[카드뉴스] 모든 회원에게 종단간 암호화 기능 제공하는 "줌(ZOOM)의 암호 이슈"

안녕하세요 성신여대 암호 동아리 ConSeQ입니다!

 

오늘의 카드 뉴스 주제는 화상회의 서비스인 ‘줌(zoom)의 암호 이슈’입니다.

 

2020년에 발생한 코로나 19로 인해 ‘사회적 거리두기’를 실천하면서 재택근무, 온라인 강의, 화상회의 등이 활발해짐과 동시에 화상회의 서비스인 줌(ZOOM)의 사용도 증가했습니다.

 

줌 측에 따르면 2월 대비 3월 줌의 이용량은 303.1% 증가했다고 합니다.

 

줌에 많은 사용자가 몰리면서 해커들의 표적이 되었고 기존에 줌이 가지고 있던 보안 문제가 공개되었고, 지난 4월 이와 관련된 각종 보안사고가 발생했습니다.

 

줌의 아이디와 비밀번호가 담긴 데이터베이스가 다크웹에서 거래되고 있는 사실이 알려졌고, 사용자의 메시지를 해독할 수 있는 암호키가 중국 줌 서버에 저장된 것이 밝혀져 암호키가 있다면 메시지 송·수신자가 아니더라도 이를 해독해 내용을 확인할 수 있는 보안 문제가 발생했습니다.

 

또한, 각 회의의 접속 번호만 알아내면 회의에 참여할 수 있어 진행 중인 화상회의에 해커들이 무단으로 참여하여 악의적인 방법으로 회의를 방해하는 이른바 ‘줌 폭격(Zoom Bombing)’ 현상이 전 세계 곳곳에서 발생하여 줌의 이용자들을 불안하게 만들었습니다.

 

이에 줌은 앞서 발생한 보안 사고들을 방어하기 위해 전 세계 유·무료 사용자들에게 종단간 (End-to-end) 암호화 옵션을 제공하기로 했습니다.

 

그럼 줌이 보안 기법으로 사용한 종단간 암호화는 무엇일까요?

 

먼저 종단간 암호화의 정의에 대해 알아보겠습니다.

 

종단간 암호화(End to End Encryption)란 처음 입력하는 단계부터 최종적으로 수신하는 모든 단계에서, 메시지를 평문으로 저장하지 않고 모두 암호화하는 방식입니다. 단대단 암호화라고도 부르며, 줄여서 E2EE라고 쓰기도 합니다.

 

종단간 암호화의 작동원리는 철수와 영희가 간단한 메시지인 “안녕”을 주고받는다는 상황의 예시로 설명하겠습니다.

 

① 먼저 철수가 영희에게 메시지를 보내기 전에 영희의 키로 암호화하여 영희만 볼 수 있도록 합니다.

② 철수는 영희의 키로 이미 암호화된 메시지를 서버로 발송합니다.

이때, 해커가 중간자 공격 등으로 도청한다고 해도 암호화된 데이터만 볼 수 있고 메시지는 읽을 수 없습니다.

③ 영희가 암호문을 받으면 자신의 키로 암호를 풀어 철수가 보낸 “안녕”이라는 메시지를 읽을 수 있습니다.

 

즉, 종단간 암호화는 메시지를 발송하고 수신하는 사람만 메시지 내용을 볼 수 있고, 발송 중간 단계에서는 암호화된 메시지 내용을 확인할 수 없는 것이 특징입니다.

 

줌 이외에도 아이메시지, 텔레그램, 카카오톡, 페이스북 메신저 등도 종단간 암호화를 지원합니다. 아이메시지는 아이폰 사용자끼리만 기본적으로 지원되며, 텔레그램, 카카오톡, 페이스북 메신저는 암호화 옵션(비밀대화)을 별도로 선택해야지만 암호화가 적용됩니다.

 

앞으로 줌(ZOOM) 사용자들은 문자 메시지를 통한 전화번호 인증 등 추가 정보 인증 과정을 거쳐 종단간 암호화를 이용할 수 있습니다.

종단간 암호화는 선택 기능으로 제공돼 호스트는 진행하는 회의마다 종단간 암호화를 설정 또는 해제할 수 있습니다. 계정 관리자 역시 단일 계정 또는 그룹 차원에서 종단간 암호화의 활성화·비활성화 여부를 선택할 수 있다고 합니다.

 

또한, 줌(ZOOM)은 ‘사용자 신고’ 기능 등 이미 갖추고 있는 툴과 더불어 플랫폼 오용 행위를 방지하려는 노력을 지속할 예정입니다.