[디지털데일리 이종현기자] 줌비디오커뮤니케이션의 화상회의 솔루션 ‘줌(Zoom)’은 외부인이 회의방에 난입해 부적절한 행위를 하는 ‘줌 폭격(Zoom Bombing)’과 암호화 성능이 떨어지는 AES-128 방식을 채용하는 등의 보안 문제로 홍역을 치렀다.

연이은 보안 문제로 승승장구하던 성장에도 제동이 걸리는 듯했다.

미국 나스닥에 상장한 줌의 주가는 3월27일 151.7달러 이후 4월7일 113.75달러로 급락했다. 하지만 약 한달뒤인 4월23일 기준 169.09달러로 역대 최고가를 갱신하며 반등에 성공했다.

줌이 각종 이슈에 대해 빨리 대응한 것이 일단 주식 시장에선 긍정적으로 평가된 듯하다. 줌은 부족한 보안 기능을 강화하기 위한 ‘90일 보안 계획’을 발표했다. 줌은 기존 개발 일정을 모두 취소하고 보안 강화에 총력을 다하겠다는 방침이다. 지난 23일에는 다수 문제를 개선한 ‘줌 5.0’을 선보이기도 했다.

하지만 사후조치가 훌륭하더라도 이미 발생한 문제가 해결된 것은 아니다. 특히 ‘정보유출’의 경우 개인정보보호법 위반 소지가 있는 만큼 사후조치와는 별개의 책임지는 자세가 필요하다는 지적이다.

줌 iOS 버전이 페이스북 로그인 관련 소프트웨어 개발 키트(SDK)를 사용하며 줌 이용자의 데이터가 페이스북에 수집된 바 있다. 페이스북을 이용하지 않는 이들의 정보도 페이스북에 수집됐다. 3월25일 뒤늦게 해당 사실을 인지한 줌은 3월27일 해당 기능을 제거했으나 이미 수집된 줌 iOS 이용자의 정보에 대한 문제가 남았다.

페이스북 SDK를 통해 수집된 데이터는 ▲응용프로그램 번들 식별자 ▲애플리케이션 인스턴스 ID ▲응용프로그램 버전 ▲iOS 광고주 ID ▲iOS 기기 CPU 코어 ▲사용 가능한 iOS 기기 디스크 공간 ▲남은 iOS 기기 디스크 공간 ▲iOS 기기 모델 ▲iOS 언어 ▲iOS 시간대 ▲iOS 버전 ▲iOS 기기 디스플레이 크기 등이다.

회의 정보나 계정 아이디, 연락처 등의 민감정보는 포함돼 있지 않은 만큼 심각한 수준의 개인정보침해로 볼 순 없다는 시각도 있다. 하지만 민감도를 떠나 고객의 정보를 동의 없이 유출한 듯한 모양새가 된 것에는 책임을 져야 한다는 비판이 주를 이룬다.

특히 유럽 일반개인정보보호법(GDPR)은 광고 식별자(IDFA 또는 Google Advertising Identifier)를 개인정보로 분류하고 있다. 페이스북 SDK가 수집한 ‘iOS 광고주 ID’는 애플의 광고 식별자 IDFA다. 개인정보보호에 민감한 선진국에서 논란이 될 소지가 있다.

국내법에서는 광고 식별자를 개인정보로 분류할 것인지에 대한 명확한 안내가 없다. 법학계의 의견도 다소 나뉜다. 하지만 현행법상 광고 식별자도 개인정보로 분류해야 한다는 의견이 주를 이뤘다.

이는 8월5일 시행되는 데이터3법(개인정보보호법·신용정보법·정보통신망법)이 시행되더라도 변치 않는다는 것이 법학계의 시각이다. 법학계 관계자는 “데이터3법이 유럽 GDPR을 바탕으로 제작된 만큼 같은 기준을 적용할 수 있다”고 말했다.

정보주체의 동의 없는 개인정보의 수집·거래는 위법이다. 광고 식별자를 개인정보로 취급할 경우 줌 iOS 버전의 정보유출 문제는 국내에서도 문제시될 수 있다.

줌 정보유출은 부주의한 페이스북 SDK 사용 때문이다. 사용자에게 정보수집을 고지하고 허가를 받아야 하지만 줌은 iOS 버전 이용자에게 별도의 고지를 하거나 허가를 받지 않았다.

이에 대해 페이스북 관계자는 “페이스북 SDK를 이용하는 앱 개발자들은 사용자에게 광고 타게팅을 위한 정보 수집 및 사용을 고지하고 허가를 받아야 한다”며 “현재까지 줌 외에 페이스북 SDK를 사용하는 앱 개발자들이 해당 내용을 명확히 고지하지 않은 사례는 보고된 바가 없다”고 말했다.

현재 줌의 정보유출이 어느 정도 규모로 이뤄졌는지는 확인된 바가 없다. 줌 iOS 버전 이용자 중 페이스북에 수집된 이용자의 수와 이중 한국인의 수에 대한 자료를 요청했으나 줌 측은 답을 내놓지 않았다.

<이종현 기자>bell@ddaily.co.kr