Home > 전체기사
줌, 전성기 누릴 때 사용자 대거 노출시키는 취약점 있었다
  |  입력 : 2020-04-23 17:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
줌 사용하는 조직 내 모든 사용자 파악할 수 있게 해주는 취약점, 서버에서 발견돼
지금 버전은 패치 돼...직원 정보 외부로 새나갔을 가능성 상정해 적절한 조치 취해야


[보안뉴스 문가용 기자] 시스코의 탈로스(Talos) 팀이 줌(Zoom) 영상 회의 플랫폼에서 취약점을 발견했다. 이 취약점을 누군가 익스플로잇 하는 데 성공했다면 특정 조직 내 모든 줌 사용자를 파악하는 게 가능하다고 한다.

[이미지 = iclickart]


코로나 사태가 지난 몇 개월 동안 지속되면서 줌은 재택 근무 체제의 희망처럼 떠올랐다. 많은 조직들이 멀리 흩어진 구성원들을 관리하고 협업을 모색하는 데에 있어 줌을 선택했다. 하지만 급작스럽게 사용자가 늘어나면서 여러 가지 보안 사고가 터지고 프라이버시 논란이 불거지기 시작했다. 그러면서 줌의 짧은 전성기는 빠르게 지나갔다.

그런 와중에 탈로스 팀이 새로운 취약점을 발견했다. 조직 내 줌 사용자 전부를 알아낼 수 있게 해주는 취약점으로, 줌이 한창 전성기를 구가하고 있었을 때 이미 이 취약점이 존재하고 있었고, 따라서 이미 그 기간 동안 줌을 사용하고 있던 조직들의 내부 인원 정보가 새나갔을 가능성이 있다는 경고도 함께 따라 붙었다.

탈로스 팀에 따르면 해당 취약점은 조직 내 특정 사용자를 빠르게 검색해 찾아낼 수 있게 해주는 줌의 기능과 관련이 있다고 한다. 탈로스의 발표문을 상세히 보려면 탈로스 블로그(https://blog.talosintelligence.com/2020/04/zoom-user-enumeration.html)를 방문해야 한다.

블로그 포스팅에 의하면 “줌의 채팅 기능은 XMPP 표준에 근거하고 있다”고 한다. 클라이언트가 ‘그룹 요청’ XMPP 요청문을 보낼 때 특정 그룹 이름을 지정할 수 있다는 뜻이다. 줌의 경우 이 그룹 이름은 등록 이메일 도메인이 된다. 또한 서버는 해당 요청을 보낸 사람이 등록 이메일 도메인에 포함되어 있는지 확인을 따로 하지 않는다. 그렇기 때문에 아무 사용자나 임의의 그룹 이름을 요청해 임의 등록 도메인을 확보할 수 있게 되는 것이다.

공격자로서 이러한 익스플로잇 행위를 성공시키려면 정상적인 줌 사용자의 크리덴셜을 가지고 로그인을 해야 한다. 그런 후에는 공격 표적이 될 만한 등록 이메일 도메인을 정하고, 특수하게 조작한 XMPP 메시지를 전송해 사용자 목록을 받으면 끝이다. 줌 서버는 해당 도메인 아래 등록된 모든 사용자의 디렉토리를 보내준다.

탈로스는 “이 때 자동으로 생성된 XMPP 사용자 ID와 사용자의 실제 이름 등의 세부 사항도 함께 제공된다”고 설명한다. “그렇다면 이 세부 사항을 가지고 추가 정보를 캐낼 수도 있습니다. 즉 공격자가 더 깊게 파고들면 보다 상세한 개인정보까지도 가져갈 수 있다는 뜻입니다.”

이 취약점이 이미 익스플로잇 되었을 가능성은 충분하다고 탈로스 팀은 보고 있다. 특히 특정 조직을 표적으로 삼고 구성원에 대한 정보를 수집한 공격자라면 이 취약점을 익스플로잇 하는 건 아주 간단한 일이라고 한다. “그 조직에서 줌을 사용해 회의를 한 번이라도 한 사용자는 다 노출됩니다.”

코로나 사태로 반 강제적으로 집으로 돌려보내지고 이번에 처음 줌이란 걸 사용해본 사용자들이라면 이 공격에 노출되어 있을 가능성이 높다고 한다. 특히 ‘줌 사용법’이라는 테마로 소셜 엔지니어링 공격을 정교하게 기획할 경우, 재택 근무라는 다소 낯선 환경에 처한 사람들을 노릴 수 있게 된다.

탈로스는 보고서를 통해 “텔레컨퍼런싱이라는 것이 갑자기 사업 행위에 있어 대단히 중요한 요소로 자리 잡으며, 공격자들이 노릴 만한 것과 공격 경로가 많아졌다”며 “이번에 발견된 줌 컨퍼런스를 통해 1단계 공격을 실시한 공격자라면 이후 추가 공격을 이어갈 것”이라고 경고했다. 그러므로 조직들은 조직 구성원 상당수가 외부에 노출되었음을 상정하고 대비해야 할 것이라고 권고하기도 했다.

한편 줌 측은 이 취약점을 패치로 해결한 것으로 보인다. 취약점이 서버에 존재하고 있기에 사용자나 관리자는 업데이트를 진행할 수 없다.

3줄 요약
1. 줌의 서버에서 간단한 요청으로 모든 사용자 노출시키는 취약점 발견됨.
2. 재택 근무 상황 노리는 소셜 엔지니어링 공격 통해 특정 조직 구성원 파악 가능.
3. 누군가 익스플로잇 했다면, 개인정보 활용한 추가 공격 이어질 가능성 높음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)