2024-03-29 21:15 (금)
코로나19로 화상회의 프로그램 ‘줌’ 사용↑…줌 보안 이슈 정리
상태바
코로나19로 화상회의 프로그램 ‘줌’ 사용↑…줌 보안 이슈 정리
  • hsk 기자
  • 승인 2020.04.07 14:30
이 기사를 공유합니다

가트너 2019 매직 쿼드런트에서 회의 솔루션 부문 리더로 선정된 '줌'
가트너 2019 매직 쿼드런트에서 회의 솔루션 부문 리더로 선정된 '줌'

코로나19가 전세계 기업들의 회의 모습도 바꾸고 있다. 지난 몇 주 동안 Zoom(줌) 화상 회의 소프트웨어 사용이 크게 증가했다. 이 앱은 지난 달 다운로드 패키지 일일 트래픽이 535% 증가했고, 12월 평균 1천만명에서 지난달 2억명으로 급증했다.

한편 이런 상황에서 줌이 사이버공격자들의 타깃이 되고 있으며 보안 문제 또한 증가한 상태다. 보안 문제들은 모두 느슨한 설계 방식과 보안 구현에서 비롯된 것으로 보인다.

줌은 초기에 엔터프라이즈 채팅 이상의 제품을 설계한 적이 없었지만 이제는 수많은 방식으로 사용자들이 앱을 사용하면서 발생한 보안 문제들에 초점이 맞춰지고 있다. 중요한 통신 서비스로 급상승하면서 개인정보보호 및 보안 결함이 심해진 것이다. 더해커뉴스는 줌의 보안 이슈를 다음과 같이 정리했다.

◇줌 보안 이슈 정리

-줌의 개인정보보호 정책은 비디오, 대화 내용 및 공유 메모와 같은 사용자에 대한 광범위한 데이터를 수집하고 제3자와 공유할 수 있다는 비판을 받았다. 이에 대해 3월 29일 줌 측은 개인정보보호 정책을 강화하고 회의 데이터를 광고에 사용하지 않는다고 전했다. 그러나 사용자들이 zoom.us, zoom.com을 포함한 마케팅 웹 페이지를 방문할 때 데이터를 사용한다.

-페이스북 SDK를 사용하는 많은 앱들과 같이 줌iOS 앱은 사용자가 연결된 페이스북 계정이 없어도 분석 데이터를 소셜 네트워크로 보내는 것으로 나타났다. 나중에 이 기능은 제거되었다.

-줌은 사용자들이 통화 중에 메인 줌 창에서 클릭하고 있는지 확인할 수 있는 ‘참가자 추적’ 기능도 가지고 있었다. 하지만 4월 2일, 참가자 주의 추적 기능이 영구적으로 제거되었다. 줌 회의 주최자는 통화 중에 로컬로 녹음된 사적인 텍스트 메시지를 읽을 수 있다.

-해외 보안 연구원은 줌이 ‘Shady’ 기술을 사용해, 맥OS 멀웨어가 사용하는 동일한 트릭으로 사용자 상호 작용 없이 맥 애플리케이션을 설치할 수 있음을 발견했다. 4월 2일, 줌은 해당 버그를 해결하기 위한 수정 프로그램을 발표했다.

-또 연구원들이 줌 윈도우 앱에서 원격 공격자가 사용자의 윈도우 로그인 자격 증명을 도용하고, 시스템에서 임의 명령을 실행할 수 있는 UNC 경로 주입 결함을 발견했다. 이 결함은 4월 2일 패치되었다. 패트릭 와들이 발견한 다른 두 개 버그는 공격자가 루트 권한을 얻고 맥OS의 마이크와 카메라에 접근해 줌 회의를 녹음할 수 있는 결함이다.

-줌이 비공개 데이터 마이닝 기술을 사용해 사용자가 익명이거나 가명을 사용하더라도, 자동으로 사용자 이름과 이메일과 그들의 링크드인 프로필을 연결시킨다는 사실이 밝혀졌다. 다른 사용자가 미팅에서 ‘링크드인 세일즈 네비게이터’라고 불리는 서비스에 가입한 경우, 해당 사용자의 동의 없이 다른 미팅 참가자의 링크드인 프로필에 접근할 수 있었다. 줌은 해당 기능을 삭제했다.

-줌 부사장은 줌이 수 천 명 사용자 이메일 주소와 사진을 유출해 낯선 사람이 서로 전화를 걸게 하는 결함에 대해 공개했다. 이는 이메일 주소에 같은 도메인 이름을 가진 사용자들이 동일한 회사에서 일하는 것처럼 그룹화 처리가 되기 때문에 발생하는 문제이다. 줌은 이 도메인들을 블랙리스트화 했다.

-4월 3일, 워싱턴포스트는 줌이 자동 적용하는 일반적인 파일 이름 지정 패턴을 검색하여 줌에서 만든 비디오 영상을 찾는 것이 매우 쉽다고 보도했다. 이 비디오는 공개 접근이 가능한 아마존 스토리지 버킷에서 발견되었다.

-연구원들이 ‘zWarDial’이라는 새로운 도구를 만들어 열려있는 줌 회의 ID를 검색해 암호로 보호되지 않은 약 100개 회의를 찾았다.

-줌은 종단간 암호화를 사용해 통신을 보호한다고 했으나 이는 사실이 아닌 것으로 드러났다. 이 회사는 모든 참가자가 줌 클라이언트를 사용하면서 녹화하지 않는 회의에서 비디오, 오디오, 화면 공유, 채팅과 같은 모든 종류의 컨텐츠가 클라이언트 측에서 암호화되고, 다른 수신자에게 도착하기 전까지 절대 복호화되지 않는다고 설명했다. 그러나 클라우드 녹화 또는 접속 전화 통신과 같은 부가 서비스 중 하나가 활성화된 경우, 줌은 현재 클라우드에서 유지 및 관리되는 복호화 키에 접근할 수 있다. 보안 전문가인 메튜 그린은 또한 “해커나 정부 정보 기관도 이러한 키에 쉽게 액세스할 수 있다”고 말했다.

-시티즌 랩의 추가 연구에 따르면, 줌이 사용한 암호화 타입이 분명하지 않아 보인다. 암호화 작업을 위해 생성된 키들은 중국 서버를 경유해 모든 회의 참석자들과 구독 회사들에게 전달된다. 줌 회의 오디오와 비디오는 모든 참가자가 공유하는 ECB 모드에 사용되는 단일 AES-128로 암호화 및 복호화된다. 일반 텍스트에 있는 패턴이 암호화 중에 유지되므로 ECB 모드를 사용하지 않는 것이 좋다.

-시티즌 랩의 이러한 연구 결과에 대해, 줌 대표 에릭 유안은 트래픽이 폭증할 때 서버 용량을 빠르게 추가해야 하는데, 실수로 두 개의 중국 데이터 센터를 백업 브릿지 화이트리스트에 추가했고, 잠재적으로 중국 이외의 클리이언트가 매우 제한된 상황에서 여기에 연결될 수 있도록 했다고 해명했다.

-또한 악의적 목적을 가진 사용자가 ‘Zoombombing’을 통해 무단으로 회의에 들어와 포르노나 다른 성적 영상 유포도 가능한 것으로 밝혀졌다. FBI는 사용자의 화상 통화 하이재킹을 막기 위해 경고 메시지를 표시했다. 또한 4월 4일부터 줌은 대기실 기능(참가자가 미팅에 참여할 때 호스트가 제어할 수 있도록 함)을 활성화하고, 회사 참여 전 비밀번호를 입력하도록 요구해 이 문제를 해결했다.

줌은 보안 문제 공개에 신속 투명하게 대응하고 있으며, 보안 커뮤니티가 강조한 여러 문제를 해결하고 있다. 또한 90일간 문제를 사전에 파악하고 해결하기 위해 새로운 기능 발표를 동결키로 했다. 더불어, 제3자 전문가와 종합적인 검토를 수행하고, 데이터, 기록, 컨텐츠에 대한 법 집행 관련 상세 정보를 투명하게 보고하기로 했다.

줌을 계속 사용해야 하는가에 대한 문제는 간단하지 않다. 하지만 줌이 자체 설계 및 구현한 암호화는 우리가 사용하는 암호화 표준과 동일한 방식으로 정밀한 상호 검토를 거치지 않았기 때문에 주된 위협 요소라고 할 수 있다.

시티즌 랩 또한 보고서에서 “줌의 가장 큰 문제는 회의 마찰을 줄이기 위해 설계에서 고의적으로 정책과 보안을 줄였다는 것이다.”라고 언급했다.

일반 사용자들에게 가장 중요한 것은 각 통화가 필요로 하는 보안과 정책을 신중히 고려하는 것이다. 줌의 보안은 단순한 대화나 사교 행사, 강의를 주최하기에 충분하다.

줌 대기실 기능에서 심각한 보안 문제를 확인한 시티즌 랩은 사용자가 높은 수준의 기밀 유지를 위한 암호 기능을 사용하도록 권장했다. 따라서 Zoombombed에 대해 걱정되는 경우 회의 암호를 설정하고 회의를 진행해야 한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★