Zoom은 심각한 보안 취약점으로 다시 한 번 비판을 받았습니다. 한 가지 예로 해커는 최근 Zoom을 통해 Windows 계정을 도용할 수 있었습니다. 이제는 대부분의 사람들이 안전하지 않은 암호 없이 화상 회의를 하는 것 같습니다.
화상 회의 도구 Zoom은 코로나 사태가 시작된 이후 엄청난 인기를 얻었습니다. 동시에 사이버 범죄자의 공격과 데이터 보호주의자의 비판이 증가했습니다. 이에 따라 Zoom의 CEO인 Eric Yuan은 수요일에 회사가 앞으로 몇 달 동안 보안 패치와 버그 수정에 집중할 것이라고 말했습니다. 앱의 새로운 기능 개발은 현재 보류 중입니다. 두 가지 현재 보안 격차가 이것이 얼마나 중요한지 보여줍니다.
확대/축소 간격으로 민감한 데이터에 액세스 가능
한 취약점에서 해커는 수요일에 격차가 해소될 때까지 민감한 데이터와 이메일에 액세스할 수 있는 기회를 가졌다고 합니다. IT 보안 전문가 Matthew Hickey는 이전에 Zoom 사용자의 사용자 이름과 Windows 암호를 가로채는 데 성공했다고 말했습니다. 그는 눈치채지 못한 채 자신이 관리하는 서버에 이를 전송할 수 있었다. 공격은 수행하기가 상당히 쉬웠다고 Hickey는 말했습니다.
IT 회사 Hacker House에서 일하는 Hickey는 이 공격을 30분 이내에 복제할 수 있었습니다. 회사 컴퓨터를 가지고 있는 사용자가 특히 위험했습니다.
대부분의 사람들은 Zoom을 사용하여 암호 없이 화상 회의를 합니다.
인기 있는 보안 연구원인 Brian Krebs는 자신의 블로그 Krebsonsecurity에서 또 다른 문제를 보고했습니다. 그에 따르면, 이른바 줌 폭탄(zoom bombing)은 주로 부적절한 비밀번호 보호 때문에 가능합니다. Zoom 폭격은 원치 않는 낯선 사람이 Zoom 회의에 들어가는 것을 말합니다.
자동화된 Zoom 회의 회의 찾기 ‘zWarDial’은 암호로 보호되지 않는 시간당 최대 100개의 회의를 검색합니다. 이 도구는 또한 Zoom에 기본 암호 접근 방식이 오작동하는지 조사하도록 요청했습니다. https://t.co/dXNq6KUYb3 pic.twitter.com/h0vB1Cp9Tb
— 브라이언크렙스(@briankrebs) 2020년 4월 2일
Krebs에 따르면 암호로 보호되지 않는 Zoom 화상 회의를 감지할 수 있는 Z-War-Dial 도구는 현재 시간당 약 100개의 그러한 회의를 찾는 것으로 알려져 있습니다. 이 도구는 비밀번호로 보호된 Zoom 화상 회의를 찾을 수 없습니다. 문제는 회의를 적절하게 확보하는 것을 잊어버린 부주의한 사용자에게 있습니다. 한편 줌에도 문제가 있는 것 같다. 도구는 실제로 자동 암호를 할당해야 하기 때문에 Krebs에 따르면 많은 경우 이것이 작동하지 않는 것 같습니다.
