줌에서 화면 공유 통해 원치 않는 정보 유출되는 취약점 발견돼

줌의 화면 공유 기능에서 중간급 취약점이 하나 발견됐다. 앱 화면을 배경에서 켜면 줌 세션을 통해 해당 화면 정보가 다른 사람들에게 넘어갈 수 있게 해주는 취약점이다. 아직 패치가 되지 않았기 때문에 사용자들의 주의가 요망된다.

[보안뉴스 문가용 기자] 코로나 시대에 가장 각광 받는 IT 솔루션 중 하나인 줌(Zoom)에서 보안 취약점이 발견됐다. CVE-2021-28133으로, 화면 공유 기능에서 비롯된 것이라고 알려져 있다. 이를 익스플로잇 할 경우, 공격자는 데이터를 훔쳐갈 수 있게 된다. 하지만 실제 공격 성공 난이도는 낮지 않은 편이라고 한다.

[이미지 = utoimage]

줌의 화면 공유 기능은 사용자들끼리 화면에 나타난 콘텐츠를 공유할 수 있도록 해주는 것으로, 사용자들은 화면을 전체적으로 혹은 부분적으로 공유할 수 있다. 하지만 특정 조건이 갖춰질 때, 회의 주관자가 화면 공유 기능을 사용해 다른 애플리케이션 창의 콘텐츠를 회의 참석자들에게 전송할 수 있게 된다고 독일의 보안 전문가인 미카엘 스트르마츠(Michael Strametz)와 마티아스 디그(Mathias Deeg)가 밝혔다.

공격자들이 특정 행위를 유발하여 주관자가 민감한 정보를 노출시키도록 유발하기는 힘들어 보인다. 오히려 실수로 원치 않은 정보가 유출될 가능성이 존재한다는 게 더 문제라고 한다. 연구원들에 따르면 줌 클라이언트 5.5.4 버전(윈도용)에 이 문제가 여전히 존재한다고 한다. 꽤나 안정적으로 재시연이 가능한 정도로 해당 취약점의 익스플로잇 자체는 크게 어렵지 않다.

다행인 점은 원치 않는 정보가 공유되는 현상이 잠시 동안만 발생한다는 것이다. 따라서 갑작스런 사고로 지나칠 수도 있지만, 줌 세션을 누군가 녹화하고 있었다면 잠깐만 노출되는 것도 치명적으로 작용할 수 있다. 이러한 제한 조건들(잠깐만 노출되며, 회의 주관자의 행동을 유발하기 쉽지 않다는 점) 때문에 이 취약점은 10점 만점에 5.7점을 받는 것에 그쳤다.

이 취약점이 어떤 상황에서 발동될 때 위험해질 수 있을까? 디그는 발표 자료를 통해 줌 세션을 통한 웨비나를 예로 들었다. 강사가 줌으로 강연을 하면서 배경에서 비밀번호 관리 프로그램을 열고 로그인을 했을 때, 잠깐이라도 이 정보가 노출될 가능성이 있다는 것이다. 이 강연을 누군가 녹화하고 있었다면, 이 강사의 비밀번호 관련 정보는 외부인에게 노출될 가능성이 매우 높다.

이 취약점이 줌에 보고된 것은 12월 2일의 일이다. 그러나 3개월이 지난 지금까지 줌은 특별한 패치나 픽스를 발표하지 않고 있다. 이에 공공성을 위해 취약점을 공개한다고 두 전문가는 밝혔다. 또한 개념증명용 익스플로잇 영상을 공개하기도 했다(https://www.youtube.com/watch?v=SonmmgQlLzg).

두 전문가는 아직 줌이 패치를 발표하지 않았기 때문에 사용자들이 조심해야 한다면서, “줌 세션 중에 배경에서 애플리케이션을 되도록 열지 않아야 하며, 특히 민감한 정보가 관련되어 있는 앱이라면 더더욱 주의해야 한다”고 강조했다.

한편 줌 측은 해당 문제를 인지하고 있으며 패치를 준비 중에 있다고 발표했다.

3줄 요약
1. 줌에서 중간급 위험도 가진 취약점 CVE-2021-28133 발견됨.
2. 줌 세션 중에 배경에서 애플리케이션을 열면 그 화면이 줌 세션 참여자에게 잠깐 공개됨.
3. 아직 패치가 나오지 않았기 때문에 줌 열면서 배경에서 다른 앱 여는 것 자제해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)