• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

모질라, 인기 높은 화상 회의 앱 15개의 보안성 검사해 발표 2020.04.29

15개 중 12개가 최소한의 보안 수칙은 지키고 있어...3개는 최소한의 것도 충족 못해
화상 회의 앱은 사용자의 사용 방식과 환경설정에 따라 얼마든지 위험해질 수 있어

[보안뉴스 문가용 기자] 모질라가 ‘프라이버시 낫 인클루디드(Privacy Not Included)’ 보고서를 최근 공개하며, 인기 높은 화상 전화 애플리케이션들 15개 중 12개가 최소한의 보안 표준을 맞추고 있다고 발표했다.

[이미지 = iclickart]


코로나 사태로 많은 기업들이 재택 근무 체제를 선택하며, 화상 회의 앱과 플랫폼들에 대한 수요가 크게 올라가고 있다. 최대한 사무실에서 근무하고 회의하는 것처럼 업무 인프라를 꾸리는 와중에 발생한 현상이다. 그러면서 여러 가지 플랫폼들에 대한 보안성이 화두가 됐다. 대표적으로 줌(Zoom) 같은 경우 인기가 크게 치솟았다가 여러 보안 문제가 불거지며 급락하기도 했다.

이런 상황에서 모질라는 15개의 영상 회의 애플리케이션들에 대한 보안 점검을 실시했다고 한다. 많은 사람들이 찾는 유명 앱들이며, 사용자들이 궁금해 하는 보안 관련 정보를 제공하기 위해서였다.

그 결과 모질라는 12개의 앱들이 모질라가 수립한 ‘최소 보안 표준(Minimum Security Standards)’에 부합한다는 것을 발견했다고 한다. 이 앱들은 다음과 같다.
1) 줌
2) 구글 행아웃
3) 애플 페이스타임
4) 스카이프
5) 페이스북 메신저
6) 왓츠앱
7) 짓시 미트(Jitsi Meet)
8) 시그널
9) 마이크로소프트 팀즈
10) 블루진스(BlueJeans)
11) 고투미팅(GoTo Meeting)
12) 시스코 웹엑스

이 앱들은 암호화, 자동 보안 업데이트, 강력한 비밀번호 설정 등의 조건을 갖추고 있었으며, 자체 버그바운티 프로그램도 실행하고 있었고, 보안 취약점 보고 채널과 관리 체제를 명확하게 마련한 상태였다고 한다. 또한 프라이버시 관련 정책도 수립되어 소비자들에게 뚜렷하게 제시하고 있었다.

반면 최소한의 보안 표준도 맞추지 못하고 있는 것으로 분석된 앱 세 개는 다음과 같다.
1) 하우스파티(Houseparty) : 12345나 1111과 같은 쉬운 비밀번호도 설정 가능하다.
2) 디스코드(Discord) : 12345나 1111과 같은 쉬운 비밀번호도 설정 가능하다.
3) 독시미(Doxy.me) : 다양한 항목에서 보안 기본 수칙이 위반되고 있다.

녹화나 녹음 기능이 실시될 때 화상 회의 참가자 전원에게 알림이 뜨는 건 15개 앱 모두가 공통이었다. 거의 대부분이 규칙 설정 권한을 가진 호스트를 제공하고 있었으며, 모든 앱들이 암호화 알고리즘을 적용하고도 있었다. 다만 종단간 암호화를 제공하는 건 일부뿐이었다.

그러나 모질라는 “최소한의 보안 표준을 만족시킨다고 해서 안전하다는 뜻은 아니”라고 보고서를 통해 강조했다. “페이스북 메신저의 경우, 사용자가 어떤 사람과 대화를 하는가 등과 같은 메타데이터를 수집하는지 안 하는지 명확히 밝혀지지 않았습니다. 하우스파티는 개인정보를 진공청소기처럼 빨아들이고 있으며, 디스코드는 사용자의 연락처 정보를 수집합니다.”

또한 사용자가 앱을 어떻게 설정해 사용하느냐에 따라 얼마든지 위험해질 수 있는 것이 협업 플랫폼의 태생적 한계라고 덧붙이기도 했다. “페이스타임, 구글 듀오, 시그널, 하우스파티 등은 쉽게 화상 통화를 할 수 있도록 만들어진 앱입니다. 뚝딱 세션을 만들어 서로 얼굴보며 통화하는 게 중점인 앱이죠. 즉 보안이 조금은 소홀할 수 있고, 따라서 업무용으로는 그리 좋지 않습니다. 줌, 블루진스, 고투미팅, MS 팀즈, 시스코 웹엑스가 업무용으로 보다 적합합니다.”

그러면서 모질라는 캐주얼하고 간단한 연락을 위해서라면 굳이 보안성이 강력하고 무거운 앱을 쓰지 않아도 되고, 업무와 회의를 위해서라면 조금 귀찮은 설정을 거쳐야 하지만 보다 안전한 업무용 앱을 사용하는 게 낫다고 권장했다.

원격 회의 앱을 찾는 기업이라면 모질라의 보고서 원문(https://foundation.mozilla.org/en/privacynotincluded/categories/video-call-apps/)을 참조하는 것도 도움이 될 것으로 보인다.

3줄 요약
1. 화상 회의 및 공유 플랫폼 15개 점검했더니, 12개가 기본 보안 사항은 갖추고 있음.
2. 갖추고 있지 못한 앱은 하우스파티, 디스코드, 독시미로, 이 3개는 피하는 게 상책.
3. 기본기 갖춘 12개 앱이라 해도 사용 방법과 설정 방식에 따라 위험해질 수 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>