Zoom의 취약점: 정의 및 방어 기법

2020년이 지나갈 무렵 Zoom 보안 문제가 뉴스 피드에 많이 나왔습니다. 보고서들을 전부 읽어보았다면 누구라도 그간 참석했던 회의로 인해 자신의 정보가 해커와 사기꾼들에게 노출되었을까 봐 전전긍긍했을 것입니다.

하지만 좋은 소식이 있습니다.

Zoom 임원들 역시 보고서를 읽었습니다. 이후 며칠 만에 대부분의 문제를 해결했습니다. 봄에 보고되었던 문제들 중에서 지금까지 해결되지 않고 남아 있는 문제는 거의 없습니다.

하지만 일반적인 조치를 통해 2021년 이후에 예정된 회의에서의 Zoom 보안 문제를 해결할 수 있습니다. 지금부터 그 방법을 알려드리겠습니다.

Zoom의 보안 환경

2020년에는 모든 것이 바뀌었습니다. 팬데믹으로 인해 학교와 회사가 문을 닫고, 요가 스튜디오도 문을 닫았습니다. 대면 회의가 온라인으로 전환되었습니다. 이로 인해 대부분이 Zoom을 통해 회의를 진행했습니다.

Zoom의 성장은 폭발적이었습니다. 2019년 12월 기준으로 Zoom에서 호스팅한 일일 회의 참석자 수는 약 1,000만 명에 달했습니다. 2020년 3월에는 참석자 수가 2억 명 증가했습니다.

Zoom의 개발자들은 프로그램을 개발할 때 사용자 연결을 염두에 두었습니다. 이들이 이상적이라고 생각하는 사용자는 다음과 같았습니다.

  • 기업. 비즈니스 사용자들이 클라이언트나 파트너와 함께 공식 회의를 주최했습니다.
  • 지원. 업무를 감독하는 IT 부서를 운영하고 있었습니다.
  • 연결. 이러한 사용자들에게 Zoom은 그저 하나의 툴킷에 불과했습니다. 일부 회의는 대면으로 진행할 수 있었기 때문입니다.

팬데믹이 장기화되면서 이제 모두가 Zoom을 사용하게 되었습니다. 개발자들이 상상하지 못할 정도의 수요가 발생했습니다.일례로 법원에서 Zoom을 통해 판결하는 날이 올 것이라고 예상하는 사람은 거의 없었습니다. 또한 Zoom의 화상 통화가 수천 명의 미국 어린이들에게 교실 역할을 하게 되리라고는 아무도 예상하지 못했습니다.

결국 해커들에게도 기회가 찾아왔고, Zoom 보안 사고가 발생했습니다.

주요 Zoom 보안 사고

Zoom을 장기간 사용한 사람들에게 대체 무엇이 잘못되었던 것일까요? 몇 가지 알려진 보안 사고를 통해 그 원인을 알아보겠습니다.

알려진 Zoom 보안 침해 사고는 다음과 같습니다.

  • 추측. Zoom 통화를 생성하면 시스템이 임의의 11자리 ID 숫자를 생성합니다. 이 회의 식별자는 비교적 추측하기 쉬웠습니다. 결국 해커가 식별자를 알아냈고 초대받지 않은 통화에 참가할 수 있었습니다.
    상태: 해결됨
  • 유출. Zoom 앱을 iOS 버전으로 사용하면 Zoom 사용자에게 활성 Facebook 계정이 없는데도 불구하고 일부 분석 자료가 Facebook으로 전송되었습니다.
    상태: 해결됨
  • 암호화. Zoom 개발자들은 사용자들에게 종단간 암호화가 적용되어 회의가 안전하다고 말했습니다. 이러한 표현은 잘못되었습니다. 이러한 형태의 암호화는 Zoom에서 사용할 수 없기 때문입니다.
    상태: 개발자들이 표현을 바꾸었지만 암호화 문제는 그대로 남아있습니다.
  • 강제 입장. OSX에서 Zoom을 실행하면 취약점으로 인해 해커들이 강제로 통화에 입장하여 카메라를 제어할 수 있습니다. 해커들이 퇴출되더라도 동일한 방법으로 통화에 다시 입장합니다.
    상태: 해결됨
  • 공격적 언행. 이른바 Zoom 폭격으로 무단 사용자가 카메라를 제어하여 불쾌한 장면을 촬영하거나 모욕적인 말을 외칠 수 있습니다.
    상태: 새로운 기능이 추가되어 관리자가 회의를 잠글 수 있기 때문에 무작위 공격이 습니다.

현재 이러한 Zoom 보안 사고들은 대부분 일어나지 않습니다. Zoom 개발자들이 사고 발생 후 며칠 만에 코드를 변경하고 소프트웨어와 앱을 업데이트했기 때문입니다.

추천할 만한 Zoom 보안 팁

먼저 Zoom을 안전하게 사용할 수 있도록 지원하는 개발자들을 믿으세요. 문제가 생기면 개발자에게 보고하세요. 하지만 스스로 데이터를 보호하는 노력도 필요합니다.

여기 Zoom을 안전하게 사용할 수 있는 방법을 소개합니다.

  • 브라우저 선택. 휴대전화나 컴퓨터에 설치된 앱이 아닌 데스크톱 웹 브라우저에서 회의를 시작합니다. 이 방법을 사용하면 앱 정기 업데이트를 깜박 잊었더라도 항상 최신 코드를 실행할 수 있습니다.
  • 비밀번호 추가. 회의를 생성할 때마다 반드시 비밀번호를 연결해야 합니다. Tweet나 Facebook 포스트를 이용하지 말고 비공개로 비밀번호를 공유하세요.
  • 대기실 사용. 가상 대기실은 참석자들이 모이는 곳으로, 신원을 확인한 후 회의 입장을 허용하게 됩니다. 이 옵션을 사용하면 참석자들을 통제하여 악의적인 방문자를 사전에 차단할 수 있습니다.
  • 인증 요구. 비밀번호에 그치지 말고 휴대 전화 같은 것을 통해 신원 확인을 요구하세요. 상황에 따라 모든 사용자, 특정 업무 담당자 혹은 특정 그룹에 소속된 사용자에게 이러한 인증 단계를 요구하는 것이 좋습니다.
  • Okta를 통한 Zoom 보안 강화. 비공개 회의를 안전하게 보호합니다. Zoom과 Okta를 함께 사용하세요. Okta의 Single Sign-On을 사용해 Zoom에 대한 액세스를 활성화하여 사용자들을 안전하게 보호할 수 있습니다. 이러한 협업 방식에 대해 자세히 알아보세요.

대면 회의가 돌아와 직접 대화를 하더라도 기억해야 할 것이 있습니다. 비공개로 유지해야 하는 중요한 대화는 Zoom에서 하지 않는 것이 좋습니다. 대신 직접 연락하여 회의 일정을 조율하십시오.

FAQ

Q: Zoom 취약점이 얼마나 많은가요?

A: 몇 개라고 단언하기는 어렵습니다. 하지만 Zoom 개발자들이 지난해 발생했던 수십 가지 문제에 대응했습니다. 해커가 영상에서 보이는 팔의 움직임을 보고 비밀번호를 디코딩하는 등의 작은 문제들도 있었지만, 그 외에 중요한 문제들도 있었습니다.

Q: Zoom은 사용하기에 안전한가요?

A: 대부분의 대화에서는 안전합니다. 여기에 Okta 같은 보안 솔루션을 함께 사용하면 더욱 안전할 것입니다.

Q: Zoom에서 기밀 사안에 대한 대화도 가능한가요?

A: 그렇지 않습니다. Zoom은 엄격한 보안 인가를 염두에 두고 설계된 것이 아닙니다. 따라서 대면 회의가 가능하다면 그렇게 하는 것이 가장 좋습니다.

참고 자료

A Message to Our Users. (2020년 4월). Zoom.

Zoom Vulnerability Would Have Allowed Hackers to Eavesdrop on Calls. (2020년 1월). The Verge.

Zoom iOS App Sends Data to Facebook Even If You Don't Have a Facebook Account. (2020년 3월). Vice.

Zoom Faces a Privacy and Security Backlash As it Surges in Popularity. (2020년 4월). The Verge.