“MS가 스카이프를 통해 당신의 대화를 엿듣는다.”
최근 인터넷전화의 대명사 스카이프가 도청 논란에 휩싸였다. 발단은 마이크로소프트(MS)가 스카이프를 인수한 뒤 지난 봄에 일부 아키텍처를 수정하면서부터다.
지난 17일(현지시간) 외신은 해커 커뮤니티의 말을 인용, 스카이프의 음성통화 내용이 이전보다 훨씬 도청하기 쉬워졌다고 지적했다. 이 커뮤니티에서 해커들은 “스카이프에 대한 사법당국의 합법적인 도청이 쉬워졌다”며 의혹을 제기했다. 이에 대해 MS는 긍정도 부정도 하지 않았다.
■MS, 뭘 어떻게 했길래?
MS가 손 본 것은 스카이프 고유의 ‘슈퍼노드(super node)’라는 서버다. 이는 음성통화를 하는 발신자와 수신자를 피어투피어(P2P)로 연결해주는 일종의 전화교환기 역할을 한다.
지난 2010년 말 스카이프는 늘어나는 데이터트래픽을 감당하지 못해 MS와 슈퍼노드 관련 일부 소프트웨어(SW) 수정에 관한 계약을 체결했다.
그 뒤 MS는 슈퍼노드의 SW업데이트를 진행했으나 버전이 서로 호환되지 않아 업데이트는 실패로 돌아갔다. 그리고 MS는 자사가 직접 관리하는 데이터센터의 리눅스 서버로 슈퍼노드를 이전했다.
지난 20일(현지시간) 워싱턴포스트가 운영하는 웹진 슬레이트는, 스카이프의 높은 보안수준은 법규제 당국에게는 골칫거리로 작용했었다고 설명했다. 높은 암호화수준과 복잡한 P2P 네트워크 연결기술을 이용하기 때문에 실제로 음성대화를 도청하는 것은 거의 불가능한 일로 여겨졌다는 것이다.
심지어 독일 경찰 당국은 지난 2007년 스카이프를 도청할 수 없어, 의심되는 통화를 기록하기 위해 트로이목마 해킹툴을 개발하는 회사를 부르기도 했다고 외신은 덧붙였다.
문제는 이와 같은 아키텍처 수정과정에서 사법당국이 더 쉽게 통화내용을 도청할 수 있도록 했다는 점이다. MS는 단순히 도청할 수 있는 방법만 설명한 것이 아니라 실제로 음성통화 데이터를 직접 모니터링할 수 있다고 외신은 보도했다.
이는 악의적인 사용자가 네트워크에 침입해 데이터를 수정하는 등의 공격을 감행하는 ‘중간자 공격(man in the middle attack)’을 가능케 한다. MS가 오히려 해킹 위험성을 높인 셈이다.
외신에 따르면 마크 질레트 스카이프 제품 엔지니어링 및 운영 담당 부사장은 “수억 명에 달하는 스카이프 이용자들이 보다 쉽고 다양한 방법으로 서비스를 이용하게 하기 위한 것”이라며 “슈퍼노드는 안전한 데이터 센터에 보관된다”고 해명했다.
아드리안 애셔 스카이프 최고보안책임자(CSO)는 “스카이프는 사용자들의 안전과 보안을 중요하게 여긴다”며 “불법적인 행위를 방지하기 위해 모든 조치를 취하고 있다”고 밝히기도 했다.
그러나 차임 하스 스카이프 홍보책임은 “회사 정책에 따르면 긍정할 수도 부정할 수도 없다”며 확답을 피했다. 사법당국의 요청이 있을 때는 합법적으로나 기술적으로 도청이 가능하다는 설명이다.
■'인스턴트 메시지'도 위험하다
음성통화를 위한 일종의 메신저 역할을 하는 스카이프의 인스턴트메시지(IM) 역시 문제가 제기됐다. 스카이프의 개인정보취급방침에는 대화내용을 적게는 2주에서 영구히 저장될 수 있도록 돼있다.
스카이프는 정책 상 “특별한 요구가 없거나 법적으로 필요할 경우 최대 30일까지 내용을 저장하며 음성메일은 최대 60일까지 저장된다”고 설명했다.
외신은 “대개는 ‘음성채팅을 시작합시다’ 정도의 내용이라 음성통화를 도청하는 것 보다는 문제가 되지 않을 것”이라고 밝혔으나 사생활 침해 우려는 피할 수 없을 것으로 전망했다.
스카이프의 개인보호정책에는 ‘스카이프가 얼마나 오랫동안 당신의 데이터를 보관하는가?’라는 항목이 있다.
이 서비스는 법적분쟁이 났을 경우나 범죄행위에 대한 증거로, 혹은 사기로부터 스카이프의 이익을 지키기 위해, 아니면 누군가의 권리나 재산, 안전을 위해 인스턴트메시지 등을 공개할 수 있다고 명시했다.
■대기업 사용자 스카이프 이탈 주의보
도청이 쉬워졌다는 문제제기에 일부 대기업 사용자들은 이미 스카이프 사용을 금지하고 있다. 지난 23일 미국 지디넷은 “BYOD(Bring your own device) 환경을 구축한 기업들이 사내 네트워크에서 스카이프의 트래픽을 차단하고 있다”고 보도했다. 회사 보안정책상 해킹우려가 있는 기술을 사용하지 않고 있다는 설명이다.
외신은 중소기업들이 이와 같은 문제를 대수롭지 않게 넘기고 있다는 점도 지적했다. 불법 도청이 아니라면 굳이 언제 일어날지도 모르는 도청우려를 걱정할 필요가 있냐는 의견이 제기되고 있다는 것이다.
관련기사
- MS, PC용 스카이프 일제 업데이트…왜?2012.07.26
- PS비타 ‘스카이프’ 앱 등장, 이젠 휴대전화2012.07.26
- MS, 윈도폰용 스카이프 정식 공개2012.07.26
- MS, '스카이프' 웹앱으로 만든다2012.07.26
이와 관련 MS 대변인은 “MS가 인수하기 전에 스카이프는 사법당국이 법적으로 필요할 경우 쉽게 기술을 이용할 수 있도록 공동작업을 했다”고 말했다. 다시 말해 합법적인 도청을 위한 방법을 강구해놨다는 설명이다.
MS는 스카이프 도청에 대해 아직까지 명확한 입장을 밝히지 않고 있어 이 문제는 당분간 쉽게 사그라들지는 않을 전망이다. 외신은 “개인이나 기업 사용자들이 개인정보보호나 정보보안을 중요하게 생각한다면 스카이프 외에 다른 대안을 찾아야 할 것”이라고 보도했다.
