본문 바로가기 주메뉴 바로가기 검색 바로가기
클럽하우스 보안·프라이버시, 폭발적인 성장세 못 따라간다
상태바
클럽하우스 보안·프라이버시, 폭발적인 성장세 못 따라간다
클럽하우스 플랫폼은 보안 문제 관련, 여러 사건이 발생하자 더 나은 보안 조치를 약속했다. 그러나 보안 강화를 실천하는 데 가장 어려운 점은 사용자의 기대를 관리하는 것이다.
By LILY HAY NEWMAN, WIRED US

지난 몇 달간 오디오 기반 SNS 앱인 클럽하우스가 가장 최근 혁신을 이룬 인기 앱으로 급부상했다. 클럽하우스의 형태는 어딘가 친숙하게 느껴진다. 일부는 트위터 형태와 페이스북 라이브 형태, 그리고 또 다른 일부는 전화 통화의 형태와 같다. 클럽하우스가 계속 규모를 확장하자 클럽하우스의 보안 및 개인 정보 보호 실패 때문에 감시가 증가했다. 그리고, 클럽하우스가 서둘러 문제를 수정하고 많은 사용자의 기대를 다루게 되었다.

아직 베타 버전으로 등장했으며, iOS에서만 사용할 수 있는 클럽하우스는 사용자에게 기본적으로 그룹 오디오 채팅을 할 수 있는 대화방을 제공한다. 또, 일부 사용자가 발언자가 되고, 나머지 사용자는 청취자가 되는 대중 연설 혹은 패널 토론을 할 수 있다. 보도에 따르면, 클럽하우스 사용자 수는 1,000만 명을 돌파했으며, 시가총액은 10억 달러를 넘어섰다. 2020년부터 실리콘밸리 엘리트와 유명 인사의 초대장이 있어야만 활동할 수 있는 안식처가 되었다. 그리고, 2021년 1월, 일론 머스크가 클럽하우스에 등장했다. 그러나 클럽하우스는 보안 문제 강화와 사용자가 기대할 수 있는 개인 정보 보호 수준과 관련된 짧은 질문으로 곤혹스러운 상황에 부닥쳤다.

보안 연구원인 로버트 포터(Robert Potter)는 “규모가 작은 새로운 SNS 플랫폼에서 사용자는 개인 데이터만 보호한다. 특히, 큰 성장세를 겪을 때, 데이터 관리 문제를 더 경계해야 한다. 플랫폼 사용자 수가 10만 명에 불과했으나 그 수가 10배 증가하고, 노출 수준이 높아지면서 위협도 증가한다. 그리고, 플랫폼을 검증하려는 사람의 수도 증가한다”라고 말했다.

최근, 취약점부터 앱의 강조되는 인프라까지 전 범위에서 클럽하우스를 둘러싼 보안 우려가 제기됐다. 약 2주 전, 사이버 보안 연구 센터 SIO의 연구팀이 클럽하우스 앱에서 사용자의 클럽하우스 식별 정보와 대화방 식별 번호를 암호화되지 않은 상태로 전송하는 문제를 발견해, 클럽하우스 플랫폼에 중점을 두었다. 이는 외부 기업이 사용자의 클럽하우스 앱 활동을 추적했을 수도 있다는 사실을 의미한다. SIO 연구팀은 추가로 중국에 기반을 두고 있는 기업이 클럽하우스 인프라 일부를 운영하며, 클럽하우스 앱 데이터 중, 최소 일부분이 중국에 유포된 사실을 밝혔다. 이는 중국 정부의 표적이 되거나 광범위한 감시 대상이 될 수 있음을 의미한다. 그리고, 2월 21일(현지 시각), 블룸버그는 외부 웹 사이트가 클럽하우스의 토론 오디오 파일을 획득하고 압축한 사실을 확인했다. 그리고 2월 22일(현지 시각), 클럽하우스와 공식적인 관계가 없는 안드로이드 앱이 클럽하우스 토론 오디오 파일을 획득해, 안드로이드 사용자가 실시간으로 대화 내용을 청취할 수 있다는 사실까지 알려졌다.

다른 클럽하우스 데이터 획득 프로젝트를 조사하던 포터는 클럽하우스 오디오 데이터를 획득하고 유출한 앱과 웹사이트 모두 악성 앱 혹은 웹사이트가 아니라고 설명했다. 단순히 클럽하우스 콘텐츠에 더 많은 사람이 접근하도록 할 뿐이었다. 그러나 클럽하우스에는 오디오 데이터 유출을 막을 스크랩 방지 메커니즘이 없어, 개발자가 얼마든지 클럽하우스 오디오 데이터를 획득할 수 있다. 클럽하우스는 하나의 계정으로 한 번에 입장할 수 있는 대화방 수를 제한하지 않아, 누구나 애플리케이션 프로그래밍 인터페이스를 생성해, 동시에 다른 공공 채널로 클럽하우스 대화방의 대화 내용을 중계할 수 있다.

페이스북과 같이 더 완성도가 높은 SNS는 데이터 유출을 막기 위해 더 발전된 메커니즘을 두고 있으며, 사용자 개인 정보 위반을 막으면서 페이스북이 자산으로 보유한 데이터를 보호한다. 그러나 창의적인 스크래핑 기법을 사용한다면, 데이터가 유출될 위험성이 존재한다.

클럽하우스의 적극적인 사용자 연락처 명단 수집 행위는 검증받고 있다. 클럽하우스는 이미 클럽하우스 플랫폼에 가입한 주변 인물을 찾도록 도움을 줄 수 있다며 모든 사용자에게 연락처 정보를 공유할 것을 독려한다. 또, 다른 사용자가 클럽하우스에 가입하도록 초대장을 주기 위해 연락처 데이터를 공유해야 한다. 클럽하우스는 초대장이 있어야만 가입할 수 있으며, 이는 클럽하우스가 지닌 일종의 독점권과 프라이버시에 기여한다. 그러나 많은 사용자가 타인을 초대할 때, 클럽하우스 사용자의 연락처에 가장 많이 저장된 연락처를 기반으로 추천인을 제안한다고 지적했다. 다시 말해, 당신과 같은 꽃집, 의사 혹은 마약 거래상의 연락처를 지닌 친구가 있다면, 그 친구가 초대 추천인 명단에 등장할 수 있다.
 
[사진=Unsplash]
[사진=Unsplash]

클럽하우스는 이 기사가 보도되는 시점까지 최근의 보안 문제에 대해 답변하지 않았다. 다만, 클럽하우스는 SIO 연구팀의 공식 성명을 통해 보안 강화를 위해 계획한 구체적인 변경 사항을 상세히 밝혔다. 그중에는 중국의 서버 핑 제거와 암호화 기능 강화가 포함됐다. 또한, 외부 데이터 보안 기업과 손을 잡고 변경 사항을 적용하는 데 도움을 받을 것이라고 밝혔다. 클럽하우스의 토론을 권한이 없는 웹사이트에 재중계한 것과 관련, 클럽하우스는 언론에 오디오 데이터를 외부 유출한 사용자를 영구 금지했으며 추가 보안 조치를 적용해 같은 문제가 반복되는 것을 막겠다고 밝혔다.

클럽하우스가 연구원의 피드백을 진지하게 받아들이는 것처럼 보여도 실제로 이미 구축하거나 추가로 계획 중인 보안 개선 사항 모두 구체적으로 설명하지는 않았다. 게다가 클럽하우스가 사용자에게 최종 암호화 기능을 제공하지 않는 것을 고려하면, 많은 연구원이 클럽하우스는 여전히 보안 문제를 제대로 생각하지 않았다고 본다. 또, 클럽하우스 앱에서 제기된 몇 가지 근본적인 개인 정보 보호 문제가 해결되기 전부터 이어져 온 사항이다.

클럽하우스에서 새로운 대화방을 개설할 때, 세 가지 설정을 선택할 수 있다. ‘오픈’ 대화방은 클럽하우스 플랫폼 사용자라면 누구나 입장할 수 있으며, ‘소셜’ 대화방은 개설자를 팔로우하는 사용자만 입장할 수 있다. 그리고, ‘폐쇄된’ 대화방은 초대권이 있는 사용자만 입장할 수 있도록 제한됐다. 모두 클럽하우스가 더 명확하게 만들 수 있는 암묵적인 프라이버시 수준을 지니고 있었다.

SIO의 최고기술관리자인 데이비드 티엘(David Thiel)은 “대중적인 대화방에서 누구나 대화방에 참여해, 녹음과 노트를 할 수 있기 때문에 클럽하우스가 사용자에게 ‘대중’이라는 표현은 모든 사용자를 의미한다는 기대감을 심어주기를 바란다. 프라이빗 대화방에서는 어떤 커뮤니케이션 메커니즘과 마찬가지로 공인된 회원이 콘텐츠와 정체성을 기록할 수 있다는 것을 전달할 수 있으므로 대중적인 대화방과 프라이빗 대화방 모두 대화 참여자에 대한 기대와 신뢰를 지니고 있다는 사실을 확실히 해야 한다”라고 말했다.

클럽하우스도 다른 유명 SNS와 마찬가지로 플랫폼상의 위반 행위를 다루는 데 난항을 겪었다. 2020년 11월 기준 클럽하우스 앱의 서비스 약관에는 혐오 발언과 인종 차별, 희롱을 금지하며, 클럽하우스 플랫폼은 사용자 차단과 위반 행위 가능성과 관련해 특정 대화방을 플래그하는 등 일부 조정 기능을 제공한다고 명시됐다. 그러나 클럽하우스의 최대 기능 중 하나는 규정 위반 방지 행위와 관련이 있다. 클럽하우스 사용자는 자동으로 게시물이 저장될 것이라는 법적 책임감 없이 플랫폼을 사용할 수 있다. 이 때문에 일부 사용자가 자신의 발언이 녹음되지 않고 그 영향을 받지 않는다고 생각해, 규정 위반 혹은 무례한 발언이 더 과감하게 이루어진다.

티엘은 클럽하우스가 현재 대화방의 토론 내용을 일시적으로 저장해, 규정 위반 신고 사례를 검토한다고 말했다. 클럽하우스가 보안을 위해 최종 암호화 기능을 지원하고자 한다면, 규정 위반 문제를 면밀히 살펴보기 더 어려워질 것이다. 규정 위반 사항을 확인하기 위한 오디오 녹음이 더 어렵기 때문이다. 모든 SNS 플랫폼은 보안 관련, 몇 가지 긴장 상태에 놓이게 되지만, 다수 보안 전문가가 최종 암호화 기능을 지원한다면 더 의미 있고, 참신한 규정 위반 방지 해결책 개발이라는 추가적인 어려움을 해결할 가치가 있다는 점에 동의한다.

최종 암호화 기능도 클럽하우스 사용자가 외부로 대화를 유출할 가능성을 제거하지는 못한다. 일부 사용자가 대화방에서 이루어지는 대화를 녹음하고 외부로 유출하는 것은 클럽하우스 측이 쉽게 해결할 수 있는 문제가 아니다. 그러나 대화 내용이 아무리 친근하고, 공식적이지 않은 것으로 느껴지더라도 순서에 따라 최소한의 기대를 설정할 수 있다.

포터는 “클럽하우스는 사용자 개인 정보 보호를 위해 기여하는 부분을 분명하게 밝혀, 그에 따라 사용자가 대화할 환경을 직접 설정하도록 해야 한다”라고 말했다.

관련 기사: 클럽하우스 보안, 얼마나 훌륭한가?

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Clubhouse's Security and Privacy Lag Behind Its Explosive Growth
이 기사를 공유합니다
RECOMMENDED