[기자수첩] '줌'이 위험하다는 이야길 듣지 못했다

"이용자들에게 줌을 쓰지 말아야 한다고 하기는 어렵다."

화상회의 솔루션 '줌'의 보안 위협에 대해 질문을 던졌을 때 전문가들에게 공통적으로 들은 답변이다.

코로나19로 비대면 문화가 확산하면서 기업 내 회의, 학교 수업을 대체할 수단으로 화상회의 솔루션이 급부상했다. 줌은 그 중 가장 유명세를 탔다.

유명세의 이유 중 하나는 솔루션의 인기였다. 지난 21일 줌의 일일 이용자 수(DAU)가 3억명을 돌파했다는 보도도 나왔다. 1월 대비 30배 성장이다. 매달 10배씩 성장해 코로나19 시국의 최대 수혜를 입은 서비스로 등극했다.

국내에서, 특히 언론의 관심을 받은 이유는 보안 우려가 부각되면서다. 주목을 받고 사용자도 늘자 여러 보안 취약점이 잇따라 발견됐다. 창립자인 에릭 유안이 중국계라는 점은 보안 의혹을 부추겼다. 취약점 제보를 받은 줌이 대응책을 내놓으면, 기다렸다는 듯 새로운 취약점이 발견됐다. 미국 사용자의 데이터가 중국 데이터센터로 전송됐다는 사실도 발견됐다. 이용자 불신은 갈수록 커져갔다.

온라인 개학 실시가 발표된 이달 초에는 외부인이 허가 없이 줌 화상회의방에 침투하는 '줌바밍' 이슈가 부상했다. 이쯤 되자 교육부 가이드에서 원격수업 플랫폼 예시 중 줌을 빼야 한다는 의견이 나왔다. 더 나아가 정부 차원에서 줌 사용을 막아야 한다는 주장까지 일각에서 제기됐다.

정부 차원에서 전국민의 특정 솔루션 사용을 막자는 식의 제안은 당연히 무리한 발상이고, 실현도 불가능하다. 이같은 주장이 제기될 정도로 줌의 보안 수준에 대한 우려가 증폭돼 있는 것이다.

전문가 의견은 어떤지 궁금했다. 그리고 이 질문을 받은 교육부, 한국인터넷진흥원, 보안업계 전문가들 모두 "줌이 위험하다고 단언할 수 없다"는 답을 줬다.

이같은 판단을 내린 근거는 보안 우려에 대처하는 줌의 방식과, 보안의 특성 등 두 가지다.

줌은 제보받은 취약점의 악용을 막고자 보안 업데이트를 수시로 배포하고 있다. 지난 2일 일반 개발 업무를 중단하고, 향후 90일간 보안 개선 작업에만 집중하겠다고 밝혔다. 이용자에게 중국 데이터센터로의 연결을 피할 수 있는 선택지도 제공했다. 줌이 보안 문제를 방치하지 않고, 지속적으로 대응하고 있기 때문에, 현재 활발히 악용되는 치명적인 취약점은 발견되지 않고 있다.

보안 취약점은 인기에 비례해 늘어난다. 어떤 서비스를 많은 사람이 쓰면, 그를 먹잇감으로 삼는 해커도 늘어나는 것이다. 전문가들은 취약점을 계속 노출하는 줌보다 다른 화상회의 솔루션이 더 안전하지 않냐는 질문에 "절대적으로 그렇다고 볼 수 없다"고 답했다. 현재 줌을 사칭하는 사이버공격이나 '줌바밍'은 해커가 이용자가 몰리는 플랫폼을 집중 공격하기 때문이라는 것이다. 다른 솔루션이 줌보다 많은 인기를 얻게 되면 해당 솔루션에 해커 공격이 집중될 것이고, 그 공격의 결과가 얼마나 치명적일지 알 수 없다는 설명이었다.

위험하다고 단언할 수 없는 것도 맞지만, 안심하고 줌을 쓰라는 답도 나오지 않았다. 보안업계에서는 평소에도 "100% 안전하다"는 표현을 쓰지 않는다. 미지의 해커들이 수행하는 공격을 막아내야 하는 입장에서, 향후 닥칠 위협이 어떤 형태인지 완벽히 알 수 없기 때문이다.

당장 줌을 써야 할지, 말아야 할지 고민되는 이용자 입장에선 이처럼 애매모호한 전문가 의견이 일견 답답하게 느껴질 수도 있다. 그러나 이런 답답함이 보안의 고유한 특성이다. 향후 줌이 보안 위협에 대처하는 방식이 지금처럼 적극적일지, 화상회의 솔루션에 대한 사이버공격이 앞으로 얼마나 거세질지 또는 얼마나 고도화될지 아무도 알 수 없다.