2020.04.07

잇단 보안·프라이버시 '잡음' 줌, 신기능 개발 중단 '극약처방'

Matthew Finnegan | Computerworld
줌(Zoom)이 신기능 개발을 중단하고 프라이버시와 보안 문제를 해결하는 데 집중한다고 3일 밝혔다. 또한, 당분간 보안 취약점을 더 자세히 점검하기로 했다.



업체는 기본 암호 설정을 활성화하고, 프리 베이직(Free Basic) 등급 사용자와 K-12 교육 계정처럼 가장 저렴한 요금제에 가입한 단일 계정 사용자용 대기실 설정도 기본으로 설정했다. PMI(Personal Meeting ID)를 이용하는 모든 화상회의는 반드시 암호를 설정해야 하며, 그동안 사용하지 못했던 암호 설정 기능도 다시 활성화된다. 이에 따라 참석자가 회의에 들어오거나 새 회의 일정을 잡을 때 반드시 암호를 입력해야 한다.

줌의 CEO 에릭 유안은 6일 CNN과의 인터뷰에서, 코로나19 확산으로 회사가 너무 빠르게 성장했으며 사용자를 보호하기 위한 보안 조치에 더 역량을 집중해야 한다는 것을 알고 있다고 인정했다. 또한 토론토대 시티즌 랩의 조사 결과와 관련해 줌의 암호화를 더 강화해야 한다는 지적에도 동의한다고 밝혔다.

실제로 줌 플랫폼은 최근 몇 주 사이에 급격히 사용량이 늘어났다. 코로나19 대유행에 따른 자가 격리로 화상회의 소프트웨어에 대한 수요가 폭발했기 때문이다. 기업은 물론 개인 사용자 사이에서 줌의 인기가 높아지면서 줌의 주가도 치솟았다. 그러나 이와 함께 줌 플랫폼의 보안 취약점도 더 뚜렷하게 드러나기 시작했다.

줌은 최신 보안 설정 변경과 관련해서, 자사 소프트웨어를 사용하는 학교의 경우 앞으로 암호 설정을 반드시 사용해야 한다고 설명했다. 반면 무료 계정 사용자나 단일 라이선스를 가진 유료 사용자는 원하는 대로 이 설정을 삭제할 수 있다(줌의 대기실 기능도 기본적으로 활성화된다. 누군가 회의에 참여하기 전에 호스트가 확인할 수 있도록 하기 위해서다).

최근 들어 '줌 바밍(Zoom-bombing)'에 대한 심각한 프라이버시 우려가 제기됐다. 이는 낯선 이가 암호가 없는 화상 회의에 참여할 수 있는 보안 취약점이다. 초대받지 않은 사람이 온라인에서 진행되는 익명의 알콜 중독자 모임이나 교회 모임 등에 참여해 방해할 수 있다. 실제로 FBI는 최근 화상회의에 대한 승인되지 않는 접속을 경고하고 나섰다. 사용자가 보안 설정을 바꿔 회의를 보호해야 한다고 권고했다.

이에 따라 일론 머스크의 항공우주 기업 스페이스X(SpaceX)는 자사 직원 6,000명에게 줌 사용을 공식 금지했다. 로이터의 보도에 따르면, 프라이버시와 보안 우려 때문에 내려진 조치였다. 또한 줌은 해커가 윈도우 기기의 암호를 빼낼 수 있는 보안 취약점으로 큰 비난을 받고 있다. 이미 알려진 결함인데도 수정되지 않은 상태다. 최근에는 뉴욕 교육부가 줌 바밍에 대한 우려로 교사와 관리자의 줌 사용을 제한했다. 뉴욕포스트의 보도에 따르면, 교육부는 공문을 통해 줌 대신 구글 행아웃 미트나 마이크로소프트 팀즈를 사용하라고 지시했다.

줌의 CEO는 최근 일련의 보안 결함에 대해 사과했다. 유안은 지난 1일 기업 블로그를 통해 보안 문제에 대한 대응책을 상세히 설명하고, 앞으로 90일간 보안 문제를 찾아 규명하고 수정하기 위해 필요한 리소스를 투입할 것이라고 밝혔다. 그는 "이런 수정 과정 전반을 투명하게 공개하고, 사용자의 신뢰를 유지하기 위해 필요한 작업을 기꺼이 할 것이다"라고 말했다.

유안이 언급한 작업에는 신기능 개발을 일시 중단하는 것도 포함한다. 줌의 개발팀은 신뢰와 안전, 프라이버시 문제에만 집중할 예정이다. 또한 줌은 자사 플랫폼의 보안을 점검하기 위해 서드파티 전문가와도 협업할 계획이다. CISO 위원회를 만들어 보안 모범 규준을 논의하고, 데이터와 기록, 콘텐츠 요구와 관련된 투명성 보고서도 발행하기로 했다. 버그 바운티 프로그램을 확대하고, 다른 보안 문제를 찾기 위해 화이트 박스 침투 테스트도 할 예정이다. 유안은 또한 매주 웨비나를 열어 프라이버시와 보안 관련 새로운 소식을 직접 설명할 예정이다.

451 리서치의 협업 담당 선임 애널리스트 라울 캐스태넌은 줌이 최근 제기된 보안 우려에 대응하기 위해 제품 개발 로드맵을 연기하는 것에 대해 긍정적으로 평가했다. 그는 "줌이 90일 이후 소프트웨어 개선 계획까지 가진 것을 고려하면, 이번 조치는 기업 사용자의 신뢰를 복원하는 데 도움이 될 것이다. 또한 줌은 코로나19 대유행으로 크게 주목받고 있고, 이번 사태는 줌이 프라이버시와 보안 문제를 해결할 수 있음을 기업 사용자에게 보여주는 기회가 될 수 있다"라고 말했다.

그러나 줌이 업무용 플랫폼으로 자리를 잡기에는 아직 갈 길이 멀다. 캐스태넌은 "유안은 줌이 광범위한 사용자가 아니라, '완전한 IT 지원'을 제공하는 기업 사용자를 위해 개발했다고 주장한다. 코로나19 대유행이 줌만이 아니라 화상회의 솔루션 업계 전반에 성장 기회인 것은 분명하지만, 줌 플랫폼에서 드러난 보안 결함은 아직 기업용과는 거리가 멀다는 것을 보여준다. 줌은 이런 논란 없이 상황을 개선할 수 있었다"라고 말했다.

줌을 둘러싼 또 다른 보안 논란도 있다. 줌은 사용자 데이터를 페이스북과 공유했다는 의혹으로 캘리포니아에서 소송을 당했다. 줌은 지난 3월 29일 기업 블로그를 통해 "그동안 사용자 데이터를 결코 판매한 적이 없으며 앞으로도 사용자 데이터로 수익을 낼 생각이 전혀 없다"라고 설명했다. 기기 데이터를 수집한다고 알려진 페이스북 SDK는 iOS 클라이언트에서 삭제하기로 했다.

캐스태넌은 줌이 페이스북 SDK와 관련해 프라이버시 문제를 해결하는 방식을 의미 있게 평가했다. 그는 "SDK 삭제로 줌은 이 논란을 일단락시킬 것으로 보인다. 대신 이번 사건은 페이스북의 평판을 해칠 가능성이 크다. 마크 저커버그는 에릭 유안이 줌의 보안과 프라이버시 우려를 해결하는 방식을 참고할 필요가 있다"라고 말했다. editor@itworld.co.kr


2020.04.07

잇단 보안·프라이버시 '잡음' 줌, 신기능 개발 중단 '극약처방'

Matthew Finnegan | Computerworld
줌(Zoom)이 신기능 개발을 중단하고 프라이버시와 보안 문제를 해결하는 데 집중한다고 3일 밝혔다. 또한, 당분간 보안 취약점을 더 자세히 점검하기로 했다.



업체는 기본 암호 설정을 활성화하고, 프리 베이직(Free Basic) 등급 사용자와 K-12 교육 계정처럼 가장 저렴한 요금제에 가입한 단일 계정 사용자용 대기실 설정도 기본으로 설정했다. PMI(Personal Meeting ID)를 이용하는 모든 화상회의는 반드시 암호를 설정해야 하며, 그동안 사용하지 못했던 암호 설정 기능도 다시 활성화된다. 이에 따라 참석자가 회의에 들어오거나 새 회의 일정을 잡을 때 반드시 암호를 입력해야 한다.

줌의 CEO 에릭 유안은 6일 CNN과의 인터뷰에서, 코로나19 확산으로 회사가 너무 빠르게 성장했으며 사용자를 보호하기 위한 보안 조치에 더 역량을 집중해야 한다는 것을 알고 있다고 인정했다. 또한 토론토대 시티즌 랩의 조사 결과와 관련해 줌의 암호화를 더 강화해야 한다는 지적에도 동의한다고 밝혔다.

실제로 줌 플랫폼은 최근 몇 주 사이에 급격히 사용량이 늘어났다. 코로나19 대유행에 따른 자가 격리로 화상회의 소프트웨어에 대한 수요가 폭발했기 때문이다. 기업은 물론 개인 사용자 사이에서 줌의 인기가 높아지면서 줌의 주가도 치솟았다. 그러나 이와 함께 줌 플랫폼의 보안 취약점도 더 뚜렷하게 드러나기 시작했다.

줌은 최신 보안 설정 변경과 관련해서, 자사 소프트웨어를 사용하는 학교의 경우 앞으로 암호 설정을 반드시 사용해야 한다고 설명했다. 반면 무료 계정 사용자나 단일 라이선스를 가진 유료 사용자는 원하는 대로 이 설정을 삭제할 수 있다(줌의 대기실 기능도 기본적으로 활성화된다. 누군가 회의에 참여하기 전에 호스트가 확인할 수 있도록 하기 위해서다).

최근 들어 '줌 바밍(Zoom-bombing)'에 대한 심각한 프라이버시 우려가 제기됐다. 이는 낯선 이가 암호가 없는 화상 회의에 참여할 수 있는 보안 취약점이다. 초대받지 않은 사람이 온라인에서 진행되는 익명의 알콜 중독자 모임이나 교회 모임 등에 참여해 방해할 수 있다. 실제로 FBI는 최근 화상회의에 대한 승인되지 않는 접속을 경고하고 나섰다. 사용자가 보안 설정을 바꿔 회의를 보호해야 한다고 권고했다.

이에 따라 일론 머스크의 항공우주 기업 스페이스X(SpaceX)는 자사 직원 6,000명에게 줌 사용을 공식 금지했다. 로이터의 보도에 따르면, 프라이버시와 보안 우려 때문에 내려진 조치였다. 또한 줌은 해커가 윈도우 기기의 암호를 빼낼 수 있는 보안 취약점으로 큰 비난을 받고 있다. 이미 알려진 결함인데도 수정되지 않은 상태다. 최근에는 뉴욕 교육부가 줌 바밍에 대한 우려로 교사와 관리자의 줌 사용을 제한했다. 뉴욕포스트의 보도에 따르면, 교육부는 공문을 통해 줌 대신 구글 행아웃 미트나 마이크로소프트 팀즈를 사용하라고 지시했다.

줌의 CEO는 최근 일련의 보안 결함에 대해 사과했다. 유안은 지난 1일 기업 블로그를 통해 보안 문제에 대한 대응책을 상세히 설명하고, 앞으로 90일간 보안 문제를 찾아 규명하고 수정하기 위해 필요한 리소스를 투입할 것이라고 밝혔다. 그는 "이런 수정 과정 전반을 투명하게 공개하고, 사용자의 신뢰를 유지하기 위해 필요한 작업을 기꺼이 할 것이다"라고 말했다.

유안이 언급한 작업에는 신기능 개발을 일시 중단하는 것도 포함한다. 줌의 개발팀은 신뢰와 안전, 프라이버시 문제에만 집중할 예정이다. 또한 줌은 자사 플랫폼의 보안을 점검하기 위해 서드파티 전문가와도 협업할 계획이다. CISO 위원회를 만들어 보안 모범 규준을 논의하고, 데이터와 기록, 콘텐츠 요구와 관련된 투명성 보고서도 발행하기로 했다. 버그 바운티 프로그램을 확대하고, 다른 보안 문제를 찾기 위해 화이트 박스 침투 테스트도 할 예정이다. 유안은 또한 매주 웨비나를 열어 프라이버시와 보안 관련 새로운 소식을 직접 설명할 예정이다.

451 리서치의 협업 담당 선임 애널리스트 라울 캐스태넌은 줌이 최근 제기된 보안 우려에 대응하기 위해 제품 개발 로드맵을 연기하는 것에 대해 긍정적으로 평가했다. 그는 "줌이 90일 이후 소프트웨어 개선 계획까지 가진 것을 고려하면, 이번 조치는 기업 사용자의 신뢰를 복원하는 데 도움이 될 것이다. 또한 줌은 코로나19 대유행으로 크게 주목받고 있고, 이번 사태는 줌이 프라이버시와 보안 문제를 해결할 수 있음을 기업 사용자에게 보여주는 기회가 될 수 있다"라고 말했다.

그러나 줌이 업무용 플랫폼으로 자리를 잡기에는 아직 갈 길이 멀다. 캐스태넌은 "유안은 줌이 광범위한 사용자가 아니라, '완전한 IT 지원'을 제공하는 기업 사용자를 위해 개발했다고 주장한다. 코로나19 대유행이 줌만이 아니라 화상회의 솔루션 업계 전반에 성장 기회인 것은 분명하지만, 줌 플랫폼에서 드러난 보안 결함은 아직 기업용과는 거리가 멀다는 것을 보여준다. 줌은 이런 논란 없이 상황을 개선할 수 있었다"라고 말했다.

줌을 둘러싼 또 다른 보안 논란도 있다. 줌은 사용자 데이터를 페이스북과 공유했다는 의혹으로 캘리포니아에서 소송을 당했다. 줌은 지난 3월 29일 기업 블로그를 통해 "그동안 사용자 데이터를 결코 판매한 적이 없으며 앞으로도 사용자 데이터로 수익을 낼 생각이 전혀 없다"라고 설명했다. 기기 데이터를 수집한다고 알려진 페이스북 SDK는 iOS 클라이언트에서 삭제하기로 했다.

캐스태넌은 줌이 페이스북 SDK와 관련해 프라이버시 문제를 해결하는 방식을 의미 있게 평가했다. 그는 "SDK 삭제로 줌은 이 논란을 일단락시킬 것으로 보인다. 대신 이번 사건은 페이스북의 평판을 해칠 가능성이 크다. 마크 저커버그는 에릭 유안이 줌의 보안과 프라이버시 우려를 해결하는 방식을 참고할 필요가 있다"라고 말했다. editor@itworld.co.kr


X