세계 코로나19 확진자가 급증하며 원격근무와 온라인 강의는 이제 필수가 됐다. 문제는 원격근무나 강의에 대한 준비가 미흡한 상황에 갑작스레 환경이 변하면서 이를 노린 사이버 위협이 증가했다. 기업이나 교육기관은 코로나19로 업무환경을 바꿨지만 사이버 보안 위협에 대책 마련에 미흡하다. 이런 상황에 간편하게 쓸 수 있는 영상회의 솔루션이 인기를 끌었다. 보안을 고려하지 않고 솔루션을 도입했다가 중요 회사 기밀이 유출되거나 온라인 강의를 방해받을 수 있어 대책 마련이 시급하다.
◇보안 미흡한 영상회의 '정보 유출 폭탄' 우려
영국 정부는 코로나19 대응을 위한 원격 회의를 줌(Zoom)으로 진행했다. 줌은 클라우드 기반 영상회의 솔루션이다. 일정 시간 내 회의를 마치면 별도 비용이 들지 않고 회의 개설이 편리해 최근 사용이 급증했다. 국내서도 온라인 개학을 앞둔 학교가 줌을 이용해 수업을 준비한다.
코로나19 확진자가 된 보리스 존슨 총리가 줌을 사용해 내각 회의를 주최한 사진이 인터넷에 올라오면서 사용이 알려졌다. 이에 영국 국방부가 깜짝 놀라 줌 사용 보안 경고를 했다. 영국 국방부는 줌 보안에 심각한 문제가 있어 정부 기관 등 사용을 금지했다. 줌은 실리콘밸리 스타트업이지만 엔지니어링팀은 중국에 있는 것으로 알려졌다. 줌을 이용해 내각 회의 등 국가 주요 회의를 할 경우 정보가 유출될 우려를 경고한 것으로 보인다.
일론 머스크가 이끄는 스페이스X는 지난달 직원 줌 접근을 비활성화했다. 항공우주 제조 분야로 국가 안보에 중대한 기술을 개발하는 만큼 보안 우려가 제기됐기 때문이다. 이후 미국 항공우주국(NASA) 대변인 역시 NASA 직원 간 줌 사용을 금지한다고 발표했다.
국내 기업 중에서도 사용 편리성과 저렴한 가격 때문에 줌으로 영상회의를 하는 사례가 늘었다. 영상회의를 통해 중요 정보가 외부로 유출될 가능성이 있어 대책마련이 시급하다.
◇온라인 강의 속에 칩입자 발생
해커가 온라인 강의에 무단 침입하면 예상치 못한 각종 피해가 발생했다. 지난달 미국에서는 영상으로 열린 행사와 수업 등이 사이버공격을 받아 행사 참여자와 학생이 포르노 영상에 노출되는 사건이 발생했다. 이를 두고 신조어 '줌 폭격(Zoom Bombing)'도 만들어졌다. 해외에서는 관련 사고 소식이 끊임없이 이어지고 있다.
미국 연방수사국(FBI)과 뉴욕 법무부는 '줌 폭격'에 관한 제보를 접수한 후 관련 경고를 발행하고 보안 조치 조사에 착수했다. FBI는 “줌 초기 설정이 '줌 폭격'을 초래할 위험이 있다”면서 학교를 대상으로 보안 경고를 발행했다. 뉴욕 법무장관은 지난달 31일 프라이버시와 보안 문제 조사에 돌입했다. 줌 측에 트래픽 폭증과 '줌 폭격' 같은 사이버공격에 대응하기 위해 어떤 조치를 취했는지 확인하고 있다. 이외에 줌의 개인정보 처리도 논란이 됐다. 아이폰에서 줌에 접속하면 개인정보가 페이스북으로 전달됐다. 페이스북 계정이 없는 사람이라도 스마트폰 정보, 줌 이용시간 등 정보가 페이스북으로 전송됐다. 줌은 즉시 패치를 진행했지만 타 회사로 줌 이용자 개인정보 전송 우려는 아직 완전히 불식되지 않은 상황이다. 서드파티에 개인정보를 불법적으로 공유한 사실과 관련해 줌은 현재 소송도 직면한 상황이다.
애플은 지난해 보안 연구자에 의해 카메라 탈취 취약점을 발견, 맥에서 줌 앱을 제거했다. 해커가 개설한 영상회의에 맥 이용자가 강제로 참여하게 되고, 영상회의 내용을 해커가 염탐할 수 있는 취약점이 발견됐다.
국내 학교도 사용이 편리한 줌으로 온라인 개학을 준비하고 있는 것으로 알려졌다. 실제로 교육부 온라인 강의 시범에서도 줌이 사용됐다. 온라인 개학이 시작되면 이용량이 더욱 증가하는 만큼 포르노, 폭력물, 인종·성차별 콘텐츠 전송 등 사회 정서에 악영향을 줄 수 있는 사이버 공격 가능성도 커진다. 학생들 개인정보 유출도 발생할 수 있다.
◇영상회의 재택근무 보안 챙겨야
보안업계는 영상회의를 비롯해 원격근무에 대한 보안 체크를 강조한다. 특히 기업은 바뀐 업무 환경에 대한 사이버 보안 위협 대책이 미흡하다. 코로나19로 기업은 사용자 위치에 상관 없는 클라우드와 데이터센터를 통해 모든 애플리케이션에 접속할 수 있는 환경을 제공한다. 공격자는 이런 상황을 노리며 재택하는 직원을 노린다.
줌과 같이 보안이 취약한 서드파티 제품을 쓸 경우 공격 성공 확률은 더 높다. 영상회의 솔루션이 무차별 대입(브루트포스) 공격 등에 취약하지 않은지, 데이터 전송 구간에 엔드투엔드(E2E) 암호화를 사용하는지 체크가 필요하다. 개인정보처리 정책에 대한 투명성도 점검해야 할 요소다.
전수홍 파이어아이코리아 지사장은 “코로나19로 온라인을 이용한 비대면 서비스 사용이 증가하면서 사이버 공격자가 침투할 수 있는 면적이 넓어졌다”면서 “집에서 회사 주요 서비스에 접속이 증가하고 영상회의가 늘어나는데, 이에 대한 보안이 제대로 고려되지 않고 있다”고 지적했다.
과학기술정보통신부와 한국인터넷진흥원은 기업의 보안관리자에 △원격근무시스템(VPN) 사용 권장 △재택근무자 대상 보안 지침 마련 및 인식제고 △재택근무자의 사용자 계정 및 접근권한 관리 △일정시간 부재 시 네트워크 차단 △원격 접속 모니터링 강화 △개인·기업 정보 등 데이터 보안을 권고했다.
오다인기자 ohdain@etnews.com