코드를 삭제했다고 주장했다. 미국 캘리포니아주에서는 줌의 개인정보 유출로 소송이 진행 중이다.

◆세계 곳곳에서 진행 중인 ‘줌 아웃’=먼저 조치에 나선 것은 미국이다. 미국 뉴욕시 교육당국은 학교에서의 줌 사용을 금지했다. 뉴욕시 내 1800개 학교, 학생 110만명이 그 대상이다. 이같은 조치는 뉴욕시를 시작으로 미국 전역으로 확산 중이다. 네바다주와 로스앤젤레스 등에서도 줌 사용을 금지했다. 미국 상원의원들도 줌 사용을 중단할 것을 당부받았다.

줌 사용 금지는 일부 공공기관·기업에서도 적용됐다. 미국 항공우주국(NASA)은 전 직원을 대상으로 줌 사용을 금지했다. 일론 머스크 테슬라 최고경영자(CEO)가 설립한 우주기업 스페이스X도 줌 사용을 금지했다.

독일 외무부도 줌의 사용을 제한했다. 내부 장비로 줌 사용을 전면 금지하고 개인적인 장비로만 줌을 사용하되 특정 등급 이상의 내부 정보를 논의할 때는 줌 사용을 막았다.

대만에서는 정부 차원에서 공공기관의 줌 사용이 금지됐다. 싱가포르 교육부의 경우 온라인 수업 중 발생한 줌 폭격 문제로 줌 사용을 금지했었으나 최근 교사들의 줌 계정을 정부에서 관리할 수 있는 권한을 부여하며 줌 사용이 다시 허가됐다.

15일 로이터에 따르면 스탠다드차타드는 글로벌 은행 중 최초로 직원에게 줌 사용을 금지했다. 호주 국방부도 줌이 아닌 다른 화상회의 솔루션 사용을 권장하는 등 세계 곳곳에서 ‘줌 아웃’이 진행되는 중이다.

◆한국은 온라인 개학 현장에서는 줌 이용··· 사용 금지 계획 없어=한국은 온라인 개학을 위한 실시간 쌍방향 수업 도구로 줌이 소개되며 문제가 불거졌다.

온라인 개학 이후 대부분 ‘인강’ 형태의 EBS온라인클래스, e학습터와 위두랑 등으로 집중됐으나 일부 학교에서는 실시간 쌍방향 수업을 채택했다. 조회 등을 목적으로 인강 형태의 수업과 병행해서 사용하기도 한다. 다수 학교는 실시간 쌍방향 수업 도구로 줌을 채택했다. 업계에서는 교육부가 줌 이용을 부추겼다고 지적한다.

앞서 3월25일 유은혜 부총리 겸 교육부 장관은 온라인 개학을 위해 시·도 교육감과 화상회의를 하며 줌을 사용했다. 온라인 개학이 불가피할 경우를 대비해 사용할 수 있는 소프트웨어(SW)로 줌을 소개했다. 이어서 6일 진행된 ‘원격교육 선도 교원 온라인 임명식’에도 줌을 사용했다. 이후 교육계 행사에서 줌을 이용하는 모습이 다수 공개되며 교육부가 나서서 줌 사용을 독려하는 듯한 태도를 취했다는 것이다.

업계에서는 “왜 교육부가 나서서 문제시되는 솔루션 사용을 장려하느냐”는 비판이 나오는 중이다. 줌은 대체 불가능한 솔루션이 아니다. 줌 사용을 금지한 국가·기업은 마이크로소프트(MS) ‘팀즈’나 시스코의 ‘웹엑스’ 등 다른 솔루션 사용을 권장하고 나섰다. 외국계 SW가 아니더라도 네이버의 ‘라인웍스’나 알서포트의 ‘리모트미팅’, 구루미 ‘온라인 오피스’ 등 국내 SW도 다수 있다.

이어 4월1일 과학기술정보통신부(이하 과기정통부)는 교육부와 함께 온라인 개학을 준비하며 국내 SW 기업의 솔루션 활용 확산을 위해 함께 노력할 것이라고 전했다.

당시 최기영 과기정통부 장관은 “국내 원격교육 SW 기업이 성장하는 계기가 될 수 있도록 적극 노력할 것”이라고 말했다. 국산 원격 SW 활성화를 위해 제품 정보를 쉽게 파악할 수 있는 웹페이지도 신설했다.

업계 관계자는 “과기정통부 장관이 직접 현장의 목소릴 듣는 등 관심을 갖는 현안이라 국내 원격 SW 저변 확대에 대한 기대가 컸다”며 “하지만 뚜껑을 열어 보니 공수표였다. 교육부는 여전히 교육 관계자와의 중요 행사에서 줌을 사용하는 중”이라고 주장했다. 이어 그는 “차라리 MS나 시스코처럼 문제가 드러나지 않은 SW면 모를까, 지속해서 논란이 되는 SW에 밀렸다는 게 쓰라리다”며 “공공에서조차 국산 SW를 쓰지 않는데 어떻게 경쟁력을 높일 수 있을까. 공공교육에서 외산 SW를 접한 세대가 성장하면 더더욱 국산 SW는 입지를 잃을 것”이라고 지적했다.

◆교육부 “줌 SW 밀어주기 의혹은 억측, 특정 SW 강제할 수 없어” = 그러나 교육부는 이러한 국산 SW업계의 주장이 전혀 근거가 없다고 반박하고 있다.

교육부 원격교육 담당 관계자는 17일 <디지털데일리>와의 통화에서 “특정 제품이나 외산 SW를 밀어주려는 의도는 일절 없다. (온라인 개학을) 급하게 준비하는 과정에서 여러 플랫폼을 소개하며 함께 줌을 소개한 것이 전부”라며 “어쩌다 보니 교육부에서 줌을 많이 사용하는 것처럼 비춰졌으나 최근 원격수업을 위해 신설된 ‘1만 커뮤니티’ 회의는 구루미의 솔루션을 활용하는 등 중립성을 지키고 있다”고 강조했다.

또 다른 교육부 관계자도 “교육부 입장상 특정 SW를 사용하라, 말라 할 수 없다. 보안이 우려되는 SW가 있다면 해당 보안 문제를 해결하기 위한 지침이나 가이드라인을 권고하는 정도”라며 “줌은 최근 패치를 통해 다수 문제점을 개선한 것으로 안다. 일정 버전 이상의 제품 사용이나 유의해야할 점 등의 가이드라인을 만든 상황”이라고 말했다.

한편 위협 첩보 전문 업체인 인트사이츠(IntSights)는 줌의 계정 및 패스워드 조합 2300개 이상이 포함된 데이터베이스가 다크웹에 공개됐다고 경고했다. 일부 기록에는 미팅 ID, 이름 및 호스트 키 등이 포함됐다. 또 다른 업체 식스길(Sixgill) 또한 다크웹 포럼에서 해킹된 줌 계정 352개를 발견했다고 밝힌 바 있다.

코로나19로 전 세계적으로 화상회의 플랫폼 사용이 급증하는 만큼 이에 대한 사이버범죄자의 공격도 급증하는 추세다. 이용자들의 주의가 필요하다.

<이종현 기자>bell@ddaily.co.kr