회장님도 쓰는 클럽하우스 보안은 어쩌나

입력 2021.02.22 17:56

전 세계적인 열풍을 불러일으키는 음성 채팅 앱 ‘클럽하우스'의 보안 논란이 계속된다.

클럽하우스 앱 아이콘 / IT조선
22일(현지시각) 블룸버그 통신에 따르면 정체 불명의 사용자가 라이브 음성을 빼돌리는 사태가 있었다. 클럽하우스가 해커나 스파이가 사용자 데이터를 훔칠 수 없도록 조치를 취하고 있다고 말한 지 일주일 만에 일어난 일이다.

리마 바나시 클럽하우스 대변인은 "신원을 알 수 없는 사용자가 이번 주말에 여러 개의 방에서 자신의 타사 웹 사이트로 클럽 하우스 오디오 피드를 스트리밍했다"고 말했다.

클럽하우스는 해당 사용자 이용을 영구적으로 금지하고 반복을 방지하기 위해 새로운 안전 장치를 설치했다고 전했지만, 전문가들은 플랫폼이 그러한 약속을 지킬 수 있는 위치가 아니라는 의견을 내놨다.

미국 민간 연구기관 스탠퍼드 인터넷 관측소(SIO)는 중국 기업이 관리하는 서버에 클럽하우스 음성 데이터가 일부 전송된 것을 확인됐다’는 내용의 보고서를 발표한 바 있다.

SIO와 페이스북 보안 책임자였던 알렉스 스타모스는 "플랫폼이 전 세계 어디에서나 열리는 대화에 대해 개인 정보 보호 약속을 제공할 수 없다"고 말했다.

스타모스와 그의 팀은 클럽하우스가 중국 상하이에 기반을 둔 아고라라는 스타트업에 백-엔드 인프라를 의존하고 있는데, 이를 통해 이용자들의 원래 음성 정보에 대한 접근이 가능할 수도 있다고 지적했다. 잠재적으로 중국 당국의 접근이 가능할 수 있다는 것이다.

스타모스는 "클럽하우스의 아고라에 대한 의존은 특히 중국 시민과 반체제 인사들의 대화의 개인 정보 보호문제를 야기할 수 있다"고 말했다.

아고라는 "클럽하우스의 보안 또는 프라이버시 프로토콜에 대해 언급할 수 없으며, 클럽하우스는 고객 개인의 식별 정보를 저장하거나 공유하지 않는다"며 "우리는 가능한 한 안전하게 제품을 만들기 위해 최선을 다하고 있다"는 입장을 전했다.

하지만 이번 주말 동안 사이버 보안 전문가들은 음성과 메타 데이터가 클럽하우스에서 다른 사이트로 옮겨지고 있는 것을 발견했다. 호주 보안회사 인터넷2.0의 최고경영자(CEO)인 로버트 포터는 "한 사용자가 원격으로 자신의 로그인을 전 세계와 공유할 수 있도록 설정했다"며 "진짜 문제는 사람들이 이러한 대화가 사적인 것이라고 생각한다는 것이다"고 말했다.

음성 대화를 훔치려던 범인은 클럽하우스 응용 프로그램을 컴파일하는 데 사용되는 자바스크립트 툴킷을 중심으로 자체 시스템을 구축했다. SIO는 공격자의 출처나 신원을 확인하지 않았다고 밝혔다.

잭 케이블 SIO 연구원은 "실제로 방에 들어 가지 않고 채팅방 오디오에 액세스하기 위해 타사 응용 프로그램을 사용하는 것을 방지하거나, 사용자가 동시에 들어갈 수 있는 방의 수를 제한하는 것이 해결책 일 수 있다"고 말했다.

앞서 보안전문가들은 클럽하우스가 사용자 개인 정보 보호에 취약하다는 지적도 받았다. 스마트폰에 저장된 이름고가 전화번호 정보를 수집해, 이를 토대로 가입할 신규 사용자들에게 초대장을 보내기 때문이다.

또 이용자는 음성 대화를 녹음할 수 없지만 클럽하우스 측은 혐오·차별적 발언 등의 조사를 위해 데이터를 보관할 수 있다고 공지하고 있다. 2월 초 독일 데이터 보호국은 클럽하우스의 개인 정보 취급에 문제가 있다는 발표를 하기도 했다.

테크크런치 등 외신 보도에 따르면 클럽하우스 앱 다운로드는 16일 기준 810만건을 돌파했다. 일론 머스크 테슬라 CEO, 마크 저커버그 페이스북 설립자를 포함해 여러 유명 게스트 동참이 클럽하우스 인기에 불을 지피고 있다.

한국에서도 김봉진 우아한형제들 의장을 비롯해 최태원 SK그룹 회장, 정용진 신세계 부회장 등 국내 주요 재계 인사들이 클럽하우스에서 활동 중이다.

류은주 기자 riswell@chosunbiz.com


키워드