2021.03.08

클럽하우스 앱, 개인정보 보호 우려

Terena Bell | CSO
소셜 미디어 앱 클럽하우스(Clubhouse)는 출시된 지 1년이 되지 않아 이미 개인정보 보호 관련 법정 소송과 사용자 데이터 유출로 인한 문제에 직면하고 있다. 사용자 데이터 유출의 경우, 사용자 기록 및 공유 개인 대화, 사용자 로그인 정보, 메타데이터 등이 타 웹 사이트로 유출되어 악용됐다.
 
ⓒ Getty Images Bank


공개 대화를 위한 채팅방, 클럽하우스 

오프라 윈프리, 엘론 머스크, 애쉬튼 커쳐 등의 유명인들이 자주 사용하는 클럽하우스는 사용자가 공개 대화를 위해 가입할 수 있는 채팅방을 제공한다. 유명인들이 이 서비스를 사용하고 있기 때문에 마케팅 전문가들의 선망의 대상이 되고 있으며, 가이 가와사키와 세스 고딘 등의 마케팅 커뮤니케이션 관리자들이 이 클럽에 가입하고 있다. 밀크 바(Milk Bar), 쿨에이드(Kool-Aid), 폴리티코(Politico) 등의 브랜드가 프로필을 생성했으며, 12월에는 클럽하우스에서 공식 인플루언서 프로그램을 시작했다.


클럽하우스의 보안 위험

마케팅 전문가들이 점차 가입하면서 그들의 사용으로 인해 기업에 발생하는 보안 위험 또한 증가하고 있다. 마케팅은 항상 여러 보안팀이 협력하기에 어려운 부서였다. 그들의 역할은 데이터를 공유하는 것이며, 보안의 역할은 본질적으로 데이터를 보호하고 경우에 따라 이를 숨기는 것이다. 정보를 보호하기 위해 두 부서가 협력하면서 보안 전문가들이 클럽하우스에 관해 알아야 할 사항이 있다면 무엇이 있을까?

초기의 페이스북과 마찬가지로 클럽하우스의 사용자층은 독점권을 기반으로 한다. 유명인들이 사용하는 것 외에 이 앱은 현재 아이폰 전용이다. 가입하기 위해서는 기존 사용자의 초대장이 있어야 한다. 새 사용자를 초대하려면 기존 사용자가 클럽하우스 측에 자신의 스마트폰 주소록에 대한 접근을 제공해야 한다. 주소록에 있는 사람들이 클럽하우스에 정보를 제공하고 싶은지 여부는 고려되지 않는다. 그러면 클럽하우스가 잠재적인 사용자의 관계 수를 보여주는 쉐도우 프로필을 생성하고 해당 플랫폼에 있는 사람들에게 그들을 초대하도록 메시지를 보낸다. “존이 클럽에 가입하기를 원하는가? 그는 이미 9명의 친구가 있다!”

물론, 이로 인한 보안 우려가 제기됐으며, 클럽하우스는 아직 공식 해명을 내놓지 않고 있다. 클럽하우스는 세계적으로 유명한 부자들의 개인적인 스마트폰 번호를 보유하고 있지만 CSO(Chief Security Officer)가 없는 것 같다. 클럽하우스는 앱 안에서 이루어진 대화를 녹음한 후 중국에 있는 서버에 임시로 저장한다. 중국 상하이에 위치한 스타트업 아고라(Agora)와 협력하고 있다.

유럽에서는 해당 기업을 상대로 소비자 감시 그룹 FGCO(Federation of German Consumer Organisations)가 GDPR(General Data Protection Regulation) 위반을 이유로 11월 27일 정지 명령을 제기했다. 2월 21일, 클럽하우스는 한 사용자가 시스템을 조작해 채팅방 대화를 서드파티 웹 사이트로 스트리밍하면서 데이터 유출 문제가 발생했다.

아마존 프라임 비디오(Amazon Prime Video)의 개인정보 보호 책임자 파버는 2월 14일 트위터에 "클럽하우스는 중국에 백엔드 인프라를 갖춘 반 개인정보 보호 슈퍼 전파자 벡터다. 앱 스토어에 있을 만큼 안전하지 않으며, 철회한 후 사용자들을, 그리고 비 사용자들을 보호하도록 재구성해야 한다"라고 게시했다. 

이 앱에 대해 불리한 발언을 하는 업계 전문가는 파버뿐만이 아니다. 파버가 고문으로 있는 개인정보 보호 전파 이니셔티브 TRPT(The Rise of Privacy Tech)의 설립자 루즈 투레차는 클럽하우스가 상당한 보안 우려를 극복하기 위해 FOMO(Fear Of Missing Out)을 이용하고 있다고 비난했다. 

정보 거버넌스 및 개인정보 보호 자문 업체 캐슬브리지(Castlebridge)의 상무이사 다락 브라이언은 클럽하우스가 말하는 ‘최소한의 성공 가능성이 있는 제품’이라는 말에 빗대어 ‘최소한의 신뢰성이 있는 제품’이라고 말하면서, “규제 또는 사용자 안전 요구사항을 해결하기 위해 한 일이 거의 없기 때문에 소송을 당할 수 밖에 없으며 투자자들은 신중하게 생각해야 한다”라고 경고했다. 

보안 및 개인정보 보호 전문가들의 혹독한 비판에도 불구하고 기업의 마케팅 부서들은 오프라 윈프리와 애쉬튼 커쳐 등이 이용하고 있다는 매력 때문에 방향을 바꿀 가능성은 없어 보인다. 노드 시큐리티(Nord Security)의 CSO 버킨타스 매크니카스는 “어느 정도 위험이 있지만 제한이 되는지는 잘 모르겠다”라고 말했다. 매크니카스는 해당 채팅방 데이터 유출이 어떤 상황이었는지 등 “클럽하우스의 기능은 좋은 의도로 고안되었지만 일부가 남용될 수 있다”는 가정 하에 움직이고 있다. 그는 클럽하우스가 페이스북과 같은 소셜 네트워크라고 해서 같은 개인정보 보호 위반을 범할 것이라는 추정하면 안된다"라고 경고했다.


직원의 클럽하우스 사용으로 인한 위험

채팅방 녹음과 관련해 매크니카스는 “사용자들은 직원들이 컨퍼런스에서 연설을 하는 것보다 안전하다고 생각해도 된다”라고 말했다. 클럽하우스 앱 안에 있거나 서드파티 사이트로 유출되는지 여부에 상관없이 연사는 여전히 정보를 공개적으로 공유하는 것이다.

연사들이 데이터를 보호하면서 회사 브랜드를 홍보하는데 도움이 되는 정책을 수립하기 위해 홍보부와 협력하는 것이 좋다. 매크니카스는 “회사 정책상 모든 대화 내용을 검토하고 일축해야 할 내용을 지도한다면 정보 흐름을 조율하기가 더 어려울 수 있다. 하지만 대부분의 소셜 네트워크에 같은 사항이 적용될 수 있으며 클럽하우스 자체가 다른 것들보다 더 우려스럽지는 않다”라고 말했다.

하지만 위험 탐지 업체 세타 레이크(Theta Lake)의 규제준수 법무 자문위원이자 부사장 마크 길먼은 “보안 우려를 고려할 때 공개된 정보를 공유하거나 논의하는 것 외의 그 어떤 것도 한계를 넘어서게 될 것이다”라고 말했다. 컨퍼런스에서는 참석자들을 기록하고 조사한다. 일부는 심지어 행사 후 정보 공개를 제한하는 채텀 하우스 규칙(Chatham House Rule)에 따라 운영되기도 한다. 

한편, 클럽하우스는 모든 사용자가 공유 제한이 없는 것처럼 대화에 참여하도록 독려하고 있다. 길먼은 “지원 기술을 이용하는 사전 조사 기록 콘텐츠를 위한 메커니즘이 없는 상황에서 대화가 불평불만으로 전환되거나 민감한 PII(Personally Identifiable Information) 또는 기밀 정보가 포함되어 있어 큰 문제가 될 수 있다. 특히, 이런 활동과 관련된 더욱 광범위한 평판 위험을 고려해야 하는 규제 분야에 있는 기업들은 더욱 그렇다”라고 설명했다.

규제 산업에 속해 있지 않은 기업들도 스마트폰 번호, 주소, 생일, 클럽하우스 사용자가 연락처에 저장하는 기타 모든 데이터를 보호하는 기밀유지협약(Non-Disclosure Agreement, NDA)이 있을 수 있다. 자신의 전화기를 업무에 사용하는 마케팅 전문가들은 자신이 회사 연락처를 업로드하고 있다는 사실을 모를 수 있다. 그리고 이런 고객들에 대해 클럽하우스가 생성하는 쉐도우 프로필은 회사의 직원에게 하나의 관계로 보일 수가 있으며, 해당 고객의 전화번호를 갖고 있는 경쟁업체에게도 해당 관계가 표시되면서 경쟁 정보 우려가 발생할 수 있다.


직원의 클럽하우스 사용으로 인한 위험을 최소화하는 방법

BYOD(Bring Your Own Device) 정책이 있는 기업은 연락처 정보 공유가 NDA 또는 기타 법률 및 보안 정책을 위반하지 않도록 각별히 주의해야 한다. 우선, 클럽하우스 사용의 위험에 대해 교육하고 이에 대한 명확한 정책을 수립할 수 있다.

연락처와 데이터 노출을 방지하는 방법 가운데 하나는 클럽하우스가 직원의 개인 계정에 있는 데이터에 접근하는 것을 최대한 통제하는 것이다. 대부분의 기업용 MDM(Mobile Device Management) 시스템은 사용자 및 기업 소유 기기에서 개인용 데이터와 업무용 데이터를 구분할 수 있다. 이것은 애플의 통합 관리 프레임워크도 마찬가지이다. 둘 다 자사에 적합하지 않은 경우 앱 스토어에 있는 MDM 앱을 이용할 수 있다.

클럽하우스는 안드로이드 버전도 개발하고 있기 때문에, 미리 계획하고 사용자들이 스마트폰의 기업용 업무 프로필 기능을 켜도록 요구한다.

이 기사 작성 시점에 클럽하우스는 1,000만 회 이상의 다운로드를 기록했으며, 다운로드 증가 속도는 늦춰질 기미가 보이지 않는다. 이 스타트업의 가치는 10억 달러로 평가되고 있으며 1억 달러 이상의 투자를 받았다. 

2개의 신뢰 및 안전성 분석가 일자리가 클럽하우스 사이트에 게시됐다. 하지만 그 설명을 보면 실제 데이터 보안 직위라기보다는 사용자 응대 의사소통 역할에 더 가깝다. 클럽하우스의 수석 투자가 안드레센 호로비츠는 의견 제시 요청에 응답하지 않았다. editor@itworld.co.kr 


2021.03.08

클럽하우스 앱, 개인정보 보호 우려

Terena Bell | CSO
소셜 미디어 앱 클럽하우스(Clubhouse)는 출시된 지 1년이 되지 않아 이미 개인정보 보호 관련 법정 소송과 사용자 데이터 유출로 인한 문제에 직면하고 있다. 사용자 데이터 유출의 경우, 사용자 기록 및 공유 개인 대화, 사용자 로그인 정보, 메타데이터 등이 타 웹 사이트로 유출되어 악용됐다.
 
ⓒ Getty Images Bank


공개 대화를 위한 채팅방, 클럽하우스 

오프라 윈프리, 엘론 머스크, 애쉬튼 커쳐 등의 유명인들이 자주 사용하는 클럽하우스는 사용자가 공개 대화를 위해 가입할 수 있는 채팅방을 제공한다. 유명인들이 이 서비스를 사용하고 있기 때문에 마케팅 전문가들의 선망의 대상이 되고 있으며, 가이 가와사키와 세스 고딘 등의 마케팅 커뮤니케이션 관리자들이 이 클럽에 가입하고 있다. 밀크 바(Milk Bar), 쿨에이드(Kool-Aid), 폴리티코(Politico) 등의 브랜드가 프로필을 생성했으며, 12월에는 클럽하우스에서 공식 인플루언서 프로그램을 시작했다.


클럽하우스의 보안 위험

마케팅 전문가들이 점차 가입하면서 그들의 사용으로 인해 기업에 발생하는 보안 위험 또한 증가하고 있다. 마케팅은 항상 여러 보안팀이 협력하기에 어려운 부서였다. 그들의 역할은 데이터를 공유하는 것이며, 보안의 역할은 본질적으로 데이터를 보호하고 경우에 따라 이를 숨기는 것이다. 정보를 보호하기 위해 두 부서가 협력하면서 보안 전문가들이 클럽하우스에 관해 알아야 할 사항이 있다면 무엇이 있을까?

초기의 페이스북과 마찬가지로 클럽하우스의 사용자층은 독점권을 기반으로 한다. 유명인들이 사용하는 것 외에 이 앱은 현재 아이폰 전용이다. 가입하기 위해서는 기존 사용자의 초대장이 있어야 한다. 새 사용자를 초대하려면 기존 사용자가 클럽하우스 측에 자신의 스마트폰 주소록에 대한 접근을 제공해야 한다. 주소록에 있는 사람들이 클럽하우스에 정보를 제공하고 싶은지 여부는 고려되지 않는다. 그러면 클럽하우스가 잠재적인 사용자의 관계 수를 보여주는 쉐도우 프로필을 생성하고 해당 플랫폼에 있는 사람들에게 그들을 초대하도록 메시지를 보낸다. “존이 클럽에 가입하기를 원하는가? 그는 이미 9명의 친구가 있다!”

물론, 이로 인한 보안 우려가 제기됐으며, 클럽하우스는 아직 공식 해명을 내놓지 않고 있다. 클럽하우스는 세계적으로 유명한 부자들의 개인적인 스마트폰 번호를 보유하고 있지만 CSO(Chief Security Officer)가 없는 것 같다. 클럽하우스는 앱 안에서 이루어진 대화를 녹음한 후 중국에 있는 서버에 임시로 저장한다. 중국 상하이에 위치한 스타트업 아고라(Agora)와 협력하고 있다.

유럽에서는 해당 기업을 상대로 소비자 감시 그룹 FGCO(Federation of German Consumer Organisations)가 GDPR(General Data Protection Regulation) 위반을 이유로 11월 27일 정지 명령을 제기했다. 2월 21일, 클럽하우스는 한 사용자가 시스템을 조작해 채팅방 대화를 서드파티 웹 사이트로 스트리밍하면서 데이터 유출 문제가 발생했다.

아마존 프라임 비디오(Amazon Prime Video)의 개인정보 보호 책임자 파버는 2월 14일 트위터에 "클럽하우스는 중국에 백엔드 인프라를 갖춘 반 개인정보 보호 슈퍼 전파자 벡터다. 앱 스토어에 있을 만큼 안전하지 않으며, 철회한 후 사용자들을, 그리고 비 사용자들을 보호하도록 재구성해야 한다"라고 게시했다. 

이 앱에 대해 불리한 발언을 하는 업계 전문가는 파버뿐만이 아니다. 파버가 고문으로 있는 개인정보 보호 전파 이니셔티브 TRPT(The Rise of Privacy Tech)의 설립자 루즈 투레차는 클럽하우스가 상당한 보안 우려를 극복하기 위해 FOMO(Fear Of Missing Out)을 이용하고 있다고 비난했다. 

정보 거버넌스 및 개인정보 보호 자문 업체 캐슬브리지(Castlebridge)의 상무이사 다락 브라이언은 클럽하우스가 말하는 ‘최소한의 성공 가능성이 있는 제품’이라는 말에 빗대어 ‘최소한의 신뢰성이 있는 제품’이라고 말하면서, “규제 또는 사용자 안전 요구사항을 해결하기 위해 한 일이 거의 없기 때문에 소송을 당할 수 밖에 없으며 투자자들은 신중하게 생각해야 한다”라고 경고했다. 

보안 및 개인정보 보호 전문가들의 혹독한 비판에도 불구하고 기업의 마케팅 부서들은 오프라 윈프리와 애쉬튼 커쳐 등이 이용하고 있다는 매력 때문에 방향을 바꿀 가능성은 없어 보인다. 노드 시큐리티(Nord Security)의 CSO 버킨타스 매크니카스는 “어느 정도 위험이 있지만 제한이 되는지는 잘 모르겠다”라고 말했다. 매크니카스는 해당 채팅방 데이터 유출이 어떤 상황이었는지 등 “클럽하우스의 기능은 좋은 의도로 고안되었지만 일부가 남용될 수 있다”는 가정 하에 움직이고 있다. 그는 클럽하우스가 페이스북과 같은 소셜 네트워크라고 해서 같은 개인정보 보호 위반을 범할 것이라는 추정하면 안된다"라고 경고했다.


직원의 클럽하우스 사용으로 인한 위험

채팅방 녹음과 관련해 매크니카스는 “사용자들은 직원들이 컨퍼런스에서 연설을 하는 것보다 안전하다고 생각해도 된다”라고 말했다. 클럽하우스 앱 안에 있거나 서드파티 사이트로 유출되는지 여부에 상관없이 연사는 여전히 정보를 공개적으로 공유하는 것이다.

연사들이 데이터를 보호하면서 회사 브랜드를 홍보하는데 도움이 되는 정책을 수립하기 위해 홍보부와 협력하는 것이 좋다. 매크니카스는 “회사 정책상 모든 대화 내용을 검토하고 일축해야 할 내용을 지도한다면 정보 흐름을 조율하기가 더 어려울 수 있다. 하지만 대부분의 소셜 네트워크에 같은 사항이 적용될 수 있으며 클럽하우스 자체가 다른 것들보다 더 우려스럽지는 않다”라고 말했다.

하지만 위험 탐지 업체 세타 레이크(Theta Lake)의 규제준수 법무 자문위원이자 부사장 마크 길먼은 “보안 우려를 고려할 때 공개된 정보를 공유하거나 논의하는 것 외의 그 어떤 것도 한계를 넘어서게 될 것이다”라고 말했다. 컨퍼런스에서는 참석자들을 기록하고 조사한다. 일부는 심지어 행사 후 정보 공개를 제한하는 채텀 하우스 규칙(Chatham House Rule)에 따라 운영되기도 한다. 

한편, 클럽하우스는 모든 사용자가 공유 제한이 없는 것처럼 대화에 참여하도록 독려하고 있다. 길먼은 “지원 기술을 이용하는 사전 조사 기록 콘텐츠를 위한 메커니즘이 없는 상황에서 대화가 불평불만으로 전환되거나 민감한 PII(Personally Identifiable Information) 또는 기밀 정보가 포함되어 있어 큰 문제가 될 수 있다. 특히, 이런 활동과 관련된 더욱 광범위한 평판 위험을 고려해야 하는 규제 분야에 있는 기업들은 더욱 그렇다”라고 설명했다.

규제 산업에 속해 있지 않은 기업들도 스마트폰 번호, 주소, 생일, 클럽하우스 사용자가 연락처에 저장하는 기타 모든 데이터를 보호하는 기밀유지협약(Non-Disclosure Agreement, NDA)이 있을 수 있다. 자신의 전화기를 업무에 사용하는 마케팅 전문가들은 자신이 회사 연락처를 업로드하고 있다는 사실을 모를 수 있다. 그리고 이런 고객들에 대해 클럽하우스가 생성하는 쉐도우 프로필은 회사의 직원에게 하나의 관계로 보일 수가 있으며, 해당 고객의 전화번호를 갖고 있는 경쟁업체에게도 해당 관계가 표시되면서 경쟁 정보 우려가 발생할 수 있다.


직원의 클럽하우스 사용으로 인한 위험을 최소화하는 방법

BYOD(Bring Your Own Device) 정책이 있는 기업은 연락처 정보 공유가 NDA 또는 기타 법률 및 보안 정책을 위반하지 않도록 각별히 주의해야 한다. 우선, 클럽하우스 사용의 위험에 대해 교육하고 이에 대한 명확한 정책을 수립할 수 있다.

연락처와 데이터 노출을 방지하는 방법 가운데 하나는 클럽하우스가 직원의 개인 계정에 있는 데이터에 접근하는 것을 최대한 통제하는 것이다. 대부분의 기업용 MDM(Mobile Device Management) 시스템은 사용자 및 기업 소유 기기에서 개인용 데이터와 업무용 데이터를 구분할 수 있다. 이것은 애플의 통합 관리 프레임워크도 마찬가지이다. 둘 다 자사에 적합하지 않은 경우 앱 스토어에 있는 MDM 앱을 이용할 수 있다.

클럽하우스는 안드로이드 버전도 개발하고 있기 때문에, 미리 계획하고 사용자들이 스마트폰의 기업용 업무 프로필 기능을 켜도록 요구한다.

이 기사 작성 시점에 클럽하우스는 1,000만 회 이상의 다운로드를 기록했으며, 다운로드 증가 속도는 늦춰질 기미가 보이지 않는다. 이 스타트업의 가치는 10억 달러로 평가되고 있으며 1억 달러 이상의 투자를 받았다. 

2개의 신뢰 및 안전성 분석가 일자리가 클럽하우스 사이트에 게시됐다. 하지만 그 설명을 보면 실제 데이터 보안 직위라기보다는 사용자 응대 의사소통 역할에 더 가깝다. 클럽하우스의 수석 투자가 안드레센 호로비츠는 의견 제시 요청에 응답하지 않았다. editor@itworld.co.kr 


X