“줌 믿어주세요” 보안만 90일 개발한 줌이 남긴 것
전 세계를 강타한 코로나19로 경제활동이 위축된 가운데에도 성장 기회를 잡은 기업들이 있습니다. 대표적으로 ‘줌 비디오 커뮤니케이션즈(이하 줌)’가 있습니다. 이 회사는 화상 회의 플랫폼인 줌을 서비스합니다.
코로나 기간, 이 회사의 성장은 어마어마했습니다.
누구나 쉽게 화상 회의를 진행할 수 있는 줌은 4월에만 최고 접속자 수가 3억 명을 돌파했습니다. 2020년 1분기 매출도 작년 대비 169% 성장했고, 지난해 4월 IPO 당시 159억달러(19조3500억원)하던 기업의 규모는 최근 420억달러(51조1350억원)로 수직 상승했습니다.
줌은 ‘웹엑스(Webex)’ 출신 엔지니어가 다수 참여했습니다. 웹엑스는 수년째 화상 회의 플랫폼 시장 점유율 1위를 거머쥐고 있습니다. 하지만 줌은 기존 화상 회의 플랫폼에 없던 ‘편의성’과 ‘접근성’을 내세우며 웹엑스 아성을 위협하기 충분했습니다.
하지만 줌은 의외의 곳에서 큰 고난을 맞이합니다. 바로 ‘보안’이었습니다. 시스템적으로도 문제가 많았고, 프로그램의 보안성도 높지 않은 편이었습니다. 갑자기 화상 회의에 참여해 방해하는 ‘줌 바밍(Zoom bombing)’이라는 신조어가 생길 정도였습니다. 이에 줌은 회사 전체가 보안과 관련된 개발에만 무려 90일 동안 집중한다는 특단의 조치를 발표했습니다.
–
■ 90일 ‘보안’만 개발할게요, 제발 줌 믿어주세요
4월 1일 시작한 줌의 ‘90일 보안 계획’은 7월 1일 마무리됐습니다. 줌은 스스로 약속했던 부분을 다 지켰다고 자평하며 “개인정보 보호와 보안은 줌의 우선순위이며 결실을 이룬 90일 계획은 첫 단계일 뿐”이라고 밝혔습니다.
그들의 노력을 간단히 정리하면 크게 3가지입니다. 줌은 더 강한 암호화 기술로 개인정보 보호와 보안에 나섰고, 관련된 상황을 투명하게 공유할 것입니다. 그리고 지금의 보안 상태를 다양한 전문가와 함께 유지하기 위해 노력을 이어간다고 하네요.
① 90일 계획이 마무리되기 직전인 6월 27일, 줌은 AES 256 GCM 암호화를 특징으로 하는 ‘Zoom 5.0’을 업데이트했습니다. AES 256 GCM은 현재 사용되는 가장 안전한 암호화 표준으로 평가받죠. 여기에 가장 지적받던 부분인 ‘종단간 암호(E2EE)’를 모든 줌 사용자(유저)에게 추가했습니다.
즉, AES 256 GCM으로 클라이언트를 단단하게 만들고, E2EE로 화상 회의 보안성을 강화한 것입니다. 이를 통해 이번 90일 보안 계획에서 가장 중요하고 필수적인 요소를 만족한 셈입니다.
여기에 줌은 사용자 신고 기능을 추가하고, 암호 기능 활성화를 회의 기본값으로 하는 등의 노력을 했다고 하네요. 또 암호화 및 보안 전문 업체 Keybase를 인수하며, 지금은 줌이 제공하는 클라우드 보관하는 일부 암호화 키도 미래에는 호스트에게 모두 넘길 계획이라고 합니다.
② 줌이 사용자에게 개인정보 보호와 보안에 관계된 이야기를 공유하기 위해 노력합니다. 사실 줌이 보안에 관해 크게 지적받는 이유가 단순히 E2EE가 없어서가 아닙니다. 마이크로소프트의 화상 회의 툴 ‘팀즈’도 E2EE를 지원하지 않지만, 별다른 보안 이슈가 발생하지 않습니다.
논란은 줌이 E2EE가 적용됐다고 밝혔다가, 이후에 사실이 아닌 것으로 판명되며 시작했습니다. 논란이 일었던 4월, 줌은 E2EE를 ‘회의 참석자와 줌 서버 간 통신만 암호화’라는 뜻으로 사용했다고 하네요. 즉, 회의 참석자 메시지가 암호화하더라도 줌은 이를 북호화해서 볼 수 있다는 것이죠. 줌은 부정했지만, 의심의 눈초리를 완벽하게 지우긴 힘들었습니다.
일부 매체에서는 표면적으로 줌은 미국 회사지만, 소프트웨어 개발에 참여한 자회사 중 3곳이 중국 회사라는 점을 지적했습니다. 4월부터 줄곧 시티즌랩은 줌이 중국 정부로 개인 정보를 보낸다는 연구 보고서를 내놓고 있습니다.
많은 신뢰를 잃은 줌은 이제 많은 것을 공유하려고 나섭니다. 그들은 데이터, 녹화, 콘텐츠 등 정보와 관련된 주기적인 투명성 보고서를 제작하고, 매주 수요일에는 개인정보보호와 보안 업데이트 사항을 설명하는 웨비나를 개최합니다. 특히 웨비나에는 임원은 물론 보안 컨설턴트가 참여해 사용자에게 진정성을 보여주기 위한 노력을 이어나가고 있습니다.
③ 마지막으로 전문가와 다양한 방법으로 계속해서 높은 보안성을 유지한다고 하네요. CISO 자문 위원회 등이 포함한 전문가 그룹에 검토를 받고, 직접 CISO 자문 위원회 운영에도 참여합니다. 버그 바운티 프로그램을 강화하기 위해 보안 엔지니어를 계속해서 채용하며, 화이트박스 침투 시험을 통해 줌의 안정성을 자체 평가한다고 하네요.
짧다면 짧은 길다면 긴 90일. 백 일에 가까운 시간 동안, 줌은 보안 역량 강화에 모든 노력을 쏟아부었습니다. 그리고 발표한 자료는 시간을 허투루 사용하지 않았다는 방증으로도 보입니다. 특히, 단순히 기능 강화에 그치지 않고 모든 상황을 공유하려고 노력하는 점은 줌이 가장 놓친 부분이 ‘신뢰’라는 점을 스스로 알고 있는 듯합니다.
물론 본사 직원 2500명이 모두 보안에만 신경 쓴 것 치고는 ‘이제 할 것을 채운 느낌’을 지울 수 없긴 합니다. 그래도 소 잃기 전에 외양간을 고치긴 해서 다행이라고 할 수 있겠네요.
줌은 이번 90일 보안 계획을 완료하며 “보살핌이라는 회사 철학이 지난 90일간의 노력을 통해, 사용자들에게 전해졌기를 바란다”고 밝혔습니다. 이제라도 사용자와 사용자의 정보를 잘 보살폈으면 하네요. 그리고 사용자에게는 기술이나 편의만큼이나 ‘신뢰’가 중요하다는 사실도 기억했으면 합니다.