-
최근 각광받고 있는 화상 회의 솔루션, 줌(Zoom)에 대한 이것저것..Security 2020. 4. 7. 11:33반응형
최근 들어, 코로나19(신종 코로나바이러스감염증)로 인해 많은 기업들이 자택 근무에 들어가고 학교들도 온라인 수업을 준비하고 있는 상황에서 많은 기업들이 화상 회의 솔루션을 이용하여 자택 근무 시 원격 회의 솔루션으로 이용하고 온라인 수업의 수업 도구로 이용하려는 움직임을 보이고 있다.
대표적인 화상 회의 솔루션으로 얘기되는 것이 해외에서는 MS의 팀즈(Teams), 스카이프와 구글의 행아웃, 시스코의 웹엑스(WebEx), 그리고 줌(Zoom)이고 국내에서는 알서포트가 제공하는 화상 회의 솔루션일 것이다. 그리고 페이스북도 데스크탑 메신저를 강화하여 화상 채팅을 원활하게 쓸 수 있게 업데이트를 했고 카카오톡 역시 라이브쳇을 이용하여 화상 채팅을 쓸 수 있게 함으로 나름대로의 화상 회의 시스템을 구축하고 있는 상황이다.
갑자기 인기를 끌기 시작한 줌...
여기서 최근에 국내외적으로 주목받고 있는 화상 회의 솔루션이 다름아닌 줌이다. 최근에 급성장하기 시작했고 국내외에서 수많은 기업들이 화상 회의 솔루션으로 도입해서 쓰고 있으며 학교 등에서도 온라인 수업 도구로 이용하려고 도입을 준비중이라고 한다.
인기있는, 그리고 많이 사용하는 솔루션, 서비스에는 늘 말이 많다. 100% 완벽한 솔루션이라는 것은 존재하지 않으니까 말이다. 많이 사용하는 만큼 내재되어 있던 문제점들이 많이 노출되기 시작했다. 해커들의 최우선 공격 대상이 되기도 하고 말이다. MS 윈도에 왜 많은 공격이 진행되는지, 지속적으로 버그 패치, 보안 패치가 진행되고 있는지 생각을 해보면 줌의 이런 상황도 충분히 예측이 가능한 부분이다.
최근들어 줌 관련 여러가지 부정적인 뉴스들이 많이 올라온다. 분명 줌은 사용성 측면으로만 봤을 때에는 MS의 팀즈나 국내의 알서포트 솔루션보다 쓰기가 편한 것이 사실이다. 팀즈는 슬랙 등과 같은 협업 툴에 화상 채팅 기능을 추가한 방식이고 알서포트 솔루션의 경우에는 원격 지원 솔루션 기반에 화상 채팅 기능을 넣은 상황이라 분명 이들 솔루션이 괜찮기는 하지만 처음부터 화상 회의를 전문적으로 제공하는 줌에 비하면 상대적으로 아쉬운 부분이 있는 것이 사실이다.
그렇지만 줌에 관련된 최근의 뉴스들을 보면 단순히 사용성, 편의성만 갖고 서비스를 이용하는 것에 부담을 느낄 수 있는 상황이기는 하다. 보안 관련 이슈들이 너무 많이 나오고 있어서 말이다. 기업 입장에서는 회사의 기밀이 유출될 수 있고 학습 도구로 쓰기에는 수업 내용의 무단 유출이 걱정되며 개인의 경우에는 사생활 침해가 걱정이 될 수 있는 상황이라는 것이다.
이미 줌 관련 많은 자료들이 있고 아는 분이 책도 쓴 상황에서 줌이 어떤 솔루션인지를 상세하기 적는 것은 별 의미는 없겠지만 그냥 개인적인 기록의 차원에서 정리를 해둘까 한다. 그러면서 최근 문제가 되는 줌의 보안 이슈를 살펴보고 이 글을 쓰고 있는 시점에서 패치가 된 부분도 함께 언급을 할까 한다.
줌의 탄생은?
일단 줌이 어떻게 탄생했는지부터 가볍게 살펴보자. 줌의 기반을 알면 왜 줌이 다른 화상 회의 솔루션들에 비해서 사용성이나 편의성이 좋은지 알 수 있을테니까 말이다. 줌의 창업자는 에릭 위안은 이름에서 보면 알 수 있듯 중국인으로 중국에서 대학까지 나온 사람이었다. 빌 게이츠의 연설을 듣고 감명을 받아서 대학 졸업 후 미국으로 와서 처음으로 들어간 회사가 웹엑스(WebEx)라고 한다. 여기서 온라인 화상 회의 솔루션을 처음으로 접하게 된 것으로 알고 있다.
그리고 웹엑스는 시스코(Cisco)에 인수가 되었으며 에릭 위안은 웹엑스에서 나와서 줌을 만들었다고 알려지고 있다. 아마 웹엑스의 개발 내용을 알고 있는 상태에서 웹액스의 장점 및 단점을 누구보다도 잘 파악하고 있지 않았을까 하는 생각이 든다. 그래서 줌은 적어도 웹엑스보다는 더 편하게 쓸 수 있는 화상 회의 솔루션으로 만들지 않았을까 하는 생각이 든다.
또한 시스코는 웹엑스를 인수한 이후에도 화상 회의 솔루션에 크게 집중을 하지 않고 비싸게 팔고 있었기 때문에, 그리고 그 당시에 구글 행아웃도 있었지만 사용성이 그렇게 좋지 않았기 때문에 시장에 진입해서 성공할 가능성을 충분히 생각하고 접근하지 않았을까 하는 생각도 함께 들었다.
에릭 위안은 줌을 만들면서 화상 회의 시스템의 본질적인 부분에 집중한다. 다른 솔루션에 하나의 기능으로서의 화상 회의 기능이 아닌 메인이 화상 회의 기능이며 다른 기능이 부가적인 것으로 적용할 수 있게 줌을 만든다. 그렇기 때문에 줌은 모바일이나 PC 등에서도 손쉽게 접근해서 사용할 수 있으며 100명 이상의 사용자들과 동시에 접속해서 사용해도 편하고 괜찮은 화상 회의 솔루션이 된 것이다.
이런 이유로 줌이 다른 화상 회의 솔루션들보다 더 빨리 성장하고 자리를 잡을 수 있지 않았을까 하는 생각을 해본다. 최근 2~3월 사이에 무려 300%나 성장했다고 하니 말 다한거 아닌가 싶다. 물론 이런 급성장으로 인해 내재되어 있던 많은 문제들이 노출이 되었고 빠른 성장에 따른 그 반대급부가 생성되면서 부정적인 여론도 함께 형성되고 있는 상황이다. 그렇다면 줌에 대한 보안적인 이슈들을 좀 살펴보자.
줌에 제기된 이슈들은?
줌 폭탄테러
가장 많이 알려진 보안 이슈로 줌부밍(Zoom Booming)이라 불리는 문제점이다. FBI에서 제기한 문제점인데 줌의 빠르고 쉬운 접근성을 악용한 보안 이슈다. 줌은 10자리의 숫자로 구성된 미팅룸 ID를 통해 화상 회의 실의 입장을 허용한다. 물론 미팅룸 ID는 비공개로 미팅룸을 만든 사용자만 알 수 있지만 해당 미팅룸 ID를 알고 있으면 누구든지 다 입장이 가능하다.
그렇기 때문에 10자리의 미팅룸 ID를 랜덤하게 생성하여 우연이든 뭐든 미팅룸 개설자가 의도하지 않는 다른 사람이 미팅룸에 들어갈 수 있다. 그래서 해커가 화상 미팅 중인 미팅룸에 무단으로 들어가서 엉뚱한 영상을 틀어놓는다던지(대표적으로 포르노 영화) 하는 식으로 해당 미팅룸에서 진행되는 회의를 망쳐버릴 수 있다. 기업의 온라인 화상 회의 뿐만이 아니라 학교에서의 온라인 강의 중에서도 이런 상황이 발생할 수 있다. 접근하기 편한 인터페이스를 악용하는 대표적인 케이스다.
암호화 키의 중국 유출
다음으로는 암호화 키를 중국으로 전송하는 이슈다. 중국과 관련된 부분은 무척이나 민감하게 다가오는데 다름아닌 암호화 키를 중국으로 전송한다니 정말로 소름이 끼치는 상황이다. 줌의 경우 창업자가 중국인이며 미국의 실리콘벨리 기업으로 알려지기는 했지만 중국에 대략 700여명의 개발자가 상주하여 개발을 진행하는 기업이기도 하다. 그렇기 때문에 이런 이슈가 더 민감하게 다가온다.
내용을 보자면 줌에서 화상 회의 시 사용되는 암호화 키 중 일부가 베이징으로 전송된다는 내용인데 줌은 최근 폭증하는 화상 회의 요청으로 인한 키 분배 서버의 부담을 줄이기 위해 보조 데이터센터를 이용하고 있으며 그 보조 데이터센터 중 일부가 중국의 베이징에 있기 때문에 베이징을 거쳐간다는 것이다. 물론 줌은 실수로 중국을 거쳐간 것이라고 해명을 했지만 분명 꺼림직한 것은 어쩔 수 없는 상황이다.
종단간 암호화 미지원
그리고 앞서 언급한 내용 못잖게 심각한 보안 이슈일 수 있는데 종단간 암호화 기능이 제공되지 않는것도 보안 이슈로 꼽히고 있다. 줌은 소개에서는 E2E 암호화(End to End Encryption)를 제공한다고 밝혔지만 이는 사실이 아닌 것으로 밝혀졌다고 한다. 물론 암호화를 사용하여 정보들을 보호하는 것처럼 보이기는 하다(그렇잖으면 앞서 언급한 암호화 키의 중국 서버 공유 문제가 왜 나왔겠는가?).
그런데 암호화 대상은 아마도 회의실 정보나 그 안에 참여한 사람들의 정보 수준이고 실제 서로 송수신되는 내용은 전혀 암호화를 하지 않는 것으로 보인다. 그리고 암호화 알고리즘 역시 AES 256이 아닌 AES 128로 알려지고 있다.
아마도 영상 정보의 암호화 전송은 퍼포먼스에 영향을 끼치기 때문에 폭증하는 트래픽을 감당할 수 없어서 종단간 암호화(서로 송수신하는 영상 내용을 암호화 하는 것) 기능을 없앤 것으로 생각이 든다. 하지만 해커가 언제든지 트래픽을 갈취해서 본다면 회의의 내용을 얼마든지 도청할 수 있다는 문제가 있기 때문에 무척이나 심각한 상황이라고 보인다.
제로데이 취약점
최근에 줌에 제로데이 취약점 2개가 발견되었다는 뉴스를 보게 되었다(물론 위에서 언급한 내용들도 다 뉴스를 통해서 알게 되었지만 말이다). 제로데이 취약점은 개발사에서 취약점에 대한 보안 패치가 진행되기 전까지는 어쩔 수 없이 감수하고 가야 하는 문제점들을 의미한다. 적어도 아래의 2개의 취약점은 이 글을 쓰는 현재까지는 패치가 진행되지 않았다.
일단 첫 번째 제로데이 취약점으로 인스톨러를 통해 권한이 없는 공격자가 Root(관리자) 권한을 갖게 되는 문제점이다.
인스톨러 안의 특권을 이용한 인증 실행 API(AuthorizationExecuteWithPrivileges API)가 사용자의 허가 없이 클라이언트의 설치를 진행하고 그 클라이언트 바이너리(실행파일)를 Root가 확인하지 않기 때문에 로컬에 접근한 공격자나 멀웨어가 바이너리를 바꾸고 권한을 상승시켜서 Root 권한으로 공격자가 바꾼 바이너리를 통해 사용자의 PC를 사용할 수 있게 하는 문제점이다. 이런 상황이면 공격자는 사용자의 PC에서 뭔 짓을 해도 무방한 절대적인 힘을 갖게 된다.
두 번째로는 공격자가 줌 회의 세션을 따로 기록 및 저장할 수 있게 하며 마이크와 카메라를 통해 사생활을 염탐할 수 있게 되는 문제점이다. 참고로 이 문제점은 macOS를 사용하는 맥 계열 PC에서 일어나는 문제점이다.
줌은 기본적으로 화상 회의 솔루션이라 카메라와 마이크에 대한 접근이 가능하며 macOS에서 마이크와 카메라에 접근하기 위해서는 사용자의 허가가 필요하지만 서드파티 라이브러리를 통해 코드에 주입하는 예외의 경우에는 허가없이 마이크와 카메라에 접근이 가능하기 때문에 줌의 프로세스나 주소 공간에 악성 서드파티(공격자가 만든) 라이브러리를 로딩함으로 공격자가 줌의 마이크와 카메라 접근 권한을 가로채서 제어할 수 있게 된다. 당연히 사생활 침해 문제가 생기게 된다.일단 위에서 언급한 문제점들은 아직 해결이 안된 줌의 보안상 취약점이라고 보면 될 듯 싶다. 물론 이것들보다 더 많은 문제점들이 내재되어 있을 것으로 보인다. 아래의 내용들은 언론에 줌의 문제점이라고 알려진 내용들이지만 줌이 보안 패치를 진행한 것들인데 정리를 해봤다.
알려진 문제점이지만 해결된 것들
줌 윈도우 클라이언트에서 범용 명명 규칙(Universal Naming Convention, UNC) 경로 주입 취약점이 발견됐다. 공격자들이 이 취약점을 익스플로잇 하면 윈도우 크리덴셜(자격 증명, 로그인 정보)을 취득할 수 있게 된다. UNC Path Injection 취약점이라고 부르는 것 같은데 내용이 상당히 전문적인지라 [여기]에 나온 내용을 참고하길 바란다. 참고로 이 이슈는 해결된 내용이라고 한다.
또 다른 보안 이슈로 줌 iOS 버전이 프로그램에 포함된 페이스북 로그인 관련 소프트웨어 개발 키트(SDK)를 통해 페이스북에 회원정보를 보내는 문제점이 있었다. 페이스북 계정을 가지고 있지 않은 줌 회원의 정보도 페이스북에 넘어갔다고 한다. 이 이슈 역시 줌이 페이스북에 데이터를 전송한 코드를 삭제함으로 패치가 되었다고 한다.
다른 보인 이슈로는 줌의 ‘회사 디렉토리(Company Directory)’ 기능을 통해 사용자의 이메일 주소와 사진이 유출되는 문제점이 나온 것이다. 참고로 회사 디렉토리란, 줌이 같은 도메인을 사용하는 이메일 주소를 가진 사용자들을 자동으로 연락처에 추가하는 기능인데 Gmail이나 Outlook 등과 같이 잘 알려진 메일 서비스를 이용하는 경우에는 줌이 공용 서비스 이메일 도메인으로 인지하지만 잘 안알려진 이메일 주소(줌이 인지를 못하는)로 가입을 하는 경우에는 그것이 회사의 이메일 서비스가 아닌 일반 메일 서비스용 도메인임에도 불구하고 회사 이메일 도메인으로 인식하는 문제가 생겨서 그 메일 도메인을 사용하는 전혀 일면식 없는 사용자들도 회사 디렉토리에 묶여서 한꺼번에 관리되며 그들의 정보를 들여다 볼 수 있는 문제점이 생긴 것이다. 이 문제점도 해결이 되었다고는 한데 약간 미심적은 상황이기는 하다.
각광받기 시작하면서 또 배척당하기 시작한 줌
위에 언급한 내용들 말고도 더 많은 보안 이슈들이 있었고 해결된 이슈들도 꽤 있지만 앞서 언급한 내용들처럼 아직 해결이 안된 문제점들도 있고 구조적으로 해결이 어려운 보안 이슈들도 존재하는 상황이다.
이런 상황으로 인해 가디언은 줌은 멀웨어라고 언급하기도 했고 엘론 머스크의 스페이스X는 줌을 사용하지 않기로 했다고 한다. NASA 역시 줌을 사용하지 않겠다고 선언하기도 했고 뉴욕의 학교들은 앞서 언급한 문제점(거기에 프라이버시 문제까지)으로 인해 줌을 거부하고 있다고 한다.
여기에 재미난 것은 MS의 팀즈를 미는(?) 몇몇 MS 관계자들(이라고 말하고 MVP들이라고 얘기한다)이 이런 줌의 취약점을 상기시키며 줌을 이용하는 것은 IT 관리자의 직무유기라는 표현까지 쓰면서 줌을 공격하고 있는 중이다. 물론 줌을 옹호하는 편에서는 너무 확대해서 얘기한다고 방어하고 있는 중이기도 하고 말이다.
사용하기는 너무나도 편리한 줌, 하지만...
앞서 언급했던 것처럼 줌은 확실히 사용하기 편하다. 개인적으로 디지탈히어로즈라는 IT 팟캐스트에 참여해서 매주 녹음을 하고 있는데 여기에서는 정말로 다양한 화상 채팅 솔루션들을 이용하여 서로 얼굴을 보면서 녹음을 진행했다. 오프라인에서 만나지 않고 온라인상으로 만나면서 팟캐스트 녹음을 하기 때문에 다양한 화상 채팅 솔루션들을 테스트를 해봤다.
구글 행아웃을 이용한 유튜브 라이브 채팅, 페이스북 메신저의 화상 채팅, 구글 듀오를 이용한 화상 채팅, MS 스카이프를 통한 화상 채팅, 그리고 최근에는 줌을 이용한 화상 채팅으로 진행을 하고 있다. 한번 녹음을 하게 되면 1시간반에서 2시간정도를 화상 채팅을 하면서 녹음을 하게 되니까 그만큼 많은 시간을 이들 솔루션에 대해서 성능 테스트를 해볼 수 있는 경험을 갖게 된 것이다.
현재는 줌에 정착을 하는 단계이고 그 전까지는 스카이프를 썼고 개인적으로는 MS 팀즈도 이용해봤는데 스카이프와 팀즈의 경우 다중 화상 채팅이 가능했지만 한 화면에 보일 수 있는 사용자의 수는 4명 뿐이었고 나머지는 아이콘으로 보이며 해당 사용자가 얘기를 할 경우 사용자를 인지해서 보여지는 방식(그렇게 되면 말하지 않는 화면에 보여진 사용자 중 1명이 아이콘화 되서 보이는)이기 때문에 5명 이상이 모여서 화상 채팅을 하는 경우에 애로사항이 많았다. 하지만 줌은 갤러리 모드를 통해서 그런 부분에 있어서 편리함을 보여줬다.
이런 부분, 즉 사용자가 편하게 사용할 수 있는 부분으로 인해 앞서 언급한 다양한 보안 이슈가 존재함에도 불구하고 줌을 사용하는 사람들이 아직도 여전히 늘고 있는 것이 아닐까 하는 생각이 든다. 기업이나 학교 입장에서는 보안이 중요한 요소이기는 하지만 그 전에 먼저 사용하기 편해야 한다는 편의성을 먼저 생각하는 경향이 있기 때문에(물론 일부겠지만) 줌이 MS 팀즈나 시스코의 웹엑스, 구글 행아웃보다 더 매리트를 갖게 되는 것이 아닐까 하는 생각이 들었다.
그렇다면 MS 팀즈는?
앞서 MS 팀즈를 미는 사람들(?)에 대해서 잠깐 언급을 하기는 했지만 팀즈에서 제공하는 화상 회의 기능은 기업 협업 도구로서의 팀즈의 기능 중 하나로 제공되는 기능이다. 팀즈의 장점 중 하나는 Microsoft 365 서비스(M365), 혹은 Office 365 서비스(O365)를 이용한다면 무료로 이용할 수 있다는 점이며 이로 인해 MS 오피스 솔루션과 함께 연동해서 쓸 수 있다는 점, 그리고 협업 툴로서의 팀즈의 기능은 적어도 줌보다는 비교 우위에 있다는 점이라고 할 수 있다.
그리고 적어도 보안적인 부분은 줌보다는 MS가 월등히 앞서 있는 것이 사실이기도 하다. 요즘 기업들 중 상당수가, 또 학교들 중 상당수가 MS에서 제공하는 오피스 라이선스를 이용하여 MS 오피스를 사용하는 경우가 많은데 이럴경우 라이선스 종류에 따라서 다르기는 하겠지만 그래도 팀즈를 무료로 사용할 수 있는 경우가 많기 때문에 M365나 O365를 사용하고 있다면 따로 돈을 주고 줌 서비스를 이용할 필요가 없다고 앞서 MS 팀즈를 미는 사람들이 주장하고 있기도 하다.
다만 앞서 잠깐 언급하기도 했지만 MS 스카이프를 써봤었고 팀즈도 써봤으며 팀즈의 메신저 기능이나 화상 채팅 기능이 스카이프 비즈니스용을 기반으로 제공된다고 봤을 때 스카이프가 좋은 솔루션이기는 하지만 다중 사용자를 대상으로는 아쉬운 부분이 분명히 있다는 점과 MS쪽에서는 화상 채팅용 해드셋에 자사 인증(즉, MS 인증)을 받은 헤드셋을 이용하라고 권장(이라고 하지만 거의 반강압의 성격이 짙은)하는 부분 등 여러가지로 부담을 주는 부분이 있기 때문에 줌을 쓰다가 팀즈로 넘어가기 껄끄러운 상황이 연출되곤 한다.
이런 이유 때문에 줌이 앞서 언급한 것처럼 보안상 이슈들이 계속 터짐에도 불구하고 여전히 많은 기업들이, 또 학교들이, 개인들이 지속적으로 사용하는 것이 아닐까 싶다. 현 시점에서 No.1 솔루션이라고 할 수는 없어도 성장 속도만 따진다면 No.1이라고 해도 과언이 아닐 상황이기 때문에 말이다.
물론 MS의 팀즈가 지금보다 더 편해지거나 줌이 위에서 언급한 보안 이슈들을 해결하지 못한다면 결국에는 줌도 현재의 위치에서 떨어질 날이 올 것이다. 앞서 MS 팀즈를 미는 사람들에 대해서 잠깐 언급을 했지만 지금도 이렇게 공격이 거세게 들어오는데 향후 줌이 지금보다 더 커지게 되면(지금도 계속 크고 있지만) 지금보다 더 심한 공격이 들어올텐데 방어를 제대로 하지 못한다면 당연히 시장에서 퇴출 수순을 밟지 않겠는가 하는 생각이 든다.
이렇게 간단히(?) 줌에 대해서 정리를 마무리하도록 하겠다.
반응형댓글