줌 컨퍼런싱 플랫폼에서 발견된 취약점, 여전히 악용되고 있어

민감한 정보 교류되는 장소...공격자들 입장에서는 군침도는 공격 대상
줌 플랫폼의 취약점, 패치되었지만 여전히 노려지고 있어...앞으로도 공격 꾸준할 것

[보안뉴스 문가용 기자] 줌(Zoom)이라는 원격 컨퍼런싱 플랫폼에서 발견되고 패치된 취약점이 여전히 익스플로잇 되고 있다는 소식이다. 다양한 줌 ID를 만듦으로써, 진행되고 있는 줌 회의 세션에 입장할 수 있다고 한다.

[이미지 = iclickart]

줌의 사용자들은 9, 10, 11자리 숫자로 만들어진 고유 ID를 가지고 회의 세션에 입장하게 되어 있다. 회의를 시작한 ‘호스트’가 비밀번호 옵션을 비활성화 하거나 대기실(Waiting Room) 기능을 활성화 할 경우, 해당 회의 세션을 보호할 수 있는 수단은 고유 ID밖에 없게 된다. 보안 업체 체크포인트(Check Point)에 의하면 이런 경우 공격자들이 자동화 기능을 통해 고유 ID를 생성해 회의 세션에 참여할 수 있게 된다고 한다.

“ID는 회의 참가자들 사이에서만 비밀리에 공유되는 것입니다. 또한 아무도 추측할 수 없도록 하는 게 관건이죠.” 체크포인트의 보안 연구 수석인 야니브 발마스(Yaniv Balmas)의 설명이다. “하지만 줌에는 취약점이 하나 있고, 이를 활용할 경우 수분 만에 특정 회의에 참여할 수 있게 해주는 ID를 추측할 수 있게 됩니다.”

실험을 위해 체크포인트의 전문가들은 회의용 ID들로 사용할 만한 숫자들을 다량으로 만들어 목록으로 만들었다. 또한 회의 참가를 위한 URL 문자열도 준비했다. 그리고 이를 하나하나 대입했다. “회의 참가 URL과 회의용 ID 숫자를 함께 입력했을 때 ‘부적절한 ID’나 ‘올바른 ID’라는 응답이 돌아왔습니다. 응답 페이지의 HTML을 자세히 살펴보니 저희가 주입한 ID가 현재 활성화 된 회의 세션과 연결되어 있는지를 확인한 상태에서 부적절하거나 올바르다는 응답을 내보내는 것이더군요. 이 과정을 자동화 하면 빠른 시간 안에 현재 진행되고 있는 회의에 맞는 ID를 생성할 수 있고, 따라서 아무 회의에나 갑자기 끼어들 수 있게 됩니다. 물론 원하는 회의에 골라 들어가기는 힘듭니다. 일종의 룰렛 게임과 비슷한 공격입니다.”

이런 방법으로 회의 세션에 참가한 공격자는 회의 내 공유되는 모든 음성, 영상, 문서 자료에 접근할 수 있게 된다. 물론 참가자의 목록에서 공격자의 ID를 삭제할 수는 없지만, “투명인간처럼 회의에 참여하는 게 어려운 일은 아니”라고 발마스는 설명한다. “20~30명이 참여하는 줌 회의 세션에 들어갔다면, 사실 눈에 띄기 힘듭니다. 호스트로서 회의를 중간에 멈추고 모든 사람의 신원을 하나하나 확인하는 경우는 거의 없으니까요.”

체크포인트가 이 취약점을 발견하게 된 건 작년의 일이다. 줌에 연락을 취한 건 7월이었다. 줌 측은 이를 접수하고 8월에 패치를 배포했다. 패치는 자동으로 적용되는 게 아니라 사용자들이 직접 설치해야 하는 것으로, 아직 모든 사용자가 다 패치 적용을 완료하지 못한 것으로 알려져 있다. 따라서 아직 위와 같은 공격이 가능한 상태다. 이에 줌은 앞으로 모든 회의 세션에 비밀번호 적용을 디폴트로 도입할 계획이라고 한다.

또한 줌은 현재 사용되고 있는 회의용 ID가 올바른 것인지 아닌지에 대한 응답을 자동으로 내보내지 않는다. 그럼으로써 공격자는 맞는 ID를 찾을 확률을 점진적으로 줄여나갈 수 없게 된다. 또한 ID를 반복적으로 스캔할 경우 해당 장비는 일정 시간 동안 차단될 것이라고 한다.

최근 컨퍼런스 플랫폼들에서 여러 가지 취약점들이 발견되고 있다. 작년에는 줌과 시스코 웹엑스(Cisco Webex)라는 컨퍼런싱 도구들에서 ‘프라잉아이(Prying-Eye)’라는 취약점이 발견되기도 했다. 비밀번호가 설정되지 않은 회의 세션을 공격자들이 검색해서 참여할 수 있도록 해주는 취약점이었다.

최근에는 시스코 웹엑스 미팅즈 스위트(Cisco Webex Meetings Suite)와 시스코 웹엑스 미팅즈 온라인(Cisco Webex Meetings Online)에서 CVE-2020-3142라는 취약점이 나오기도 했다. 비밀번호로 보호되어 있는 회의 세션에, 비밀번호 입력 없이 입장하도록 해주는 취약점이었다.

발마스는 “영상 채팅이나 컨퍼런싱 플랫폼은 공격자들에게 매우 탐나는 공격 대상”이라고 강조한다. “민감한 정보가 활발히 교류되는 장소이기 때문이죠. 앞으로도 이러한 플랫폼을 파헤치는 공격자들의 시도는 계속해서 이어질 것이고, 취약점은 꾸준히 발견될 것입니다.”

3줄 요약
1. 원격 컨퍼런싱 툴인 줌에서 취약점 발견되고 패치됨.
2. 줌은 패치를 배포했지만 적용되지 않은 시스템 있어 문제가 지속됨.
3. 영상 컨퍼런싱 도구는 공격자들이 활발하게 노리는 플랫폼.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)