[보안이슈] 줌(zoom)의 보안 취약점 문제

코로나19로 인해 재택근무 및 온라인 수업이 활성화되면서 화상회의 솔루션, 줌(zoom)이 극부상 하기 시작했다. 하지만 하나둘씩 터지기 시작한 줌의 보안문제가 아직도 시끄럽다. 전세계가 외치고 있는 '줌(zoom) 아웃'의 배경에 어떤 보안 문제가 있는지 간략히 살펴본다.

 

 

 

취약한 암호화 알고리즘, 모드 사용 (AES-128-ECB)

시티즌랩은 줌이 AES-256 암호화를 사용한다고 밝혔으나 실제론 AES-128 암호화를 사용한 것으로 드러났다고 밝혔다. AES는 대칭키 암호화 방식으로 AES- 뒤의 숫자는 암호화할 때 사용하는 암호화 키의 길이를 뜻한다. 그리고 AES-128은 기준상 안전하지 않은 암호화 방식이다. 

 

실제로 줌(zoom) 공식 웹사이트를 찾아보면 AES-256 암호화 방식을 사용하고 있다고 나와있다.

 

 

 

또한, 키길이 뿐만 아니라 암호화 모드도 문제이다. ECB 모드를 사용하고 있는데 ECB 모드는 암호화를 할 때 데이터 패턴을 그대로 유지하면서 암호화를 하기 때문에 취약하다고 알려져있다. (같은 평문 블록에 대해 같은 암호화 블록이 나오기 때문에 암호화된 값을 보고 평문의 성질에 대해 어느 정도 유추가 가능함)

 

출처: 시티즌랩, Move Fast and Roll Your Own Crypto

 

 

암호화키의 중국 서버 경유 문제

그리고 위에서 언급한 암호화 키가 중국 서버를 경유한다는 지적이 이어졌다. A와 B의 데이터 통신이 오가기 전 (회의를 시작하기 전) 클라이어느인 A와 B는 둘다 줌(zoom) 서버에서 AES-128 암호화 키를 발급받게 되어있다. 그런데 이 키를 발급하는 서버가 중국에 있는 서버라는 것이다.

 

즉, A가 한국에 있고 B가 미국에 있어도 암호화 키는 중국 서버에서 받게 된다는 것인데 가뜩이나 암호화 방식도 안전하지 않은데 중국 서버에 있는 암호화 키가 유출이라도 된다면, 암호화는 말짱 도루묵인 것이다 (중국 기업은 중국 정부에 요구에 무조건 응하도록 되어있다).

 

다행히도 해당 문제는 해결이 됐다고 한다.

 

출처: 시티즌랩, Move Fast and Roll Your Own Crypto

 

 

줌(zoom)의 접속번호(ID) 브루트포싱 문제

줌 통화?에 참여하려면 9~11 자리의 접속번호가 필요한데 이 번호가 브루트포싱(무작위 대입 공격)이 가능하다. 그래서 일명 줌 폭격이라고 하는 무단침입 사건이 다수 발생했다.

 

줌을 설치하고 가입하려는데 바로 '회의 참가'가 있길래 눌러보니 다음과 같이 9자리의 숫자를 입력받고 있다. 물론 추가적으로 비밀번호를 요구하겠지만 어찌됐건 브루트포싱이 가능한 모양이다.

 

 

 

 

그 밖에도 크고 작은 보안 문제들이 끊이지 않고있다. 하루빨리 코로나19도 안정화되고 줌으로 인한 사고도 줄길 바랄 뿐이다.