실시간 뉴스



[IT돋보기] '클럽하우스' 보안 '적신호'…암호화 미적용 '시끌'


클럽하우스, 시간 차 두고 기능 구현 예정…박세준 티오리 대표 지적

쏟아지는 정보통신기술(ICT) 현안을 잠시 멈춰 서서 좀 더 깊숙히 들여다봅니다. 'IT돋보기'를 통해 멈춘 걸음만큼 보다 심층적으로 분석하되, 알기 쉽게 풀어쓰겠습니다. [편집자주]

[아이뉴스24 최은정 기자] 음성 기반 사회관계망서비스(SNS) 클럽하우스의 전세계 다운로드 수가 최근 1천만건을 넘어선 가운데, 각종 보안 이슈가 불거지면서 사용자들의 불안감은 지속되고 있다.

이에 클럽하우스 측은 보안 기능을 추가한 애플리케이션 신규 버전을 내놨지만, 해당 기능은 아직 구현되지 않고 있는 것으로 나타났다.

지난해 3월 출시된 클럽하우스는 그동안 보안성 측면에서 우려가 제기돼 왔다. ▲ 앱 운영 정책과는 달리 사용자가 대화 등의 데이터를 유출·노출할 수 있는 점 ▲암호화되지 않은 데이터가 중국 서버를 거친다는 점 등이 주요 문제로 떠올랐다.

음성 기반 SNS '클럽하우스' 앱 화면[사진=클럽하우스]
음성 기반 SNS '클럽하우스' 앱 화면[사진=클럽하우스]

1일 관련 업계에 따르면 클럽하우스는 서버 관련 이슈가 불거진지 단 며칠 만에 데이터 암호화 등 추가 기능을 적용한 앱 신규 버전 0.1.28을 배포했다. 이 버전에는 암호화 처리가 가능한 코드가 포함돼 있는 것으로 알려졌다.

그러나 클럽하우스 측은 현재 해당 암호화 기능을 서버에서 꺼두고 있는 것으로 나타났다. 모든 사용자가 신규 버전을 다운로드하기 전까지는 기능 구현에 시간을 두겠다는 계획이다. 대화 참여자들이 서로 다른 버전의 앱을 사용할 경우 원활한 소통에 문제가 생길 수 있어서다.

◆ 암호화 기능 '오프' 상태…도청·감청 위험성

사이버 보안기업 티오리 박세준 대표는 클럽하우스에서 송·수신하는 각종 데이터가 암호화되지 않고 있는 것을 지난달 16일 확인했다.

클럽하우스는 미국과 중국에 기반을 둔 서비스형 플랫폼(PaaS) 기업인 아고라의 서비스를 쓰고 있다. 아고라는 리얼타임커뮤니케이션(RTC) 기술을 보유하고 있는데, 이 기술은 실시간 음성, 영상 등을 사용자들이 공유하도록 해준다.

박 대표는 "클럽하우스와 아고라 사이에서 데이터가 송수신하는 과정에서 음성 등의 데이터가 암호화되지 않았다"며 "또 분석 결과 방 이름, 사용자 아이디, RTC 토큰, 내부 IP 등이 데이터 묶음(패킷)에 노출되는 것을 확인했다"고 설명했다.

이어 "때문에 도청·감청 및 변조 등 보안 문제가 발생할 수 있다"고 지적했다.

클럽하우스의 데이터가 그대로 아고라의 중국 서버를 경유한다는 것도 최근 문제가 됐다.

이에 대해 박 대표는 "아고라의 서버는 전세계적으로 포진해 있으나 특히 아시아 쪽 데이터는 송수신 시 중국의 데이터 센터를 거쳤다"며 "방 이름, 사용자 아이디 등의 메타 데이터뿐 아니라 암호화되지 않은 음성 데이터까지 아고라 중국 서버를 경유했다"고 말했다.

다만, 클럽하우스 측은 0.1.28 버전을 통해 데이터가 중국 본토에 있는 서버를 거치지 않도록 조치했다.

◆ 사용자 단의 보안 문제, 막을 방법 없나

지난달 21일(현지시간)에는 특정인이 클럽하우스 안의 실시간 대화 내용을 웹에서 스트리밍한 사건도 발생했다. 이를 통해 클럽하우스의 가입자가 아니더라도 웹사이트에서 관련 대화를 들을 수 있었다.

클럽하우스 측도 이를 인정했다. 리마 반나시 클럽하우스 대변인은 같은 날 외신을 통해 "지난 주말 한 사용자가 여러 개의 방에서 라이브로 진행되고 있는 오디오를 자신의 웹사이트를 통해 스트리밍했다"며 "이 사용자에게는 클럽하우스 영구 금지 조치를 내렸으며, 이와 관련 새 안전장치를 설치했다"고 말했다.

다만 이번 사건을 사이버 공격으로 인한 보안 사고로 볼지 여부에 대해선 논란이 있는 상황이다.

이 사건을 처음 발표한 미국 스탠포드대 인터넷 관측소(SIO)의 최고기술책임자(CTO)인 데이비드 틸은 "이번 데이터 유출이 악의적이거나 '해킹'에 의한 것은 아니다"며 "사용자가 클럽하우스의 약관을 위반한 것"이라고 말했다.

박 대표 역시 "사용자가 프라이빗이 아닌 공개된 클럽하우스 방에서 이뤄지고 있는 대화를 웹에서 송출한 것"이라며 "클럽하우스 내부에 저장돼 있던 음성 데이터가 해킹으로 유출된 것은 아니다"고 강조했다.

그러나 사용자가 대화를 녹음하는 등 위반 사항을 클럽하우스 측이 일일이 제재할 수 있을지는 미지수로 남는다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사는 "누군가가 특정인의 대화 내용을 녹음해 이를 기반으로 협박하거나, 대화 내용을 필요로 하는 이에게 돈을 주고 거래하는 등 사건은 앞으로 충분히 일어날 수 있다"며 "민감한 주제의 대화를 지속하는 것은 범죄자들에게 먹잇감을 제공할 수 있다는 점을 인지해야 한다"고 말했다.

최은정 기자 ejc@inews24.com






alert

댓글 쓰기 제목 [IT돋보기] '클럽하우스' 보안 '적신호'…암호화 미적용 '시끌'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스