2019.07.16

웹캠 앱 '줌' 늑장 패치로 본 섀도우 IT의 위험

Matthew Finnegan | Macworld
지난주 영상 채팅 앱 줌(Zoom)이 데스크톱 앱 맥 버전에서 해커가 사용자의 웹캠을 점유할 수 있는 보안 결함을 수정하는 패치를 내놨다.
 
보안 연구원 조나단 레이슈는 이 취약점을 발견했고 지난 월요일에 블로그를 통해 취약점 정보를 공개했다. 레이슈는 줌을 사용하는 75만여 개의 회사와 약 400만 명의 개인이 이 결함의 영향을 받았을 가능성이 있다고 전했다. 줌 측은 사용자가 영향을 받은 조짐은 없다고 밝혔다. 그러나 결함과 그 작동 방식에 대한 우려가 확산되면서 비슷한 다른 앱도 마찬가지로 취약하지 않은지에 대한 의문이 제기되고 있다.



결함은 사용자가 클릭만 하면 고유한 URL을 통해 즉시 화상 전화에 참여할 수 있는 줌 기능과 관련된다(이 기능의 원래 목적은 더 매끄러운 사용자 경험을 위해 빠르고 끊김 없이 앱을 실행하는 데 있다). 줌에는 통화에 참여하기 전까지 카메라를 끈 상태로 유지하는 옵션이 있지만(나중에 사용자가 앱 설정에서 카메라를 끌 수도 있음) 기본적으로는 켜지는 상태로 설정돼 있다.
 
레이슈는 이 기능이 악의적인 목적으로 사용될 수 있다고 주장했다. 사이트의 코드에 숨겨진 빠른 참여 링크가 있는 사이트로 사용자를 유인하면 공격자가 줌 앱을 실행하고 이 과정에서 사용자 허가 없이 카메라나 마이크를 켤 수 있다. 이 공격이 가능한 이유는 줌 데스크톱 앱을 다운로드하면 웹 서버도 함께 설치된다는 데 있다. 설치된 웹 서버는 줌 앱이 삭제된 후에도 디바이스에 그대로 남는다.
 
레이슈가 취약점 정보를 게시하자 줌 측은 처음에는 웹 서버에 대해 우려할 점이 없다는 입장으로 대응했으나, 화요일에는 맥 디바이스에서 웹 서버를 제거하는 긴급 패치를 내놓을 계획이라고 입장을 바꿨다. 줌 CISO 리차드 팔리는 블로그를 통해 “원래는 웹 서버나 비디오 켜기 기능이 고객에게 심각한 위험이 된다고 생각하지 않았으며 오히려 이러한 기능이 매끄러운 통화 참여 과정을 위해 필수적이라고 여겼다”면서 “그러나 지난 24시간 동안 일부 사용자와 보안 커뮤니티의 우려를 경청했고 서비스를 업데이트하기로 결정했다”고 전했다.
 
테크크런치(Techcrunch)에 따르면 애플 역시 수요일에 맥 디바이스에서 문제의 웹 서버를 제거하는 업데이트를 “조용히” 내놨다. 업데이트는 줌을 삭제한 사용자 보호에도 도움이 된다.
 

기업 고객의 우려

이 취약점의 심각도에 대한 우려 수준은 다양하다. 버즈피드 뉴스(Buzzfeed News)에 따르면 레이슈는 심각도를 8.5(최대 10)로 분류했지만 줌은 자체 검토 후 3.1로 평가했다. 네메터스 리서치(Nemertes Research) 부사장이며 서비스 담당 이사인 어윈 라자는 사용자가 데스크톱에서 줌 앱이 실행되는 것을 금방 알아차릴 수 있으므로 취약점 자체는 기업에 큰 우려 대상이 아니라고 말했다.
 
라자는 “아주 심각한 취약점은 아니라고 생각한다. 위험은 누군가가 회의를 가장한 링크를 클릭하면 줌 클라이언트가 시작되고 클릭한 사람을 회의로 연결한다는 점”이라면서 “비디오가 기본적으로 켜지도록 설정됐다면 사용자는 자신이 의도하지 않게 회의에 참여했음을 인식할 때까지 카메라에 노출된다. 그러나 사용자는 줌 클라이언트가 실행되는 것을 볼 수 있으므로 회의에 참여했다는 사실을 즉각 알게 될 가능성이 높다”고 말했다. 라자는 “최악의 경우라 해도 알아차리고 회의를 나올 때까지 몇 초 정도 카메라에 노출되는 정도”라고 말했다.
 
퓨처럼 리서치(Futurum Research)의 창업 파트너이며 수석 분석가인 대니얼 뉴먼은 취약점 자체는 문제를 일으키지 않았지만 줌이 문제에 대응하는 데 소요된 시간은 우려할 만한 점이라고 말했다. 뉴먼은 “사안을 보는 시각은 두 가지다. 우선 수요일에 출시된 패치를 근거로 보면 취약점은 그다지 심각하지 않다. 그러나 기업 고객이 중대하게 보는 점은 이 문제가 해결되지 않은 채 몇 개월 동안 방치됐다는 점, 초기에 나온 패치를 롤백해서 취약점을 다시 만들 수 있었다는 점이며, 이제 이들은 최신 패치가 정말 영구적인 해결책인지 여부에 의심을 품고 있다”고 말했다.
 
레이슈가 처음 줌 측에 이 취약점에 대해 경고한 시점은 3월 말이다. 4월에 진행된 줌의 IPO가 있기 몇 주 전이다. 당시 레이슈는 줌으로부터 보안 엔지니어가 “부재 중”이라는 답변을 들었다고 한다. 제대로 된 수정은 취약점이 대중에 공개된 이후에야 나왔다(단, 임시 수정 패치는 이번 주에 앞서 공개됨). 레이슈는 “줌은 보고된 취약점이 실제로 존재한다는 점을 신속하게 확인하는 데 실패했고, 문제를 수정하는 패치를 적시에 고객에게 제공하는 데도 실패했다. 줌 정도의 규모와 방대한 사용자 기반을 보유한 기업이라면 사용자를 공격으로부터 보호하기 위해 더욱 선제적 자세를 취해야 했다”고 말했다.
 
줌 CEO 에릭 S 유안은 수요일 성명에서 “상황을 오판한 탓에 신속하게 대응하지 못했다. 전적으로 우리의 잘못이며 이번 사건을 통해 많은 것을 배웠다”면서 “확실한 것은 줌은 사용자 보안을 매우 중요하게 여기며 사용자를 위해 올바른 일을 하는 데 전념하고 있다는 점”이라고 말했다.
 

다른 업체에도 비슷한 결함이?

추세가 회의 참여 과정을 간소화하는 추세인 만큼 다른 화상 회의 애플리케이션에도 비슷한 취약점이 존재할 가능성이 있다. 라자는 “다른 업체의 앱은 테스트하지 않았지만 아마 비슷한 기능이 있을 것”이라며 “줌 경쟁사들도 줌과 대등한 빠른 시작 시간과 비디오 우선 환경을 구축하기 위해 노력해왔으며 대부분이 캘린더 링크 클릭을 통한 신속한 회의 참여 기능을 제공한다”고 말했다.
 
Computerworld는 블루진(BlueJeans), 시스코, 마이크로소프트를 비롯한 다른 주요 화상 회의 소프트웨어 업체에도 연락해서 각각의 데스크톱 앱에도 줌과 같이 웹 서버 설치가 필요한지 여부를 물었다. 블루진 측은 자사 데스크톱 앱 역시 런처 서비스를 사용하지만 악성 웹사이트에 의한 활성화는 불가능하다고 답했다. 또한 오늘 게시한 블로그 글을 통해 런처 서비스를 포함해서 앱을 완전히 제거할 수 있다는 점도 강조했다.
 
블루진 CTO이며 공동 창업자인 알라구 페리얀난은 “블루진 회의 플랫폼은 두 가지 문제에 대해 모두 취약하지 않다”고 말했다. 블루진 사용자는 웹 브라우저와 데스크톱 앱, 둘 중 하나를 통해 화상 회의에 참여할 수 있다. 웹 브라우저를 사용하는 경우 “브라우저 자체의 기본 권한 흐름을 활용”한다.
 
페리얀난은 이메일을 통해 “블루진의 런처 서비스는 처음부터 보안을 가장 중시해서 구현됐다. 런처 서비스는 블루진이 승인한 웹사이트(예를 들어 bluejeans.com)만 블루진 데스크톱 앱을 실행해서 회의에 참여할 수 있도록 보장한다. 레이슈가 언급한 문제와 달리 악성 웹사이트는 블루진 데스크톱 앱을 실행할 수 없다”고 밝혔다.
 
페리얀난은 “블루진은 브라우저-데스크톱 상호작용 개선(CORS-RFC1918에 대한 문서에서 제기된 사항 포함)을 평가해 사용자에게 가능한 최선의 솔루션을 제공하기 위해 지속적으로 노력 중이다. 또한 런처 서비스 사용에 불안함을 느끼는 고객은 지원 팀에 연락해서 데스크톱 앱의 런처를 비활성화할 수 있다”고 말했다. 시스코 대변인은 “웹엑스(Webex) 제품은 로컬 웹 서버를 설치하거나 사용하지 않으며 이 취약점의 영향을 받지 않는다”고 밝혔다. 마이크로소프트는 질문에 답하지 않았다.
   

섀도우 IT의 위험 드러나다

현재 관심의 초점은 줌 취약점의 속성에 모이고 있지만 뉴먼은 대규모 조직의 경우 보안 위험은 하나의 소프트웨어 취약점이 아닌 더 깊은 의미를 지닌다면서 “이 문제는 화상 회의 문제보다는 SaaS 및 섀도우 IT 문제라는 측면이 더 크다. 물론 네트워킹 장비 중 어느 하나라도 적절히 설정되고 보호되지 않을 경우 취약점이 노출된다. 그러나 제대로 설정한 경우에도 제조사의 소프트웨어와 펌웨어가 문제를 일으켜 취약점으로 이어질 수 있다”고 말했다.
 
줌은 2011년 창업 이후 큰 성공을 거뒀으며 나스닥, 21세기 폭스, 델타 등 유수의 여러 대기업 고객도 확보했다. 줌의 성공을 이끈 주된 동력은 보통 IT 부서가 주도하는 하향식 소프트웨어 배포가 아닌 직원들 사이의 입소문, 즉 “바이럴” 현상에 따른 도입이다.
 
뉴먼은 대기업에서 슬랙, 드롭박스와 같은 앱의 인기를 이끌기도 한 이와 같은 도입 방식은 직원이 사용하는 소프트웨어를 엄격히 통제하기를 원하는 IT 팀에는 골칫거리가 될 수 있다고 말했다. 앱이 IT 부서의 검열을 받지 않을 경우 위험 수준은 더 높아진다. 뉴먼은 “기업용 애플리케이션에는 사용 편의성과 보안의 조화가 필요하다. 이번 문제는 줌이 후자보다 전자에 확고하게 초점을 두고 있다는 점을 보여준다”고 말했다.
 
뉴먼은 “내가 웹엑스 팀, 마이크로소프트 팀 등을 줄곧 지지하는 이유도 여기에 있다. 이 두 애플리케이션은 IT 부서를 통해, 적절한 팀의 검열을 거쳐 기업 환경에 도입되는 경우가 많다. 또한 시스코나 마이크로소프트와 같은 업체는 애플리케이션 안전에 초점을 두는 보안 엔지니어도 풍부하게 갖추고 있다”고 말했다. 뉴먼은 줌의 “보안 엔지니어가 부재 중”이어서 며칠 동안 회신하지 못했다는 줌의 초기 대응을 지적하며 “MSFT 또는 시스코에서는 이런 식의 대응은 결코 용납되지 않을 것”이라고 말했다. editor@itworld.co.kr 



2019.07.16

웹캠 앱 '줌' 늑장 패치로 본 섀도우 IT의 위험

Matthew Finnegan | Macworld
지난주 영상 채팅 앱 줌(Zoom)이 데스크톱 앱 맥 버전에서 해커가 사용자의 웹캠을 점유할 수 있는 보안 결함을 수정하는 패치를 내놨다.
 
보안 연구원 조나단 레이슈는 이 취약점을 발견했고 지난 월요일에 블로그를 통해 취약점 정보를 공개했다. 레이슈는 줌을 사용하는 75만여 개의 회사와 약 400만 명의 개인이 이 결함의 영향을 받았을 가능성이 있다고 전했다. 줌 측은 사용자가 영향을 받은 조짐은 없다고 밝혔다. 그러나 결함과 그 작동 방식에 대한 우려가 확산되면서 비슷한 다른 앱도 마찬가지로 취약하지 않은지에 대한 의문이 제기되고 있다.



결함은 사용자가 클릭만 하면 고유한 URL을 통해 즉시 화상 전화에 참여할 수 있는 줌 기능과 관련된다(이 기능의 원래 목적은 더 매끄러운 사용자 경험을 위해 빠르고 끊김 없이 앱을 실행하는 데 있다). 줌에는 통화에 참여하기 전까지 카메라를 끈 상태로 유지하는 옵션이 있지만(나중에 사용자가 앱 설정에서 카메라를 끌 수도 있음) 기본적으로는 켜지는 상태로 설정돼 있다.
 
레이슈는 이 기능이 악의적인 목적으로 사용될 수 있다고 주장했다. 사이트의 코드에 숨겨진 빠른 참여 링크가 있는 사이트로 사용자를 유인하면 공격자가 줌 앱을 실행하고 이 과정에서 사용자 허가 없이 카메라나 마이크를 켤 수 있다. 이 공격이 가능한 이유는 줌 데스크톱 앱을 다운로드하면 웹 서버도 함께 설치된다는 데 있다. 설치된 웹 서버는 줌 앱이 삭제된 후에도 디바이스에 그대로 남는다.
 
레이슈가 취약점 정보를 게시하자 줌 측은 처음에는 웹 서버에 대해 우려할 점이 없다는 입장으로 대응했으나, 화요일에는 맥 디바이스에서 웹 서버를 제거하는 긴급 패치를 내놓을 계획이라고 입장을 바꿨다. 줌 CISO 리차드 팔리는 블로그를 통해 “원래는 웹 서버나 비디오 켜기 기능이 고객에게 심각한 위험이 된다고 생각하지 않았으며 오히려 이러한 기능이 매끄러운 통화 참여 과정을 위해 필수적이라고 여겼다”면서 “그러나 지난 24시간 동안 일부 사용자와 보안 커뮤니티의 우려를 경청했고 서비스를 업데이트하기로 결정했다”고 전했다.
 
테크크런치(Techcrunch)에 따르면 애플 역시 수요일에 맥 디바이스에서 문제의 웹 서버를 제거하는 업데이트를 “조용히” 내놨다. 업데이트는 줌을 삭제한 사용자 보호에도 도움이 된다.
 

기업 고객의 우려

이 취약점의 심각도에 대한 우려 수준은 다양하다. 버즈피드 뉴스(Buzzfeed News)에 따르면 레이슈는 심각도를 8.5(최대 10)로 분류했지만 줌은 자체 검토 후 3.1로 평가했다. 네메터스 리서치(Nemertes Research) 부사장이며 서비스 담당 이사인 어윈 라자는 사용자가 데스크톱에서 줌 앱이 실행되는 것을 금방 알아차릴 수 있으므로 취약점 자체는 기업에 큰 우려 대상이 아니라고 말했다.
 
라자는 “아주 심각한 취약점은 아니라고 생각한다. 위험은 누군가가 회의를 가장한 링크를 클릭하면 줌 클라이언트가 시작되고 클릭한 사람을 회의로 연결한다는 점”이라면서 “비디오가 기본적으로 켜지도록 설정됐다면 사용자는 자신이 의도하지 않게 회의에 참여했음을 인식할 때까지 카메라에 노출된다. 그러나 사용자는 줌 클라이언트가 실행되는 것을 볼 수 있으므로 회의에 참여했다는 사실을 즉각 알게 될 가능성이 높다”고 말했다. 라자는 “최악의 경우라 해도 알아차리고 회의를 나올 때까지 몇 초 정도 카메라에 노출되는 정도”라고 말했다.
 
퓨처럼 리서치(Futurum Research)의 창업 파트너이며 수석 분석가인 대니얼 뉴먼은 취약점 자체는 문제를 일으키지 않았지만 줌이 문제에 대응하는 데 소요된 시간은 우려할 만한 점이라고 말했다. 뉴먼은 “사안을 보는 시각은 두 가지다. 우선 수요일에 출시된 패치를 근거로 보면 취약점은 그다지 심각하지 않다. 그러나 기업 고객이 중대하게 보는 점은 이 문제가 해결되지 않은 채 몇 개월 동안 방치됐다는 점, 초기에 나온 패치를 롤백해서 취약점을 다시 만들 수 있었다는 점이며, 이제 이들은 최신 패치가 정말 영구적인 해결책인지 여부에 의심을 품고 있다”고 말했다.
 
레이슈가 처음 줌 측에 이 취약점에 대해 경고한 시점은 3월 말이다. 4월에 진행된 줌의 IPO가 있기 몇 주 전이다. 당시 레이슈는 줌으로부터 보안 엔지니어가 “부재 중”이라는 답변을 들었다고 한다. 제대로 된 수정은 취약점이 대중에 공개된 이후에야 나왔다(단, 임시 수정 패치는 이번 주에 앞서 공개됨). 레이슈는 “줌은 보고된 취약점이 실제로 존재한다는 점을 신속하게 확인하는 데 실패했고, 문제를 수정하는 패치를 적시에 고객에게 제공하는 데도 실패했다. 줌 정도의 규모와 방대한 사용자 기반을 보유한 기업이라면 사용자를 공격으로부터 보호하기 위해 더욱 선제적 자세를 취해야 했다”고 말했다.
 
줌 CEO 에릭 S 유안은 수요일 성명에서 “상황을 오판한 탓에 신속하게 대응하지 못했다. 전적으로 우리의 잘못이며 이번 사건을 통해 많은 것을 배웠다”면서 “확실한 것은 줌은 사용자 보안을 매우 중요하게 여기며 사용자를 위해 올바른 일을 하는 데 전념하고 있다는 점”이라고 말했다.
 

다른 업체에도 비슷한 결함이?

추세가 회의 참여 과정을 간소화하는 추세인 만큼 다른 화상 회의 애플리케이션에도 비슷한 취약점이 존재할 가능성이 있다. 라자는 “다른 업체의 앱은 테스트하지 않았지만 아마 비슷한 기능이 있을 것”이라며 “줌 경쟁사들도 줌과 대등한 빠른 시작 시간과 비디오 우선 환경을 구축하기 위해 노력해왔으며 대부분이 캘린더 링크 클릭을 통한 신속한 회의 참여 기능을 제공한다”고 말했다.
 
Computerworld는 블루진(BlueJeans), 시스코, 마이크로소프트를 비롯한 다른 주요 화상 회의 소프트웨어 업체에도 연락해서 각각의 데스크톱 앱에도 줌과 같이 웹 서버 설치가 필요한지 여부를 물었다. 블루진 측은 자사 데스크톱 앱 역시 런처 서비스를 사용하지만 악성 웹사이트에 의한 활성화는 불가능하다고 답했다. 또한 오늘 게시한 블로그 글을 통해 런처 서비스를 포함해서 앱을 완전히 제거할 수 있다는 점도 강조했다.
 
블루진 CTO이며 공동 창업자인 알라구 페리얀난은 “블루진 회의 플랫폼은 두 가지 문제에 대해 모두 취약하지 않다”고 말했다. 블루진 사용자는 웹 브라우저와 데스크톱 앱, 둘 중 하나를 통해 화상 회의에 참여할 수 있다. 웹 브라우저를 사용하는 경우 “브라우저 자체의 기본 권한 흐름을 활용”한다.
 
페리얀난은 이메일을 통해 “블루진의 런처 서비스는 처음부터 보안을 가장 중시해서 구현됐다. 런처 서비스는 블루진이 승인한 웹사이트(예를 들어 bluejeans.com)만 블루진 데스크톱 앱을 실행해서 회의에 참여할 수 있도록 보장한다. 레이슈가 언급한 문제와 달리 악성 웹사이트는 블루진 데스크톱 앱을 실행할 수 없다”고 밝혔다.
 
페리얀난은 “블루진은 브라우저-데스크톱 상호작용 개선(CORS-RFC1918에 대한 문서에서 제기된 사항 포함)을 평가해 사용자에게 가능한 최선의 솔루션을 제공하기 위해 지속적으로 노력 중이다. 또한 런처 서비스 사용에 불안함을 느끼는 고객은 지원 팀에 연락해서 데스크톱 앱의 런처를 비활성화할 수 있다”고 말했다. 시스코 대변인은 “웹엑스(Webex) 제품은 로컬 웹 서버를 설치하거나 사용하지 않으며 이 취약점의 영향을 받지 않는다”고 밝혔다. 마이크로소프트는 질문에 답하지 않았다.
   

섀도우 IT의 위험 드러나다

현재 관심의 초점은 줌 취약점의 속성에 모이고 있지만 뉴먼은 대규모 조직의 경우 보안 위험은 하나의 소프트웨어 취약점이 아닌 더 깊은 의미를 지닌다면서 “이 문제는 화상 회의 문제보다는 SaaS 및 섀도우 IT 문제라는 측면이 더 크다. 물론 네트워킹 장비 중 어느 하나라도 적절히 설정되고 보호되지 않을 경우 취약점이 노출된다. 그러나 제대로 설정한 경우에도 제조사의 소프트웨어와 펌웨어가 문제를 일으켜 취약점으로 이어질 수 있다”고 말했다.
 
줌은 2011년 창업 이후 큰 성공을 거뒀으며 나스닥, 21세기 폭스, 델타 등 유수의 여러 대기업 고객도 확보했다. 줌의 성공을 이끈 주된 동력은 보통 IT 부서가 주도하는 하향식 소프트웨어 배포가 아닌 직원들 사이의 입소문, 즉 “바이럴” 현상에 따른 도입이다.
 
뉴먼은 대기업에서 슬랙, 드롭박스와 같은 앱의 인기를 이끌기도 한 이와 같은 도입 방식은 직원이 사용하는 소프트웨어를 엄격히 통제하기를 원하는 IT 팀에는 골칫거리가 될 수 있다고 말했다. 앱이 IT 부서의 검열을 받지 않을 경우 위험 수준은 더 높아진다. 뉴먼은 “기업용 애플리케이션에는 사용 편의성과 보안의 조화가 필요하다. 이번 문제는 줌이 후자보다 전자에 확고하게 초점을 두고 있다는 점을 보여준다”고 말했다.
 
뉴먼은 “내가 웹엑스 팀, 마이크로소프트 팀 등을 줄곧 지지하는 이유도 여기에 있다. 이 두 애플리케이션은 IT 부서를 통해, 적절한 팀의 검열을 거쳐 기업 환경에 도입되는 경우가 많다. 또한 시스코나 마이크로소프트와 같은 업체는 애플리케이션 안전에 초점을 두는 보안 엔지니어도 풍부하게 갖추고 있다”고 말했다. 뉴먼은 줌의 “보안 엔지니어가 부재 중”이어서 며칠 동안 회신하지 못했다는 줌의 초기 대응을 지적하며 “MSFT 또는 시스코에서는 이런 식의 대응은 결코 용납되지 않을 것”이라고 말했다. editor@itworld.co.kr 

X