최근 가장 화두가 되는 클럽하우스! 인기가 있어진 만큼 보안 문제라던가 개인정보보호 문제등이 수면위로 올라가고 있는거 같습니다. 최근에 화이트해커인 박세준님이 클럽하우스를 직접 분석한 내용을 공유해

최근 가장 화두가 되는 클럽하우스! 인기가 있어진 만큼 보안 문제라던가 개인정보보호 문제등이 수면위로 올라가고 있는거 같습니다. 최근에 화이트해커인 박세준님이 클럽하우스를 직접 분석한 내용을 공유해주셨는데 가져와 봤습니다. 박세준님이 언급한 보안상 이슈가 되는 것들을 정리해보았습니다. ❗ 유효한 전화번호 하나와, 4자리수의 코드 인증은 보안상으로 계정 탈취가 가능한 수준입니다. 이는 공격자가 하나의 계정을 며칠에 걸쳐 시도하면 3주정도면 계정을 탈취 할 수 있고, 여러개의 계정에 대해 시도 할경우 약 7000번정도 시도하면, 성공할 확률이 50%로, 매우 현실적인 공격 가능성을 갖게 됩니다. ❗ 오디오 데이터와 컨트롤 데이터가 암호화 되지 않습니다. 실제로, Agora에서는 암호화를 지원하지만 현재 클럽하우스에서 해당 데이터를 암호화 하고 있지 않는다고 합니다. 이를 통해, 스텔스 도청/감청이나 트롤링이 가능하고, 데이터 변조도 가능 할 수 있습니다. ❗ 멀티 로그인 세션 클럽하우스에서 현재 누군가 자신 계정으로 성공적으로 로그인해 있는지 알 방법이 없고, 다른 세션을 로그아웃 시키는 기능도 없습니다. ❗ 중국 서버 클럽하우스는 중국 이외의 지역에 있는 AWS 인스턴스와 통신하는걸로 판단되지만, Agora SDK에서 레이턴시를 최소화 하는 과정중에 중국에 위치한 서버들과 통신하는 것이 확인되었습니다. 더욱 자세한 내용은 해당 블로그에 매우 자세히 나와있습니다.