본문 바로가기
UC 칼럼

[UC 칼럼] 카카오톡을 업무에 이용하면 얼마나 위험한가?

라인하트 2017. 12. 18. 14:58

시작하며
2014년 말 " 2014/11/28 - [UC 칼럼] - [UC 칼럼] 카카오톡의 성공이 부른 기업 통신 환경의 위기" 라는 글을 통해 카카오톡을 업무에 적용하는 것은 위험하다는 글을 올린적이 있습니다. 카카오톡은 개인들간의 가벼운 이야기와 사적 담론을 다루는 쇼셜 네트워킹 솔루션이므로 비지니스 수준의 보안을 고려하지 않기 때문입니다. 3년이라는 시간이 지나도 기업 통신 환경은 여전히 위기입니다.


이번 글에서는 언론에 드러났던 카카오톡 관련 보안 사고만을 정리하고, 대안의 필요성을 이야기합니다. 




카카오톡이 문제가 아니라 기업 업무 환경에 적합하지 않을 뿐

스마트폰은 기존 PC 시대의 방정식이 적용되지 않는 새로운 생태계를 만들었습니다. 기업과 공공기관은 모바일 채팅이 필요하다는 인식은 공감하면서 대처 방법은  PC 시대의 방법을 적용합니다. 카카오톡과 경쟁해야하는 것을 간과하고, PC에 적합한 채팅 솔루션을 만들뿐만 아니라 보안만을 강조하여 매우 불편한 것을 직원들에게 제공합니다. 


이제는 비지니스 클래스의 보안 수준을 갖추면서 카카오톡 만큼 또는 그 보다 더 편리한 팀 협업 솔루션이 개발되거나 사용되어야 합니다. 카카오톡이 문제가 아니라 카카오톡이 기업 업무 환경에 적합하지 않을 뿐입니다. 




2017년 12월 - 가상통화 정부대책 초안 사전 유출 사고
2017년 12월 13일 가상화폐 관련 정부 대책이 공식 발표되기 전에 초안이 외부로 사전 유출된 사건입니다. 사전 유출 경위를 조사해 보니 기획재정부의 직원이 초안을 사진으로 찍어서 카카오톡으로 기획재정부의 국제 금융국 직원들과 관세청의 한 사무관에게 전달하였고, 사무관은 외환조사과 단체 카카오톡 방에 사진을 공유하면서 외부로 유출되었습니다. 


이 사건의 핵심은 직원들이 의견수렴이라는 명목으로 중요 자료를 공유하였으며, 자료의 중요성을 감안하지 않고 관련 공무원을 넘어 일반인에게 까지 자료가 빠르게 전파된 것입니다. 단순히 사용자의 관리 소홀과 태만이라고 볼 수도 있습니다. 하지만, 이런 사태를 대비하고자 만든 바로톡을 생각해 볼 필요가 있습니다. 




2014년말 부터 정부 및 공공기관은 공무원들의 카카오톡의 사용이 급격히 증가함에 따라 보안 사고에 대한 우려가 깊어졌습니다. 이에 대한 해결책으로 기존 PC 시대의 관성대로 카카오톡을 거의 그대로 복사한 수준의 "바로톡"이라는 모바일 채팅 솔루션을 개발하여 배포하였습니다. 바로톡은 행정전자서명 (GPKI) 인증서를 활용해 공무원만 이용할 수 있고, 모든 내용을 암호화해서 관리합니다.



2017년 6월 기준 바로톡 가입자는 15만 3730명, 일 평균 이용 건수 3만 5000건입니다. 현재까지 23억의 예산이 투입되었으며, 매년 5억의 예산이 사용되고 있습니다. 바로톡은 결국 카카오톡을 배꼈지만, 공무원들에게 철저히 외면 받고 있는 솔루션입니다. 바로톡은 국정원의 보안 정책에 따라 모바일 백신 강제 설치에 따라 아이폰을 지원하지 않고 자료 공유도 어렵게 설계되었습니다. 


행정안전부의 바로톡은 전형적인 공무원 사회의 문제를 보여줍니다.

  • 공무원들의 PC는 제어가 가능하지만, LTE에 연결된 개인의 스마트폰은 통제할 수 없다는 사실을 간과
  • 국가정보원이 보안 정책을 담당하면서 강력한 보안 강화 기능 삽입으로 비용 상승과 사용 불편 증가
    - 모바일 백신 설치 의무화를 빌미로 아이폰 배척
    - 분실 및 정보 유출 우려로 MDM (Mobile Device Manager) 수준의 관리로 배보다 배꼽이 큰 비용
  • 카카오톡, 라인 등과 경쟁 상황을 무시
이런 경험은 공무원 사회에 절대로 공유되지 않기에 솔저톡, 바로톡으로 계속 이어지고 있습니다. 아마 몇 년후에는 새로운 제품이 나올 것입니다. 성공이 목표가 아니라 지속적인 사업이 목표니까요!  




일반 기업들도 보안에 대한 우려는 마찬가지이지만, 새로운 모바일 채팅을 개발하는 것에서 비지니스 수준의 모바일 채팅 솔루션을 구매하는 것으로 방향을 선회한지 오래 되었습니다. 이 분야에서 두각을 나타내는 것이 시스코 스파크, 슬랙, 마이크로소프트 팀스 등의 제품입니다. 


2017년 10월 - '새벽의 황당한 카카오톡 오류'... 개인 정보 유출 등 2차 피해 불가피할 듯
2017년 10월 19일 새벽 오류가 발생하여 3시간 넘게 메세지가 다른 방으로 잘못 전달되는 사고가 발생하였습니다. 카카오측은 전체 활성화된 채팅방 중 0.008%이 영향을 받았다고 하였습니다. 문제는 보낸 사람은 어떤 채팅방에 메세지가 전송되었는 지를 알수없다는 것입니다.  



2016년 6월 - 카톡 URL 노출 사고
카카오톡에서 공유한 웹문서 (URL)이 다음 검색 엔진에 노출되어 검색이 되는 이슈입니다. 일반인이 사용하는 카카오톡은 더 빠른 검색을 위해 다음 검색에 노출되었습니다. 문제점을 인식한 다음은 6일후 공식 사과와 함께 연동을 중지한다고 하였지만, 오마이뉴스 테스트결과 여전히 카카오톡에 공유된 URL이 다음에서 검색되는 것이 확인 되었습니다.



카카오는 웹문서를 수집하는 로봇으로 정보를 수집하지만 빠른 수집을 위해 사람들에게 공유되는 카카오톡 URL 정보를 수집하도록 되어 있었습니다. 비지니스 수준의 보안을 제공하는 솔루션은 당연히 연동이 차단되는 것이지만 카카오톡은 달랐습니다.

현재는 유출이 차단되었다고는 하지만, 이 기사에서 처럼 여전히 노출되는 듯합니다.


2014년 1월 - 내가 지운 카톡 타인이 5분 만에 재생
디지털 테이터 증거 분석 전문업체 인즈시스템은 카카오톡에서 삭제한 메세지를 복구할 수 있는 소프트웨어 '카마스'를 개발하였습니다. 비밀번호가 해제된 스마트폰을 PC와 연결하면 기존 삭제한 모든 메세지를 되살리수 있습니다. 

이 회사의 대표는 자신의 개인 정보들이 얼마나 노출이 되어 있는 지를 판단하고 유출 가능성을 확인해 대처할 수 있도록 하기 위해 프로그램을 개발했다고 합니다 . 






모바일 채팅에 대한 대안없이 카카오톡 자제 요청으로 해결할 수 없다.
보안을 걱정하면서 모바일 사용을 제한하는 것도 어리석지만, 보안을 너무 강조하여 모바일 사용을 불편하게 만드는 것은 더 어리석습니다. 모바일 채팅 솔루션은 카카오톡과 경쟁하기에 같은 수준의 편리함을 제공해야 합니다. 변화의 속도에 비춰볼 때 새로운 모바일 채팅 솔루션을 개발하기 보다는 비지니스 클래스 수준의 보안과 성능, 그리고 기능을 제공하는 클라우드 제품을 사용하는 것이 훨씬 비용 효율적입니다.

모바일 채팅에 대한 대안없이 직원들에게 카카오톡 사용을 하지 못하게 하는 것은 의미없습니다. 대안은 시스코 스파크, 슬랙과 같은 팀협업 솔루션의 도입입니다. 

카카오톡은 사용 편의성과 보안의 줄다리기에서 사용 편의성에 더욱 집중해야 하는 솔루션으로 보안을 중시하는 기업이나 공공기관에 적합하지 않습니다. 여기서 통제되지 않는 스마트폰 내 환경에 대한 고민이 필요한 부분입니다. 카카오톡의 잘못이 아니라 카카오톡을 사용할 수 밖에 없는 사용환경이 문제인 것입니다. 


마치며
IT 부서는 클라우드 솔루션을 보안을 이유로 배척하고, 직원들은 클라우드이기에 모바일에서 사용하는 악순환의 고리를 끈을 때도 되었습니다. 아마존, 시스코, 마이크로소프트, 세일즈포스닷컴 등의 클라우드 기업은 세상을 집어 삼키려고 매년 폭발적 성장을 거듭하고 있지만, 우리나라는 클라우드 솔루션을 사용하지도 않고 키우지도 못하고 있습니다. 

전세계 시장이 단일 시장으로 바뀌는 인터넷 환경에서 IT 갈라파고스식 행보가 내년부터는 달라지길 기대해 봅니다. 




참조자료


디지털 타임스 : 메신저 바로톡 운영 예산 23억.. 공무원 1명 당 하루 0.23 회 사용


오마이뉴스 : '카톡 URL 노출' 6일만에 사과, 풀리지 않는 의문들


CNET Korea : [단독] 내가 지운 카톡 타인이 5분만에 재생




라인 유씨누스 (CCIEV #18487) ______________________________________________________
ucwana@gmail.com (라인하트의 구글 이메일) 
http://twitter.com/nexpertnet (넥스퍼트 블로그의 트위터, 최신 업데이트 정보 및 공지 사항) 
http://groups.google.com/group/cciev (시스코 UC를 공부하는 사람들이 모인 구글 구룹스) 
http://groups.google.com/group/ucforum (UC를 공부하는 사람들이 모인 구글 구룹스) 
세상을 이롭게 하는 기술을 지향합니다. ___________________________________________________



저작자표시 비영리

'UC 칼럼' Related Articles

티스토리툴바