유니콘 스타트업 줌, 취약점 나와 영상 통화 앱 클라이언트 변경

영상 컨퍼런싱용 앱, 맥 사용자들 수천 만 명이 활발하게 이용하고 있어
취약점 활용하면 통화 세션에 강제로 참여시킬 수 있어...줌은 “옵션 조정하면 끝”

[보안뉴스 문가용 기자] 창업한 지 8년 만에 나스닥 상장을 이뤄내고, 기업 가치 약 18조원의 유니콘으로 등극해 화제인 줌 비디오 커뮤니케이션즈(Zoom Video Communications)가 현지 시각으로 오늘 “맥 시스템용 비디오컨퍼런싱(videoconferencing) 클라이언트를 변경했다”고 발표했다. 한 보안 전문가가 찾아낸 취약점들 때문이다. 이 취약점을 익스플로잇 하면 여러 가지 공격을 할 수 있다고 한다.

[이미지 = iclickart]

줌은 자사 블로그를 통해 취약점을 발견해 알려온 건 조나단 레이슈어(Jonathan Leitschuh)라는 보안 전문가임을 밝히면서 “레이슈어가 말하는 것만큼 맥 사용자들이 크게 위험해진 건 아니”라고 덧붙였다. 줌에서 개발한 소프트웨어는 현재 수천만~수억 명의 맥 사용자들이 사용하고 있다. 줌은 소프트웨어 버그바운티 프로그램을 운영 중에 있기도 하다.

레이슈어가 공개한 취약점은 총 세 가지다. 전부 맥 줌 클라이언트(Mac Zoom Client)에서 발견되었으며, 현재 약 4500만 명의 사용자가 있는 것으로 알려져 있다. 이중 사용자 기업은 75만 곳 정도 된다. 가장 심각한 취약점은 공격자가 시작한 영상 통화 세션에 피해자를 강제로 합류시킬 수 있게 해주는 것이다. 사용자가 허용을 하지 않아도 소용이 없다. 이는 줌이 맥 시스템에 설치하는 로컬 웹 서버와 관련이 있는 문제인 것으로 밝혀졌다.

“공격자가 웹사이트에 특정 코드를 임베드하고, 줌을 사용하고 있는 피해자가 해당 사이트에 접속하면 곧바로 영상 통화가 시작됩니다. 웹사이트 내에 있는 악성 광고를 통해서도 이런 공격이 가능하기 때문에 멀버타이징과도 많이 접목될 수 있을 것으로 보입니다. 다양한 피싱 공격을 통한 공격은 말할 것도 없고요.” 레이슈어의 설명이다.

사용자가 줌을 삭제하더라도 로컬 웹 서버는 남아있다는 것도 문제다. “웹 서버는 사용자의 허락이나 개입 없이 자동으로 줌 클라이언트를 재설치하도록 만들어져 있습니다. 그렇기 때문에 웹 서버의 존재를 모르는 사용자라면 줌을 지워도 소용이 없게 됩니다. 모든 줌 사용자가 HTTP GET 요청을 허용하는 웹 서버를 가지고 있다는 건, 공격자에게 있어 큰 기회가 됩니다.”

기능인가 오류인가
줌 측은 “사용자가 줌 클라이언트의 환경설정 항목 중에서 ‘세션 참가 시 영상 비활성화’를 클릭하지 않았다면 공격자가 영상 피드를 볼 수 있게 되는 건 맞다”고 블로그를 통해 밝혔다. “하지만 영상 자동 시작 기능을 비활성화 해놓는다면, 레이슈어가 발견한 취약점은 공격에 활용할 수 없게 됩니다. 또한 줌 클라이언트가 시작되는 건 사용자가 항상 볼 수 있기 때문에 사용자를 강제로 영상 통화 세션에 참여시키는 건 실질적인 위협이 되지 못합니다.”

또한 줌은 “로컬 웹 서버는 한정적인 기능만을 가지고 있을 뿐이며, 로컬 시스템에서부터 온 요청들에만 응답을 내보낸다”고 강조했다. 그러면서 “다른 영상 컨퍼런싱 툴들에도 비슷한 요소들이 있으며, 자동 영상 활성화 옵션은 사용자들의 편리를 위해 마련한 정상적인 기능”이라고 주장했다.

그러면서도 줌은 “일반 사용자들에게 있어 삭제가 쉽지 않은 건 사실”임을 인정했다. 특히 클라이언트와 웹 서버 요소를 전부 삭제해야만 된다는 부분은 많은 사용자들이 불편할 수 있다고도 말했다. “이 문제를 해결하기 위해 저희는 새로운 언인스톨러를 개발해 이번 달 내로 발표할 예정입니다. 사용자들이 보다 편리하게 저희 소프트웨어를 삭제할 수 있도록 할 것입니다.”

보안 업체 라피드7(Rapid7)의 연구 책임자인 토드 비어즐리(Tod Beardsley)는 “이런 류의 프로그램에 웹 서버가 함께 설치되는 건 괜찮은 일”이라고 설명한다. “웹 브라우저마다 동일 출처 정책(SOP)을 다른 식으로 적용하는데요, 로컬 웹 서버가 있으면 이 문제가 해결이 됩니다. 좋은 점이 분명히 있다는 것이죠. 다만 언인스톨이 쉽지 않다는 건 분명히 잘못 된 겁니다.”

또 다른 보안 업체 시놉시스(Synopsys)의 보안 엔지니어 보리스 시폿(Boris Cipot)은 “줌 사용자들이라면 영상이 자동으로 켜지는 옵션을 당분간 비활성화 하고, 줌에서 발행되는 각종 패치 소식을 빠르게 접할 필요가 있다”고 권고했다. “특히 갑작스레 시작되는 줌 영상 통화 세션을 주의하세요. 줌을 자주 사용하지 않는데 그런 일이 일어났다면, 누군가 당신의 시스템을 공격했다는 뜻이 됩니다.”

3줄 요약
1. 영상 컨퍼런싱 앱인 줌에서 치명적인 취약점 발견됨. 이에 줌은 클라이언트 변경함.
2. 가장 크게 논란이 되고 있는 건, 사용자를 공격자의 영상 통화 세션에 강제로 합류시키게 해주는 취약점.
3. 줌 측은 “끄면 된다”는 입장. 즉 위험한 취약점은 아니라고 주장. 패치는 이번 달 말에 나올 예정.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)