해킹과 정보 유출 파문으로 세계 각 국에서 홍역을 치루고 있는 미국의 화상플랫폼 줌(Zoom). 급기야 지난 2일 에릭 유안(Eric Yuan) '줌' CEO는 보안 문제와 관련해 공식 사과했다. 유안 대표는 ‘줌’의 취약한 보안 문제를 인정하고, "당분간 모든 개발 업무를 중단하고 보안작업에 중점을 두겠다."고 약속했다. 사안의 성격상 짧은 시간 내에 문제가 해결되기는 쉽지 않을 것으로 보인다. 도대체 줌은 어떤 보안 문제를 가지고 있을까? 최근 미국 IT 전문 미디어 톰스 가이드(Tom's Guide)가 줌의 개인정보보호 및 보안 문제를 정리해 소개헀다.

 

1. 계정 가로채기 (account hijacking)

계정 이메일 주소가 알려지거나 성공적으로 추측될 경우 누구나 쉽게 기존 줌 계정을 가로챌 수 있다. 공격자가 이메일 주소 attacker@companyname.com으로 계정을 만들어 이 버그로 확인하면 공격자는 회사 연락처의 줌 앱에서 *@companyname.com으로 생성한 모든 이메일을 볼 수 있어 공격자가 회사의 모든 계정을 해킹할 수 있다. - 수정완료.

 

2. 온라인에서 발견된 2,300개의 로그인 자격 증명

IngSights의 연구원들은 범죄 온라인 포럼에서 공유되고 있는 2,300개의 Zoom 로그인 자격 증명을 발견했다. 개인 계좌 뿐만 아니라 은행, 컨설팅 회사, 교육 시설, 의료 서비스 제공업체, 소프트웨어 공급업체에 속한 기업 계좌가 많았다"고 썼다. -미확인 상태. 줌만의 문제는 아니다.

 

3. 파일 공유의 '잠재적 보안 취약성'

줌 미팅의 참가자들은 미팅의 채팅 기능을 사용하여 서로 파일을 공유할 수 있었다. 최근 줌은 파일 공유에서 보안 문제를 발견하고 이 기능을 사용할 수 없도록 조치했다. - 수정완료.

 

4. 악성코드가 동반된 zoom 설치 관리자

트렌드 마이크로 연구자가 줌 설치 관리자(버전 4.4)에서 코인 마이너 악성코드를 발견했다. 최신 윈도우용 줌 클라이언트는 4.6.9 버전까지 업데이트 되었다. 이용자들은 이 버전을 사용해야 한다. - 알려진 상태. 해당 설치 소프트웨어를 복사 또는 재배포해선 안 된다.

 

사진=셔터스톡
사진=셔터스톡

5. 허약한 암호화 알고리즘

줌은 암호화 알고리즘을 AES-256 방식을 사용하고 있다고 밝혀왔다. 그러나 지난 3일 토론토 대학 시민 연구소에서 줌이 실제로는 다소 약한 AES-128 알고리즘을 사용하고 있다는 사실을 발견했다. -미해결. 유안 대표는 3일 이 사실을 인정하고, “보다 나은 암호화 설계방식을 찾아 조만간 발표할 것”이라고 밝혔다.

 

6. 중국어 서버에서 발급한 암호화 키

AES128 암호화 키는 Zoom 서버가 Zoom 클라이언트에게 발급하는데, 미팅의 모든 참가자가 북미에 있을 때에도 중국에 있는 서버가 Zoom 사용자들에게 키를 발급한다. 중국 당국이 중국 서버의 운영자들에게 데이터를 넘겨주도록 강요하거나 중국 정부가 당신의 줌 미팅을 볼 수 있다는 우려가 제기된다. - 수정완료.

 

7. 미팅 대기실의 보안 결함

줌은 미팅 호스트들에게 "줌 바밍(줌 폭격)"을 피하기 위해 "대기실"을 설정하라고 조언한다. 대기실은 한 꺼번에 또는 한 번에 한 명씩 호스트가 참가자를 들여보내줄 때까지 기본적으로 참가자를 보류한다.

시민연구소는 줌 대기실에서 심각한 보안 문제를 발견했다며 호스트와 참가자들에게 당분간 사용하지 말 것을 권고했다. 시민연구소는 아직 자세한 내용은 공개하지 않고 있지만, 줌에게 결함을 알렸다. -수정완료.

 

8. 쉽게 손상될 수 있는 줌 소프트웨어

좋은 소프트웨어는 응용프로그램이 제3자에 의해 변경된 코드를 실행하지 않도록 하기 위한 안티탬퍼링(anti-tampering) 메커니즘을 내장하고 있다. 이 메커니즘이 매우 허술해 비활성화되거나 조작을 막지 못할 수 있다. - 미해결 상태.

 

9. 줌 바밍(줌 폭격)

미팅 번호를 알면 공개 미팅에 파일 공유 사진을 이용해 충격적인 이미지를 올리거나 오디오에 짜증나는 소리를 낼 수 있다. FBI가 경고했다. 줌 미팅의 진행자는 문제를 일으키는 사람들을 음소거하거나 쫓아낼수 있지만, 새로운 ID로 곧장 돌아올 수 있다. 줌 폭격을 피하는 가장 좋은 방법은 허용된 사용자 이외에는 줌 미팅 번호를 공유하지 않는 것이다. 또, 참가자들이 미팅에 로그인 시 비밀번호 사용을 요청한다. - 미해결 상태.

 

10. 이메일 주소 및 프로필 사진 유출

Zoom은 동일한 전자 메일 도메인을 공유하는 모든 사용자를 서로의 정보를 볼 수 있는 "회사" 폴더에 자동으로 넣는다. 네덜란드 사용자들이 자신의 회사 폴더에서 알지 못하는 수십 명의 사람들을 발견했다. -미확인 상태.

 

11. 개인 데이터를 광고주와 공유

줌은 개인 정보를 타사 마케터들과 공유할 수 있는 권리를 허용하는 개인정보 보호정책을 사용하고 있다. 줌은 "우리는 당신의 개인 데이터를 판매하지 않는다"고 주장하면서 재빨리 개인 정보 보호 정책을 수정했다. - 미확인 상태. 우리는 줌이 제3자 광고주들과 거래하는 것에 대해 자세히 알지 못한다.

 

12. '워 드라이빙' 해킹에 노출

주로 차량을 이용해 이동하면서 해킹하는 신종 해킹 수법인 워 드라이빙(war driving)이 가능하다는 것을 알게 되었다. 보안 블로거 브라이언 크렙스는 " 줌 미팅 ID를 빠르게 얻어내 줌 미팅을 열 수 있다"고 말했다. - 미확인상태.

 

13. 미팅 채팅의 온라인 노출

두 명의 트위터 사용자는 미팅의 채팅 앱에서 개인 창을 사용해 다른 사람과 개인적으로 의사소통 시, 호스트가 수신하는 미팅 종료 대화록에 대화가 보일 것이라고 지적했다. - 미확인상태.

이외에도 Windows 암호 도용, Windows 악성 프로그램 주입, iOS 프로필 공유, Mac에서 악성코드 유사 행위, Mac에서 악성코드 우회침입 등의 문제는 이미 수정 완료되었으며, 기기 간 암호화 문제와 온라인에서 미팅 기록 보호 문제는 추가 논의가 필요한 사항이다.