줌 화상 회의 소프트웨어의 잠재적 보안 취약점
줌(Zoom) 화상 회의 프로그램에서 발견된 보안 문제는 맥(Mac)의 숨겨진 웹 서버 이상으로 확장됩니다. 윈도우(Windows) 환경에서도 사용자가 인지하지 못하는 사이에 웹사이트 방문만으로 사용자의 카메라가 활성화될 수 있습니다. 단순히 링크를 클릭하는 것만으로도 이러한 상황이 발생할 수 있으며, 이는 맥 사용자에게도 동일하게 적용됩니다.
초기 보고서에서는 줌의 문제가 맥 운영체제에만 국한된 것으로 알려졌으나, 실제로는 윈도우 역시 동일한 취약점을 가지고 있습니다. 만약 줌 설정에서 회의 참여 시 카메라가 기본적으로 켜지도록 설정되어 있다면, 웹 페이지에 삽입된 줌 링크를 클릭하는 것만으로 즉시 카메라 녹화가 시작될 수 있습니다. 이 문제는 맥과 윈도우 모두에서 발생합니다.
줌 측은 공식 입장을 통해 “이러한 일이 실제로 발생했다는 증거는 아직 없다”고 주장합니다. 또한, 줌 클라이언트가 회의에 참여할 때 웹캠이 자동으로 켜지도록 구성된 경우, 이는 사용자가 해당 기능에 대한 권한을 부여한 것으로 간주한다는 입장을 밝혔습니다. 회사는 이 상황을 문제라기보다 기능으로 보고 있는 듯합니다.
조나단 레이추(Jonathan Leitschuh)가 제작한 개념 증명 웹사이트는 이 문제를 명확하게 보여줍니다. 줌 소프트웨어가 설치된 상태에서 해당 웹사이트를 방문하면 줌이 자동으로 실행되어 회의에 참여하고 웹캠 녹화를 시작합니다. 심지어 맥의 경우, 이전에 줌을 삭제한 후에도 숨겨진 웹 서버 때문에 이와 같은 현상이 나타날 수 있습니다. 물론, 윈도우에서도 줌이 설치되어 있다면 동일하게 작동합니다.
조나단 레이추의 초기 게시물은 이 문제가 맥에만 있는 것처럼 보였으나, 트위터를 통해 다른 플랫폼 사용자도 취약하다는 점을 강조했습니다.
📢 Windows 및 MAC 사용자! 📢
사파리 외 다른 브라우저에서 해당 박스를 체크한 적이 있다면 당신도 취약합니다. pic.twitter.com/FbG2efe0R— 조나단 레이추(@JLLeitschuh) 2019년 7월 9일
본 테스트에서는 구글 크롬 브라우저를 사용하여 줌 소프트웨어가 설치된 환경에서 개념 증명 웹사이트를 방문하여 이 문제를 확인했습니다.
처음 방문 시에는 줌이 설치되지 않은 것으로 인식하여 줌 앱을 열라는 메시지가 나타납니다. 이때, “항상 연결된 앱에서 이러한 유형의 링크 열기” 옵션을 선택하면 문제가 발생합니다. 사용자들이 추가적인 클릭을 생략하기 위해 흔히 선택하는 옵션입니다.
그 이후 웹사이트를 다시 방문하면, 줌이 사용자 동의 없이 자동으로 실행되어 회의에 참여하고 웹캠을 작동시키게 됩니다. 사용자가 별도의 조치를 취하지 않더라도, 줌이 설치되어 있는 한 악의적인 웹사이트에서 사용자를 쉽게 촬영할 수 있습니다.
화상 회의 창이 나타나며 녹화가 진행 중임을 명확히 알 수 있지만, 악성 웹사이트는 사용자가 인지하기 전에 비디오를 캡처할 가능성이 있습니다.
이 문제는 매우 심각하며, 줌을 자주 사용하지 않는 경우 제거하는 것이 좋습니다. 만약 설치가 필요한 경우에는 줌 설정 창의 “비디오” 탭에서 “회의에 참여할 때 내 비디오 끄기” 옵션을 활성화하여 이러한 상황을 예방할 수 있습니다.
또한, 맥 사용자들은 숨겨진 웹 서버를 확인하고 제거하는 것을 잊지 않아야 합니다.
안타깝게도 줌은 공식 답변을 통해, 이 문제를 기능으로 간주하는 듯한 입장을 보여주고 있습니다. 부디 줌이 이 문제의 심각성을 인지하고 향후에는 개선된 정책을 제시하길 바랍니다.