코로나 시대 대세 앱 ZOOM

차이나 스탠더드의 역설

텐센트 본사는 자주 정전이 되었다.

내가 겪은 텐센트 본사는 정전의 기억이었다. 세이브를 안 해서 몇 시간 코딩을 날린 기억은 부록이다. 텐센트 본사는 구로 디지털 단지처럼 효율적인 박스형 건물은 효율적이었고 미학적이라기보다 대량 생산 시대의 이정표 같았다.

텐센트가 아직 PC 메신저인 QQ 메신저와 온라인 게임이 주력이었던 시절에 심천(深圳)은 아직 기본적인 인프라가 불완전했다. 아직 중국이 한국의 게임을 경쟁적으로 구매하고 있었고 우리의 기술이 부가가치를 창출하던 시절이었다.

일하던 도중 중국의 월마트에 가서 장을 본 적이 있다. 월마트의 기억은 특대 용량의 식용유, 각종 생물이 가득한 로컬 시장의 분위기를 풍기고 있었다. 그리고 장위(深圳) 와인의 향기가 기억난다. 아직 중국 와인, 장위 와인은 같은 같은 생산연도의 와인을 열더라도 품질이 일정치 않은 희귀한 경험을 선사했다.  

텐센트는 젊었고 한정된 자원에서 무조건 해낸다는 정신이 있었다. 거대한 시장에서 성공의 경험이 있었기 때문에 무서운 것이 없었다. 정전이 되는 것은 일상사였지만 대수롭지 않게 생각했다. 물론 일하는 중간중간 세이브와 백업은 선택이 아니라 필수였다.

중국 소프트웨어는 오픈 소스를 변형하는 것부터 시작했다.

그 대표적인 것이 바로 QQ 메신저이다.

QQ메신저

QQ 메신저는 ICQ를 변형해서 만들어졌다. 중국에서 사용이 편하도록 편의 기능을 추가해서 스킨만 교체한 정도에서 시작했다. 한동안 ICQ와 QQ는 호환되었다.

자신의 소스가 아닌 오픈 소스에서 당장 필요한 서비스만 덧붙이는 개발은 단시간만에 제품을 만들 수 있는 장점이 있다. 반면 유지 보수와 보안의 문제는 폭탄처럼 따라온다.

QQ 역시 많은 해킹과 보안 사고를 겪었고 이 뒷수습은 지금도 진행 중이다. 호환성을 유지하면서 아주 천천히 보안 패치를 해야 하기 때문에 쉽지 않다. 

달리는 자동차에서 엔진을 새로 만드는 일이다. 

텐센트 QQ의 성공으로 인해 단기간에 오픈소스를 이용해서 소프트웨어를 개발하는 중국식 개발이 탄생하게 되었다. 일단 만들고 나중에 뒷감당을 하자는 정신으로 개발을 시작하는 것이 중국의 개발 스타일이다. 

중국의 블록체인 메인넷이 비슷비슷하고 거의 유사한 버그가 있는 이유가 바로 이런 Copy & Paste, Skin 교체 개발의 특징 때문이다. 당연히 보안 문제는 터졌다. 중국의 거래소 역시 유사한 문제가 지속적으로 발생한 이유가 바로 누군가 만든 블록체인 거래소 소스가 스킨만 갈아 돌아다니기 때문이다. 

ZOOM에 대한 많은 이야기가 나오고 있다.

결론을 이야기하면 ZOOM은 전형적인 중국식 개발을 통해 어디선가 출처가 불분명한 소스, 레거시가 가득한 결과물이라는 것이다. 

ZOOM은 보안적으로 위험할까? 

결론은 위험한 개발로 만들어진 SW이기 때문에 보안 취약점이 존재한다. 그리고 레거시 코드와 사용하지 않는 API 통신과 출처 불분명한 오픈 소스도 기능을 내포하고 있기에 상당한 블랙박스가 존재한다.

하지만, ZOOM은 보안 패치에 역점을 둘 것이다.

중국 기업이지만 나스탁에 상장된 기업이기 때문에 투자자 소송에 민감하다.

보안 문제로 각국 공공 기관에서 사용이 제한되는 것을 두고 볼 수 없다.

기업용 버전 보안 문제는 크리티컬 하다.

ZOOM은 여러 보안 회사, 해커들과 보안 컨설팅 계약을 맺고 취약점을 긴급히 패치하고 있다. 원격 화상 회의 솔루션이 다양하게 경쟁하고 있고 보안에 민감한 이슈가 터지다 보니 새로운 기능 개발보다 '보안' 패치에 신경 쓰는 모양새이다.

사실 ZOOM의 보안 무신경은 이번 코로나 사건이 아니었다면 대강 뭉개고 지나갔을 것이다. 생각보다 많은 유저들이 접속하면서 해커들의 집중적 타깃이 되면서 과거의 해킹 사례까지 폭넓게 회자되기 시작했다.

공유된 화면을 가로채서 엿보기를 하던가, 디도스를 유발시키거나, 관리자에 기본 패스워드로 접속하거나 윈도우 계정에 권한 없이 접속하는 일등이 가능했다. 그런 이유에서 ZOOM 관련 엿보기 영상이 저질스러운 사이트와 어둠의 인터넷에서 영원히 떠돌아다니고 있다. 

ZOOM은 기회를 놓치지 않고 보안 패치를 하면서 현상을 타계하고 있다. 전형적인 중국식 텐센트 스타트업 스케일업 전략을 구사 중이다.

그럼에도 불안요소는 무엇일까?

Made in china

화웨이 사태에서 그렇듯이 애매한 백도어 이슈는 프라이버시에 민감한 각국 정부와 개인에게 미지의 두려움을 만들고 있다. 

몇 년 전 제정된 중국산 소프트웨어는 중국의 사이버 보안법에 따라 접속 로그를 중국의 클라우드에 사본을 저장해야 한다. ZOOM 역시 중국 내 접속자를 위해 알리 클라우드에 사본을 저장한다. 

얼마 전, 유저가 폭증함에 따라 로직의 실수로 인해 중국 서버로 다수의 사용자가 접속된 사태가 있다. 이런 문제가 로그를 고의적으로 중국으로 남긴다는 의혹을 만들었다.

맞는 말일 수 도 있다.

하지만 테스트 케이스, TDD를 하지 않는 발 코딩의 문제에 가깝다고 판단된다. 

보안의 관점에서 설계되지 않은 소프트웨어인 ZOOM은 중국식 소프트웨어 개발 전략을 잘 이용하여 시대의 대세가 되었다. 그리고 문제를 거대한 자본으로 북미의 보안 전문가를 갈아 넣어 안정성을 확보하고 있다. 

중국의 위챗, 알리페이, 디디를 보면 이제 단순한 카피캣에서 실리콘벨리가 벤치마킹해야 할 대상으로 봐야 할 정도로 앞도적인 퀄리티를 자랑하고 있다. 갓차와 VVIP 시스템이라는 기형적인 중국 모바일 게임의 BM이 이제 한국 모바일 게임 BM이 된 지 오래이다. 

마냥 중국의 부상에 경계하는 것보다 우리가 무엇을 배울지를 고민해야 할 때이다. 차이나 스탠더드는 이제 글로벌 스탠더드가 되어가고 있다.

왜 우리는 글로벌 소프트웨어가 없는가? 

ZOOM이 우리에게 화두를 던져주고 있다.