中 정부 접근 가능성에 클럽하우스 취약점 개선

입력 2021.02.14 11:44 | 수정 2021.02.14 14:13

최근 인기를 얻고 있는 음성 기반의 소셜미디어 앱 클럽하우스에서 데이터 보안 취약점이 발견됐다. 이같은 취약점으로 중국 정부가 앱에서 진행된 대화 정보를 얻을 수 있다는 논란이 일자 앱 개발사가 개선 의지를 밝혔다.

클럽하우스 앱 아이콘 / IT조선
로이터통신과 블룸버그 등 외신은 13일(이하 현지시각) 클럽하우스 앱을 개발한 알파익스플로레이션이 클럽하우스의 보안 취약점을 개선하고 있다고 보도했다. 사용자가 나눈 대화 관련 앱 데이터가 중국 서버에 전송될 수 있음을 인정하고 보완에 나섰다는 설명이다.

블룸버그는 "스탠퍼드 인터넷 천문소(SIO)가 중국에서 오디오 데이터 원본에 접근할 수 있는 잠재적 취약점을 발견하자 (알파익스플로레이션이) 데이터 보안 관행을 검토하고 있다"고 밝혔다. SIO는 스탠퍼드 대학 산하의 연구 그룹이다.

SIO는 12일 ‘중국 클럽하우스 데이터는 안전한가'라는 제목으로 보안 취약점 보고서를 게재하며 중국 정부가 클럽하우스 앱 데이터에 접근할 수 있다는 의혹을 내놨다. 중국에서 호스팅되는 서버를 통해 암호화하지 않은 앱 데이터가 전송되면서 중국 정부가 앱 대화 내용을 확인할 수 있다는 설명이다.

SIO는 "중국 상하이에 있는 소프트웨어 기업 아고라가 클럽하우스 앱에 백엔드 인프라를 공급한다는 것을 확인했다"며 "아고라가 사용자 오디오 데이터 원본에 접근해 중국 정부에 이를 제공할 수 있다"고 주장했다.

구체적으로 "클럽하우스 웹 트래픽이 아고라 운영 서버로 전달되면서 아고라 백엔드 인프라에 사용자 ID와 대화방 ID 등의 메타 데이터가 암호화 없이 문자로 전송되고 있다"며 "이 경우 사용자 네트워크 트래픽에 제3자가 접근할 수 있게 되면서 어떤 사용자끼리 대화를 나누는지 확인할 수 있다"고 설명했다.

아고라는 중국 상하이 기반의 신생 기업으로 미국 실리콘밸리에 현지 본사를 둔다. 실시간 음성 및 영상 참여 플랫폼을 개발해 타 기업에 제공하고 있다. SIO는 아고라가 중국에 발을 걸친 만큼 중국 사이버보안법에 따라 정부 요청 시 클럽하우스 관련 정보를 현지 정부에 넘길 수 있다고 본다.

아고라는 이같은 주장에 반박했다. 아고라 관계자는 "개인정보에 접근하거나 저장하지 않는다"며 "미국을 포함해 중국 밖에 있는 이용자 음성이나 영상 트래픽을 중국에 전달하지 않는다"고 밝혔다.

알파익스플로레이션은 SIO가 지적한 취약점을 인정하고 개선하겠다는 입장이다.

알파익스플로레이션 관계자는 "앞으로 72시간 동안 클럽하우스 클라이언트가 중국 서버에 패킷(데이터 묶음)을 전송하지 않도록 추가 암호화 등의 변경을 시행하겠다"며 "이같은 변경을 검토, 검증하고자 외부 데이터 보안 회사를 고용하겠다"고 밝혔다.

SIO가 게재한 클럽하우스 앱 보안 취약점 관련 보고서 / SIO 홈페이지
클럽하우스는 미국 스타트업 알파익스플로레이션이 지난해 4월 선보인 소셜미디어 앱이다. 음성 기반으로 쌍방향 소통을 지원한다. 정치, 문화, 스포츠, 건강 등 주제 제한 없이 자유로운 대화가 가능하도록 한다. 초대를 받아야만 앱 사용이 가능하면서 국내외에서 화제를 모았다.

김평화 기자 peaceit@chosunbiz.com


키워드