'원격수업' '화상회의', 사이버 테러 신호탄?...업계 "보안 논의 필요"

[서울=뉴스핌] 정윤영 기자 = "최근 '언택트(untact·비대면) 문화' 확산으로 화상 솔루션에 대한 수요가 급증했지만, 보안 사각지대에 놓여 있다. 사용자들은 가정에서 엄청난 사건이 터질 수 있는 시한폭탄을 떠안고 있다."

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 8일 뉴스핌과의 인터뷰에서 코로나19 확산에 따른 화상회의·화상교육 증가로 인해 직장인·학생 모두가 새로운 보안 위협을 맞이했다고 우려했다.

[서울=뉴스핌] 정윤영 기자 = 문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장. [제공=이스트시큐리티] 2020.04.08 yoonge93@newspim.com

그는 "기존에는 학생들이 학교에 가고 직장인은 회사로 출근했지만, 최근 코로나19로 인한 화상회의와 화상교육이 일반화 되면서 해커들에게 좋은 환경에 조성되고 있다"고 말했다.

보안 솔루션이 잘 갖춰져 있는 회사·교육기관에 비해 개인 PC는 상대적으로 진입장벽이 낮고, 이로 인해 해킹 피해 사례가 전세계적으로 늘어날 것이라는 분석이다.

보안업계에서는 미국에서 발생한 '줌 폭격(zoom bombing)'이 대표적 사례라고 지적한다. 원격 화상 솔루션인 '줌'은 외부인이 인터넷 주소(url) 베이스로 접속 가능한 오픈형 솔루션으로, 편의성 덕에 주목받았다.

그러나 줌은 유명세를 타면서 해커들로부터 집중적인 공격을 받았다. 지난달 줌 이용 도중 외부인이 침입해 음란물·인종차별 영상을 띄운 것이다. 이에 줌은 참가자가 미팅에 참여할 때 호스트가 제어할 수 있도록 '대기실 기능'을 활성화하고, 회사 참여 전 비밀번호를 입력하도록 해 여론 잠재우기에 나섰다.

하지만 이는 미봉책에 그칠 것으로 보인다. 줌은 개방형으로 공개설정이 된 화상 강의방의 링크가 소셜 미디어 사이트에 올려져있거나 검색을 통해 쉽게 드러나는 경우가 있다. 해커들에게 줌의 화상강의방 링크만 확보하면 침입은 식은죽 먹기라는 얘기마저 들려온다. 국내 대기업 화상회의방에 산업스파이가 쉽게 침투할 수 있단 얘기다.

더 큰 문제는 줌이 취약한 설계구조로 보안 위험이 높다는 것.

줌(Zoom)'은 암호화키를 중국 베이징 서버를 경유하도록 설계돼있다. 또 줌은 자체 개발한 보안방식(AES-128-ECB)을 사용했는데 표준화 방식이 아니다. 암호를 풀지 않고도 유추할 수 있게 만드는 등 소프트웨어 보안이 취약해 도청, 전송파일 유출 등의 우려가 있다는 경고가 계속됐다. 미국 연방수사국(FBI), 스페이스엑스(SpaceX), 미국 항공우주국(NASA) 등은 줌 사용을 금지시켰다.

국내 상황은 어떨까. 보안 위협에 무방비 상태라는 것이 전문가들의 우려다. 전문가들은 온라인 개학을 앞두고 업계에서는 '가정에서의 보안'에 대한 논의가 없다고 지적한다. 국내 교육현장 역시 한국교육학술정보원(KERIS) 'e학습터'와 'EBS 온라인 클래스' 등 대안이 존재하지만, 줌이 상대적으로 주목을 받았다.

문 센터장은 "'기업과 교육 기관이 가정에서의 보안을 어떻게 대비할 것인가' 문제는 어렵지만 필수적으로 논의돼야 한다"면서 "온라인 개강 후 자칫 학생들의 사생활이 노출되고 협박의 대상이 될 수 있다. 그럼에도 국내에선 사고가 터지기 전까지 보안 문제가 외면 받아왔다"고 우려했다.

익명을 요구한 보안업계 관계자 역시 "교육부가 온라인 개학을 놓고 골머리를 앓고 있어 보안까지 신경쓸 여력이 없다"면서 "더 큰 문제로 번질 수 있어 보안 논의와 교육을 반드시 실행해야 한다"고 말했다. 그는 "현재로서는 기업 보안보다 개인용 PC에 대한 점검이 필요한 시점"이라고 목소리를 높였다.

한편 국내 화상 솔루션은 줌과 달리 폐쇄형으로 보안성 뛰어나다는 평가다. 네이버 '라인웍스'와 교육용 '밴드' 등은 폐쇄형으로 관리자로부터 초대·권한을 받은 뒤 활동이 가능하다. 보안업계에선 폐쇄형에선 '해킹 피해 우려가 없다'며 최근 줌사태와 선긋기에 나섰다.