클럽하우스 유출사고, 클라우드에서 사용자 정보가 샌다

 

[출처: 클럽하우스]

최근 코로나19로 인해 전세계 경제가 변화를 겪고 있다. 전통적인 오프라인 서비스가 침체에 들어간 반면, 온라인을 이용하는 학습, 회의, 배달 등 각종 서비스는 호황을 맞고 있다. IT업계에서는 특히 이런 상황에서 새로운 서비스 들이 속속 등장해서 각광받고 있기도 하다.

그런데 이런 서비스에서 개인정보를 담는 공간인 클라우드의 보안이 상당한 문제로 떠오르고 있다. 이전부터 서비스됐고 사용자가 많은 글로벌 서비스 들은 유출사고를 겪으며 보안이 강화됐다. 그런데 이제 막 각광받기 시작한 새 서비스에서 허술한 클라우드 보안으로 인해 개인정보가 노출되는 문제가 발생하고 있는 것이다.

우선 최근 주목받는 음성 전용 사회 관계망 서비스인 '클럽하우스'를 들 수 있다. 이 회사는 지난 2월 21일 앱 내 대화가 유출된 사실을 인정했다. 클럽하우스는 사용자들에게 공개 혹은 비공개 대화방에서 실시간 대화만 허용한다. 대화는 녹음되지 않는다는 점을 내세웠다. 

그런데 미국 사이버 보안 연구자는 대화 유출 방법을 알아낸 사용자가 있다고 트위터에 알렸다. 해당 사용자는 여러 대화방에 동시 접속이 가능하다는 것을 발견했다. 작동 원리를 이해한 사용자는 자기 웹사이트를 통해 클럽하우스 API에 접속한 뒤 해당 대화방의 대화를 듣고 싶어하는 사람들에게 자신의 로그인 상태를 공유하는 방식을 사용한 것이다. 클럽하우스측은 블룸버그 뉴스에 유출을 인정하고 해당 사용자를 퇴출했다

문제는 이것 뿐이 아니다. 전문가들은 클럽하우스의 보안 문제를 우려하고 있다. 클럽하우스의 데이터 서버 관리와 개인 정보 관리 등 백앤드 운영은 현재 API 플랫폼인 아고라(Agora)가 담당한다. 아고라는 미국 샌프란시스코와 중국 상하이에 각각 사무실을 두고 있다. 아고라는 2020년 나스닥에 상장될 당시 미국 증권 거래위원회에 제출한 서류에 검열 관련 내용을 제출했다. 아고라가 중국에서 국가 안보와 범죄 수사를 지원하기 위해 법률에 따라 중국 공안 및 국가 안보 당국에 지원을 제공할 수 있다는 것이다. 자칫하면 중국 클라우드에 있는 다른 나라 사용자 데이터까지 유출될 수 있다는 해석이 제기될 수 있다.

업계에서는 새로 등장한 서비스에서 주로 이런 개인정보 보안 문제가 터진다고 지적하고 있다. 줌(Zoom)과 틱톡(Tiktok)도 이미 비슷한 문제를 겪었다. 급격히 성장한 서비스는 규모가 작았을 때 그냥 넘어갔던 각종 문제에 부딪친다. 그 가운데 중요한 것이 사이버보안 문제라는 것이다.

클라우드 보안은 당연히 해당업체의 책임이다. 하지만 정작 많은 업체에서는 이런 개인정보 보안을 소홀히 하는 경우가 많다. 와이어드의 보도에 따르면 미국의 어떤 모바일 보안업체에서 안드로이드와 iOS 앱을 자동 분석한 결과, 많은 앱들이 클라우드 설정을 잘못하여 개인정보를 노출시키는 문제가 있었다. 

이 회사는 130만 개 이상의 앱을 분석한 결과  안드로이드 11,877개, iOS 6,608개 앱이 잘못된 클라우드 설정으로 개인정보, 비밀번호 등이 누구나 접근할 수 있게 되어 있다는 결과를 내놓았다. 특히 이 회사는 일부 모바일 앱 개발자에게 이것을 알려주기 위해 직접 연락을 했다고 하는데, 응답해준 곳이 적고 많은 앱이 문제를 고치지 않고 있다고 설명했다. 매우 충격적인 조사결과다. 

결국 사용자가 서비스를 사용할 때 조심하는 것이 최선이다. 개인정보 유출을 피하고 싶다면 글로벌 회사에서 오랜 시간 서비스를 통해 보안을 강화해 온 검증된 앱을 쓰도록 하자. 또한 새로운 서비스를 이용해야 할 때는 그곳에 중요한 개인정보를 담지 않도록 노력해야 한다. 아직 영세한 업체의 보안에는 허점이 있을 수 밖에 없다는 점을 인식해야 한다. 현실적으로는 사용자의 노력이 있어야 소중한 개인정보를 지킬 수 있다. 앞으로 이 부분에서 각국 정부와 IT업계의 가이드라인과 정책이 뒤따라주기를 바란다.