편리함에 희생된 사생활

화상회의 기술에 내재된 위협

코로나바이러스감염증-19(COVID-19, 이하 코로나19)의 확산은 세계 각국의 경제·사회 전반부터 국민들의 일상에 이르기까지 많은 변화를 가져왔다. 재택근무와 원격수업 등 ‘사회적 거리두기’가 일상이 된 요즘, 비대면 문화의 최대 수혜자 중 하나는 클라우드 기반 화상회의 서비스 기업 ‘줌(Zoom)’이다. 작년에 비해 하루 평균 이용자 수가 40배 이상 상승했고, 최근 몇 주간 앱스토어에서 가장 많은 다운로드 수를 기록했다. 영국 정부가 줌으로 내각 회의를 진행했고, 우리나라 정부도 공식적으로 화상수업 플랫폼 중 하나로 안내할 만큼 줌은 사회적 거리두기 속에서 존재감을 확실하게 드러냈다.

물론 화상회의 서비스가 줌만 있는 것은 아니다. 시스코 웹엑스, 마이크로소프트 팀즈, 구글 행아웃 미트 등 줌과 유사한 기능을 제공하는 서비스들이 존재한다. 코로나19 이후, 화상회의 서비스들 대부분의 서비스 이용량이 증가했지만, 전 세계 이용자들의 시선은 줌에 집중되고 있다. 전문가들은 이러한 현상의 원인을 이용의 편리성에서 찾고 있다. 설치가 간단하고, 회원가입을 하지 않아도 초대 링크만 클릭하면 화상회의에 참여할 수 있기 때문이다. <지디넷> 칼럼리스트 애드라인 휴즈 역시 “줌을 내려받는 것은 너무 쉽고, 설치하는데 아무런 문제가 없다. 사람들을 회의에 초대하는 것도 굉장히 편리하다”며 사람들이 줌에 몰린 이유를 편리성에서 찾았다

앱 다운로드 수 (2020.3.26.~2020.4.1.) (단위: 백만 건)

그러나 줌에 대한 관심과 이용이 증가하면서 새로운 유형의 악몽이 시작되고 있다. 기술적인 한계로 인한 보안 문제와 이용자의 개인정보 데이터 유출 문제가 불거진 것이다. 항공우주기업 ‘스페이스X’가 프라이버시 및 보안 문제를 이유로 6,000여 명의 직원들에게 줌 이용을 금지한 것이 대표적이다. 미 연방수사국(FBI)까지 나서 이용자들을 위한 보안을 강화할 것을 경고할 정도로 줌은 전 세계의 관심대상이 되었다.

줌을 비롯한 화상회의 서비스들이 가져온 악몽은 무엇일까? 그 위협을 기술적 한계로 인한 혼란과 이용자 데이터 공유로 인한 사생활 침해의 악몽이라는 두 가지 차원에서 짚어보고자 한다.

기술적 한계로 인한 혼란

줌의 인기가 치솟는 동안, ‘줌바밍(Zoom-bombing)’이라는 신조어가 생겨났다. 이는 무단침입자에 의한 사이버 테러를 가리키며, 공격자들이 화상회의에 난입해 포르노나 인종차별 및 기타 혐오 콘텐츠를 투하하는 공격을 의미한다. 예컨대, 미국에서는 대학원생이 박사학위 논문을 심사받는 도중, 해커에 의해 음란물 화면과 인종차별 채팅 공격을 받기도 했으며, 메사추세츠의 한 고등학교에서는 신원을 알 수 없는 사람이 온라인 수업에 침입해 교사의 집 주소를 공개하고 욕설을 퍼붓기도 했다.

이와 같은 혼란스러운 현상은 기술적 한계로부터 기인한다. 줌의 화상회의방에는 무작위로 생성된 9자리에서 11자리 사이의 ID 번호가 부여된다. 이 번호는 이용자들이 회의에 접속하는 데 사용된다. 문제는, 높은 수준의 해킹 능력을 갖추지 않아도 이 번호를 쉽게 알아낼 수 있으며, 심지어 무작위로 모든 경우의 수를 대입하는 방법으로도 번호를 알아내는 것이 가능하다는 데 있다. 이용자들의 순간적인 편의를 위한 기술적 시스템이 결국 줌바밍 현상을 초래한 셈이다.

동시에, 화상회의방에 대한 암호를 설정하지 않고도 참가자들끼리 간단한 링크 공유를 통해 화면을 공유할 수 있도록 한 줌의 기본 설정 역시 지적하지 않을 수 없다. 보안을 최대화하기 위해서라면 모든 회의에 있어 이용자가 직접 암호를 설정하면 되지만, 서비스 초기에 줌은 회의방에 대한 암호화를 기본으로 설정해놓지 않았다.

줌의 암호 설정 화면 갈무리

줌은 지금까지 자사 서비스가 ‘엔드투엔드(end-to-end, E2E) 암호화’ 방식으로 안전하게 제공된다고 홍보했다. 그러나 계속해서 불거지는 보안 문제로 인해 암호방식에 대한 의구심이 커지자, 결국 ‘TLS 암호화’로 서비스를 제공하고 있다고 고백했다. 거짓 마케팅을 한 셈이다. TLS 암호화 기술을 활용한 자체가 문제가 되지는 않는다. 다른 화상회의 기술 서비스인 마이크로소프트 팀즈, 구글 행아웃 미트 역시도 TLS 암호화로 데이터를 전송하고 있다. 그러나 이들과 줌의 결정적인 차이는 투명성 보고서이다. E2E 암호화를 사용하면 보안 수준을 높일 수 있지만, 서비스 플랫폼이 기술적으로 무거워지며 이용자 가입 절차 역시도 까다로워진다는 단점이 있다. 이러한 이유 때문에 현실적인 이유로 TLS 암호화를 활용해 서비스를 제공할 경우, 미국에서는 투명성 보고서를 반드시 제출하도록 규정하고 있다. 사태가 심각해지자, 미 당국은 줌에게도 투명성 보고서 작성을 요청하였으며, 줌은 투명성 보고서의 정기적 발간을 준비하고 있는 상황이다.

한편, 마이크로소프트와 구글은 줌의 보안 논란을 의식한 듯, 화상회의 시스템 보안 정책에 대해 구체적으로 설명하며 줌의 보안과의 차별점을 강조했다. 마이크로소프트는 공식 블로그를 통해 이용자에게 제공하고 있는 보안 기능과 데이터 암호화 등 기술적 측면의 안전성을 소개했다. 구글 역시 보안을 고려한 설계(Secure-by-design)를 갖춘 기술적 인프라를 설명했다.

Microsoft Teams의 보안 기능 소개 화면 갈무리

Google Meet의 보안 기능 소개 화면 갈무리

이용자 데이터 공유로 인한 사생활 침해의 악몽

줌을 비롯한 화상회의 서비스의 두 번째 위협은 이용자 데이터 공유로 인한 사생활 침해이다. 2020년 4월, IT매체 <마더보드(motherboard)>는 줌 iOS 앱이 페이스북 계정을 등록하지 않은 이용자들의 데이터까지도 페이스북에 자동 전달하고 있다고 지적했다. 줌은 페이스북의 Graph API에 접속하여 자동으로 페이스북에 데이터를 전송하는, 페이스북의 소프트웨어 개발 키트(SDK)를 사용해왔다. 이로 인해, 이용자가 줌 앱을 실행하면 이용자의 기기 모델과 이용 시간대, 접속하고 있는 국가, 광고에 활용되는 타겟 데이터 등이 페이스북에 전달되었다. 더 큰 문제는, 문제가 지적된 시점까지도 줌은 개인정보 보호정책에 대해 이용자에게 명확하게 밝히지 않았다는 것이다. 초기 줌의 개인정보 보호정책은 이용자의 페이스북 계정에 대한 세부 정보를 수집할 수 있다는 설명이 포함되어 있지만, 페이스북 계정이 없는 이용자들의 데이터까지 페이스북과 공유하는 것에 대해서는 언급하고 있지 않았다. 논란이 확산되자, 줌은 2020년 3월 29일 개인정보 보호정책을 업데이트했다. 이용자의 개인정보를 보호하는 것을 가장 중요한 이슈로 간주하고, 이용자의 데이터를 판매하지 않으며 회의를 모니터링하거나 기록을 저장하지 않을 것임을 명시했다. 다만, 서비스를 제공하는 데 필요한 이용자 데이터는 불가피하게 수집할 수밖에 없음을 밝히고 있다.

업데이트 이후 줌의 개인정보 보호정책

2020년 4월 1일, 줌 CEO인 에릭 유안은 공식 블로그를 통해 입장을 발표하고 페이스북에 iOS 이용자 데이터를 전송하는 것을 막기 위해 소프트웨어를 업데이트하겠다고 밝혔다. 또한 향후 3개월 동안 어떠한 기술 개발도 하지 않은 채, 데이터 보안과 개인 정보 문제에 집중해 투명성을 확보할 것임을 강조했다. 전 세계 연구자들이 지적한 프라이버시 문제를 해결하기 위해 줌이 수행한 노력은 다음과 같다. 먼저, 화상회의방을 기술적으로 보호하는 기능을 보완했으며(3월 20일), iOS 이용자들의 페이스북 SDK를 삭제하는 조치를 취하여 이용자의 개인정보를 최대한 수집하지 못하도록 재구성했다(3월 27일). 또한, 어떠한 데이터를 수집하고 어떻게 사용하는지에 대해 보다 명확하고 투명하게 밝히기 위해 개인정보 보호정책을 업데이트했으며(3월 29일), 90일 동안 새로운 기능을 추가하지 않고, 전문가들과 함께 종합 검토를 실시해 데이터 보완을 확보할 것을 밝혔다(4월 1일).

에릭 유안(줌 CEO)이 공식 블로그를 통해 밝힌 후속 방침

기술 기업에 대한 견제와 감시

지금까지 두 가지 관점을 통해 코로나19 사태로 인해 떠오른 화상회의 서비스가 가져오는 위협을 살펴보았다. 화상회의 서비스 등 기술 기업들은 이용자의 관심을 추적할 뿐 아니라, 이용자를 추적하고 있다. 이름, 주소, 이메일, 연락처, 거주지역 등 이용자에 대한 수많은 데이터를 수집하고 보관하며 분석하고 있다.

특히, 화상회의 서비스의 대표 주자로 급부상한 줌은 기술적 문제와 프라이버시 문제에 대해 집중포화를 받았다. 이러한 문제에 대한 관심이 궁극적으로는 이용자들에게 도움이 될 것이다. 다른 화상회의 서비스 플랫폼들 역시 유사한 문제에 대해 보완하려는 노력을 보일 것이기 때문이다. 이번 논란을 통해, 기술적 보완과 이용자의 프라이버시 보안에 주의를 기울이는 서비스는 이용자들의 신뢰를 얻게 될 것이다.

요즘 같은 팬데믹 시대에 이용자들 입장에서는 적합한 화상회의 서비스를 찾는 것이 쉬운 일은 아니다. 프라이버시, 접근성, 이용성 등의 요소들을 고려해야 한다. 이를 모두 갖춘 서비스를 찾는 것도 어렵고, 익숙하지 않은 화상회의 서비스를 이용하도록 주변사람들을 설득하는 것도 쉬운 일이 아니다. 이러한 어려움이 이용자가 화상회의 서비스를 선택하는 데 있어서 접근성과 이용의 편리성을 우선순위로 두게끔 유혹으로 작용했고, 다른 화상회의 서비스보다 편리하게 서비스를 기획한 줌의 열풍을 가져온 것으로 보인다. 하지만 기술 기업은 다른 어떠한 요소보다 이용자의 프라이버시를 우선순위에 두어야 한다.

이용자들도 자신의 데이터가 누군가에 의해 수집되고, 보관되며 분석된다는 사실을 무섭게 인지해야 한다. 페이스북이나 구글, 화상기술 서비스와 같은 기술 기업들은 앞으로 더 많은 이용자들의 데이터를 수집할 것이다. 기술 기업에게 있어서 서비스 이용자는 고객이 아니라 데이터를 생산하는 노동자이다. 페이스북이나 구글 계정을 통한 연동 회원가입으로 인해 기업들에게 손쉽게 넘겨주는 데이터가 직접적이고 즉각적인 위협으로 다가오지 않는다고 해서 아무런 문제가 없는 것이 아니다. 2013년, 에드워드 스노든이 미국 국가안보국(NSA)이 미국인들의 통화기록과 인터넷 사용정보 등을 무차별적으로 수집하고 있다는 사실을 폭로한 바 있다. 이에 대해 미 정보당국은 합법적인 범주 하의 수집이었으며, 통화 내용을 녹음한 것이 아니라 누구와 언제, 얼마 동안 통화했는지에 대한 간접 기록만 수집했다는 성명을 발표했다. 하지만, 기술 기업들은 간접 기록만으로도 충분히 이용자를 감시할 수 있고, 그들의 미래 행동을 예측할 수 있다. 간접 기록, 즉 데이터에 대한 데이터를 메타데이터(metadata)라고 부른다. 카카오톡, 페이스북 메신저, 인스타그램 디엠을 주고받은 계정, 날짜, 시간, 대화방 참석자 등이 메타데이터에 해당한다. 대부분의 이용자들은 메타데이터에 대해 크게 신경쓰지 않는다. 하지만 기술 기업들은 메타데이터만으로 이용자를 추적하고 감시하고, 그들의 다음 행동을 예측한다.

궁극적으로, 기술과 제도, 그리고 인식이 균형을 이루는 해결책을 고민해야 한다. 기술적으로는 개별 이용자들의 사생활을 지키는 보안 시스템을 개발해야 하고, 제도적으로는 데이터를 수집하고 보관하는 거대 기술 기업들을 규제하고, 그들에게 법적 책무를 부여해야 한다. 인식적 차원에서는 이용자 스스로 보안에 신경쓰고, 온라인상에서의 권리를 찾아야 한다.

화상회의 서비스에 심각한 위험이 존재한다고 해서, 화상회의 서비스를 거부하고 오프라인 회의를 고집할 필요는 없다. 오히려 갈수록 온라인상에서 더 많은 삶을 살 수밖에 없는 운명인 인류로서는 기술 기업들을 견제하고 감시하는 노력을 지속해야만 한다. 프라이버시를 지키려는 노력은 이용자 스스로부터 시작해야 한다. 그렇지 않다면, 코로나19가 종식되기 전에 우리의 사생활이 먼저 사라질 것이기 때문이다.

---

본 내용은 한국언론진흥재단 <신문과방송> 2020년 5월호에 실린 필자의 원고를 수정하여 게재하였습니다.