Zoom(줌) 보안 이슈 총 정리, 대체 프로그램은?

 

Zoom 사용해도 되는 것인가?

COVID-19(코로나) 확산 사태가 장기화 되면서 원격근무, 원격수업이 실시되됨에 따라 사용량이 급증하던 화상회의 서비스 줌(Zoom)은 잇단 보안사고가 터지면서 논란이 되고 있다.

• 대만 정부의 줌 사용 전면 금지
• 독일 외교부 줌이 소프트웨어적으로 정보보호에 심각한 약점을 가진 것으로 결론 내려 줌을 개인용 장비로만 사용할 것을 권고
• 미국 뉴욕시, 네바다주, 로스앤젤레스 일부 학교 보안 문제를 이유로 줌 사용을 금지
• 영국 국방부 줌 보안 문제를 발표, 정부 기관 등의 사용을 금지
• 국제 기구 나토(NATO·북대서양조약기구)에서도 민감 정보를 다룰 땐 줌 사용 금지

현재 국내에서의 정부차원의 제재는 없다.

 

 

 

Zoom의 보안 이슈

Zoom Bombing (줌 폭격)

• 최근 줌을 이용한 화상 수업이나 회의 중 누군가 무단 침입해 음란 영상을 틀고 나가거나 욕설을 하며 방해하는 ‘줌 폭격(Zoom Bombing)’이 잇달아 발생했다. 회의실의 코드(아이디)가 9자리로 구성되다 보니 자동화 된 프로그램을 이용한 무차별 대입 공격(Brute Force Attack)에 취약하다.
• 만약 회의실 링크를 소셜 미디어나 다른 공개적인 장소에 공유한다면 누구나 회의실에 참여할 수 있다.

취약한 암호화

• 줌이 공개한 공식 문건에 AES-256으로 암호화한다고 명시 되어 있다. 하지만 캐나다 토론토대학 연구팀인 시티즌랩(Citizen Lab)은 3일(현지시간) 줌의 암호화 방식은 AES-256 키가 아닌 단일 AES-128 키를 통해 이뤄진다고 밝혔다. AES뒤에 붙은 숫자는 128bit, 256bit로 키의 길이를 나타낸다. 쉽게 생각하면 이 숫자가 클수록 보안이 좋다는 뜻이다. 현재 권장되는 암호화 수준은 192bit 이상인데 그보다 떨어진 128bit를 사용하고 있으니 논란이 되는 것이다.

중국 서버를 경유하는 데이터

• 캐나다 토론토대학 연구팀인 시티즌랩(Citizen Lab)이 줌의 데이터가 중국 서버를 경유한다는 사실을 밝혀냈다. 줌의 창업자는 중국 이민자 출신인 에릭 위안이며 중국 내 소프트웨어 자회사 3곳에 별도로 700명의 연구진을 뒀다. 임종인 고려대 정보보호대학원 사이버국방학과 교수는 “줌은 간판만 실리콘밸리일 뿐, 서버·개발자가 모두 중국에 있는 사실상 중국 기업”이라며 “아무리 해커로부터 보안 시스템을 갖췄다고 한들 중국 정부가 정보 공개를 요구할 경우 어쩔 수 없다”고 설명했다.

악성 코드를 포함한 설치파일

• 최근 범죄자들이 줌 설치파일을 가장한 악성 프로그램을 내려받는 웹 사이트를 만든 뒤 웹 사이트에 들어온 사용자들이 악성 프로그램을 내려받도록 하고 있다. 해당 프로그램을 이용하여 사용자들의 컴퓨터 권한을 넘겨 받아 개인 정보를 빼내거나 웹캠 화면으로 사생활을 침해하고 비트코인 채굴기를 설치하도록 하고 있다. 줌 설치 파일을 받기 전에 공식 홈페이지인지 확인하여 다운 받아야 한다.

 

 

 

줌을 대체할 수 있는 서비스

• 구글의 행아웃
• 마이크로 소프트의 스카이프
• 시스코 웹엑스
• 애플의 페이스 타임