영상회의 서비스를 제공하는 ‘줌(Zoom)’이 연일 보안 논란에 휩싸였다. 줌에서 쓰이는 암호화 키가 줌의 설명과 다르며 보안성이 떨어진다는 주장이 제기됐다. 해당 암호키가 중국 서버를 경유하면서 중국 정부 접근 가능성도 배제할 수 없다는 지적이다. 이에 은 지적 받은 당일 "중국 외 타 국가 사용자 데이터를 보조 백업하는 중국 현지 데이터센터 작업을 중단했다"는 개선책을 내놨다.

시티즌랩은 미국과 캐나다 줌 사용자 간 영상회의 결과 암호키가 중국 서버를 경유한다는 사실을 찾아냈다. / 시티즌랩 제공
시티즌랩은 미국과 캐나다 줌 사용자 간 영상회의 결과 암호키가 중국 서버를 경유한다는 사실을 찾아냈다. / 시티즌랩 제공
6일 캐나다 토론토대학교 연구소인 시티즌랩(Citizen Lab)에 따르면 줌은 음성·영상 데이터 전송시 산업 표준 프로토콜 대신 자체 전송 프로토콜을 사용한다. 해당 프로토콜은 전송시 각 데이터를 단일 암호키(AES-128)로 암호화한다. 이는 기존에 줌이 사용한다고 밝힌 ‘AES-256’ 암호키와 다른 것으로 보안에 취약한 것으로 나타났다.

시티즌랩은 AES-128 암호키가 중국 현지 데이터센터에 있는 키 서버를 경유한다는 사실도 밝혔다. 시티즌랩은 "미국과 캐나다에 있는 사용자 두 명의 줌 영상회의 테스트를 진행한 결과 암호키가 중국 북경에 위치한 줌 서버를 경유하는 사실을 확인했다"고 강조했다.

시티즌랩은 "줌이 중국 당국에 암호키를 공개할 법적 의무를 지닐 수 있다"며 "중국 정부가 줌 사용자 데이터에 접근할 수 있다"고 우려했다. 이어 "보안 상 우려로 각국 정부 기관과 사이버 범죄와 연관한 산업, 환자의 민감 정보를 다루는 의료 기관, 변호사나 기자 등 민감한 주제를 다루는 직업군이 줌을 사용해서는 안된다"고 조언했다.

줌은 중국 현지 데이터센터 사용을 인정했다. 다만 2월 사용자가 급증해 이를 해결하기 위해 데이터센터를 추가하는 과정에서 발생한 실수라고 해명했다.

에릭 위안 줌 CEO는 "평소 줌 클라이언트는 동일 지역 또는 가까운 데이터센터를 연결하며 망 혼잡 등 불가피한 경우는 보조 데이터센터 리스트를 준비해 대비한다"며 "중국 밖에 있는 유저가 중국 본토 서비스를 경유하지 않도록 설계했지만 급증하는 수요에 대응하면서 실수로 중국 현지 데이터센터가 연결됐다"고 설명했다.

줌은 대응책으로 중국 현지 데이터센터 사용을 중단한다고 밝혔다. 또 "줌 직원을 포함한 외부인이 데이터에 무단으로 접근하는 것을 방지하고자 사이버보안 장치도 마련하겠다"며 "플랫폼 보안 강화를 위해 노력하겠다"고 덧붙였다.

김평화 기자 peaceit@chousnbiz.com

키워드