Home > 전체기사
유니콘 스타트업 줌, 취약점 나와 영상 통화 앱 클라이언트 변경
  |  입력 : 2019-07-10 18:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
영상 컨퍼런싱용 앱, 맥 사용자들 수천 만 명이 활발하게 이용하고 있어
취약점 활용하면 통화 세션에 강제로 참여시킬 수 있어...줌은 “옵션 조정하면 끝”


[보안뉴스 문가용 기자] 창업한 지 8년 만에 나스닥 상장을 이뤄내고, 기업 가치 약 18조원의 유니콘으로 등극해 화제인 줌 비디오 커뮤니케이션즈(Zoom Video Communications)가 현지 시각으로 오늘 “맥 시스템용 비디오컨퍼런싱(videoconferencing) 클라이언트를 변경했다”고 발표했다. 한 보안 전문가가 찾아낸 취약점들 때문이다. 이 취약점을 익스플로잇 하면 여러 가지 공격을 할 수 있다고 한다.

[이미지 = iclickart]


줌은 자사 블로그를 통해 취약점을 발견해 알려온 건 조나단 레이슈어(Jonathan Leitschuh)라는 보안 전문가임을 밝히면서 “레이슈어가 말하는 것만큼 맥 사용자들이 크게 위험해진 건 아니”라고 덧붙였다. 줌에서 개발한 소프트웨어는 현재 수천만~수억 명의 맥 사용자들이 사용하고 있다. 줌은 소프트웨어 버그바운티 프로그램을 운영 중에 있기도 하다.

레이슈어가 공개한 취약점은 총 세 가지다. 전부 맥 줌 클라이언트(Mac Zoom Client)에서 발견되었으며, 현재 약 4500만 명의 사용자가 있는 것으로 알려져 있다. 이중 사용자 기업은 75만 곳 정도 된다. 가장 심각한 취약점은 공격자가 시작한 영상 통화 세션에 피해자를 강제로 합류시킬 수 있게 해주는 것이다. 사용자가 허용을 하지 않아도 소용이 없다. 이는 줌이 맥 시스템에 설치하는 로컬 웹 서버와 관련이 있는 문제인 것으로 밝혀졌다.

“공격자가 웹사이트에 특정 코드를 임베드하고, 줌을 사용하고 있는 피해자가 해당 사이트에 접속하면 곧바로 영상 통화가 시작됩니다. 웹사이트 내에 있는 악성 광고를 통해서도 이런 공격이 가능하기 때문에 멀버타이징과도 많이 접목될 수 있을 것으로 보입니다. 다양한 피싱 공격을 통한 공격은 말할 것도 없고요.” 레이슈어의 설명이다.

사용자가 줌을 삭제하더라도 로컬 웹 서버는 남아있다는 것도 문제다. “웹 서버는 사용자의 허락이나 개입 없이 자동으로 줌 클라이언트를 재설치하도록 만들어져 있습니다. 그렇기 때문에 웹 서버의 존재를 모르는 사용자라면 줌을 지워도 소용이 없게 됩니다. 모든 줌 사용자가 HTTP GET 요청을 허용하는 웹 서버를 가지고 있다는 건, 공격자에게 있어 큰 기회가 됩니다.”

기능인가 오류인가
줌 측은 “사용자가 줌 클라이언트의 환경설정 항목 중에서 ‘세션 참가 시 영상 비활성화’를 클릭하지 않았다면 공격자가 영상 피드를 볼 수 있게 되는 건 맞다”고 블로그를 통해 밝혔다. “하지만 영상 자동 시작 기능을 비활성화 해놓는다면, 레이슈어가 발견한 취약점은 공격에 활용할 수 없게 됩니다. 또한 줌 클라이언트가 시작되는 건 사용자가 항상 볼 수 있기 때문에 사용자를 강제로 영상 통화 세션에 참여시키는 건 실질적인 위협이 되지 못합니다.”

또한 줌은 “로컬 웹 서버는 한정적인 기능만을 가지고 있을 뿐이며, 로컬 시스템에서부터 온 요청들에만 응답을 내보낸다”고 강조했다. 그러면서 “다른 영상 컨퍼런싱 툴들에도 비슷한 요소들이 있으며, 자동 영상 활성화 옵션은 사용자들의 편리를 위해 마련한 정상적인 기능”이라고 주장했다.

그러면서도 줌은 “일반 사용자들에게 있어 삭제가 쉽지 않은 건 사실”임을 인정했다. 특히 클라이언트와 웹 서버 요소를 전부 삭제해야만 된다는 부분은 많은 사용자들이 불편할 수 있다고도 말했다. “이 문제를 해결하기 위해 저희는 새로운 언인스톨러를 개발해 이번 달 내로 발표할 예정입니다. 사용자들이 보다 편리하게 저희 소프트웨어를 삭제할 수 있도록 할 것입니다.”

보안 업체 라피드7(Rapid7)의 연구 책임자인 토드 비어즐리(Tod Beardsley)는 “이런 류의 프로그램에 웹 서버가 함께 설치되는 건 괜찮은 일”이라고 설명한다. “웹 브라우저마다 동일 출처 정책(SOP)을 다른 식으로 적용하는데요, 로컬 웹 서버가 있으면 이 문제가 해결이 됩니다. 좋은 점이 분명히 있다는 것이죠. 다만 언인스톨이 쉽지 않다는 건 분명히 잘못 된 겁니다.”

또 다른 보안 업체 시놉시스(Synopsys)의 보안 엔지니어 보리스 시폿(Boris Cipot)은 “줌 사용자들이라면 영상이 자동으로 켜지는 옵션을 당분간 비활성화 하고, 줌에서 발행되는 각종 패치 소식을 빠르게 접할 필요가 있다”고 권고했다. “특히 갑작스레 시작되는 줌 영상 통화 세션을 주의하세요. 줌을 자주 사용하지 않는데 그런 일이 일어났다면, 누군가 당신의 시스템을 공격했다는 뜻이 됩니다.”

3줄 요약
1. 영상 컨퍼런싱 앱인 줌에서 치명적인 취약점 발견됨. 이에 줌은 클라이언트 변경함.
2. 가장 크게 논란이 되고 있는 건, 사용자를 공격자의 영상 통화 세션에 강제로 합류시키게 해주는 취약점.
3. 줌 측은 “끄면 된다”는 입장. 즉 위험한 취약점은 아니라고 주장. 패치는 이번 달 말에 나올 예정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향