Home > 전체기사
코로나 타고 각광 받는 줌! 트롤들의 방해 행위 같이 늘어나
  |  입력 : 2020-03-30 17:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
갑자기 회의실에 난입한 트롤들...욕설, 인종차별 및 혐오 발언, 음란 사진 올리기도
줌 측에서 공식적으로 트롤들 방어 대책 발표해...대기실과 비밀번호 기능 적극 활용 권고


[보안뉴스 문가용 기자] 재택 근무자 늘어나자 줌(Zoom)이라는 협업 및 영상 회의 플랫폼의 인기가 치솟기 시작했다. 그러면서 줌 환경에 대한 위협도 같이 늘어나고 있어 문제가 되고 있다. 급기야 줌 측은 트롤들의 ‘줌 폭탄’ 공격 등에서부터 자유로울 수 있는 방법을 팁을 공식적으로 발표하기도 했다.

[이미지 = iclickart]


먼저 줌은 “줌 회의 링크를 소셜 미디어 등에 대대적으로 공개하는 행위는 절대적으로 위험하다”고 경고했다. 그러면서 “줌 시스템 내에 있는 관리 툴들을 사용해 원치 않는 사람들이 줌 회의에 참여해 분위기를 망치고 회의 진행을 방해하는 것을 적극 막아야 한다”고 강조했다. 이러한 내용은 줌의 공식 블로그를 통해 게재됐다. “줌 플랫폼은 ‘공공’의 특성이 있기 때문에 사람이 꼬일 수밖에 없습니다.”

줌이 블로그에 게시글을 올리게 된 데에는 이유가 있다. 실제 줌 회의 시간에 난입해 각종 혐오 발언을 쏟아내는 ‘트롤’들이 늘어나고 있기 때문이다. 뿐만 아니라 각종 성희롱성 발언들과 협박, 포르노그래피에 해당하는 이미지들을 쏟아 부어 놓고 도망가 중요한 회의를 완전히 망쳐놓기 일쑤라고 한다. 이런 행위들 때문에 회의 참석자 일부가 회의를 종료하면서 회의가 취소되고, 기업들 간 오해가 쌓이기까지 하면서 무시 못 할 손해가 누적되고 있는 상황이다.

현재 코로나 사태가 장기화 되면서 줌은 원격 근무의 ‘디폴트 플랫폼’으로서 자리를 잡아가고 있다. 대기업에서 중소기업들은 물론 학교와 건강 센터, 심지어 심리상담가들까지 고객들 및 내부 직원들과 만날 때 줌을 사용하고 있다. 그러다 보니 사이버 공격자와 트롤들까지 꼬이기 시작한 것인데, 이게 적잖이 문제가 되고 있는 상황이다. 캘리포니아의 한 교육구 회의와 멕시코 음식점 체인인 치폴레(Chipotle)의 회의에 난입한 누군가가 각종 포르노 사진을 올리는 바람에 회의가 중단된 사례가 트위터에서 화제가 되기도 했었다.

그러면 ‘회의의 호스트가 참석자들을 관리하면 되는 거 아닌가?’라는 의문이 떠오를 수 있다. 하지만 피해자들의 증언을 들어보면 공격자들이 자꾸만 ID를 바꿔서 접속하는 바람에 한 번 들어온 트롤들을 추방하기가 불가능했다고 한다. 즉 최초로 들어오는 방법만 익힌다면 끊임없는 공격을 이어갈 수 있다는 것이다. 이는 줌 플랫폼 자체의 ‘쉬운 접속’ 특성과 관련이 있다. 때문에 줌 측은 호스트들에게 ‘매개변수를 설정해 트롤들이 입장하기 힘들도록 만들라’고 권고하고 있다.

줌이 제일 중요하다고 강조하는 건 회의실 링크 공유다. 이를 공개적인 장소에 올리면 절대 안 되며, 꼭 회의와 상관이 있으면서 신뢰할 수 있는 사람들에게만 알려야 한다는 것이다. 또한 ‘줌 퍼스널 미팅 ID(Zoom Personal Meeting ID, PMI)를 사용해 회의를 호스팅 하는 것도 위험할 수 있다고 줌 측은 공식 경고했다.

“PMI를 사용해 회의를 호스팅 한다는 건, 하나의 회의를 계속해서 이어간다는 것과 다름이 없습니다. 상관없는 일반인이 반드시 끼어들게 되어 있습니다. 회의 중이든, 회의가 끝난 후이든 말이죠. 그랬다가 나중에 진짜 회의가 시작되면 이 ‘일반인’이 트롤로 변하여 불쑥 끼어들 수 있는 겁니다.”

‘줌 폭탄’ 공격을 막기 위한 또 다른 권장 사항은 대기실(Waiting Room) 기능을 적극 활용하는 것이라고 한다. 본 회의에 아무도 곧바로 접속하는 게 아니라 호스트가 참석자를 한 명 한 명 확인한 후에 입장시킬 수 있는 기능이다. 다시 말해 호스트가 마지막 순간에 참석자의 신원을 확인하는, 일종의 거름 장치가 되는 것으로, 호스트 입장에서는 조금 귀찮을 수 있어도 안전을 위해서는 유용한 기능이다.

그 외에 활용이 가능한 관리 기능들로는 줌 플랫폼에 로그인 한 사람들만 입장을 허용하는 것이 있다. 특히 초대장이 공식 발부된 이메일 주소로만 로그인 한 사람들만 입장이 되도록 설정하는 것이다. 그런 후 회의실을 비공개로 닫아두면 그저 링크를 가졌다고 해서 아무나 회의장에 뛰어들 수는 없는 것이다. 이렇게 해두면, 트롤이 어려운 입장 과정을 통과했다고 하더라도 ‘리무브(remove)’라는 기능을 통해 간단히 쫓아낼 수 있게 된다.

또한 줌 미팅의 호스트가 회의실 링크를 참석자들에게 공개적으로 전송하지 않아도 된다고 줌은 조언한다. “호스트들은 회의 날짜를 잡을 때 회의 ID(Meeting ID)를 무작위로 생성할 수 있고 합류하기 위해 비밀번호를 입력하도록 설정할 수 있습니다. 안전을 위해 다소 까다롭게 입장 옵션을 바꿀 수 있다는 겁니다.”

이렇게 할 경우 회의 참석에 필요한 ID나 링크가 설사 공개되고 유포된다 하더라도 비밀번호만 안전하게 지키면 된다. 공격자 입장에서는 비밀번호를 알아내야 하는 수고를 한 번 더 해야 하는 것이다. 줌은 “쉽게 합류할 수 있는 것보다 안전하게 회의를 진행하는 게 더 낫다는 걸 사용자들 편에서 이해하는 게 중요하다”고 짚었다.

3줄 요약
1. 재택 근무자 늘어나면서 줌이라는 화상 회의 플랫폼 인기 높아짐.
2. 그러면서 각종 변태적 트롤 행위도 같이 늘어나고 있어 문제.
3. 회의 호스팅 할 때 : PMI 사용하지 말고, 대기실 기능 활용하고, 무작위 회의 ID에 비밀번호 조합해 사용하기.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)