노출된 취약점, 기업 금지, 비상 성명: Zoom은 지난주에 어떤 일을 겪었을까?
팬데믹으로 인해 큰 성과를 거두었던 줌은 최근 위기에 봉착했습니다.
잦은 개인정보 보호 및 보안 사고로 인해 Zoom은 전체 네트워크에 걸쳐 신뢰 위기를 촉발했으며 심지어 "불량 소프트웨어"라는 비난을 받기도 했습니다.
최근에는 Zoom이 SpaceX, NASA 및 기타 기관에서 공식적으로 금지되었습니다. 이를 위해 Zoom은 공식 웹사이트 블로그를 통해 일련의 사건에 대한 긴급 성명을 발표했습니다.
줌: 너무 어려워요. 4개월 만에 사용자 수가 20배나 늘었습니다.
분석 회사 SimilarWeb에 따르면, 3월에는 Zoom.us 다운로드 페이지의 일일 방문자 수가 535% 증가했습니다.
줌은 구체적인 사용자 수를 공개하지 않았지만, 자사 웨이보를 통해 작년 12월 일일 컨퍼런스 참가자 수가 1,000만 명에 불과했지만, 올해 3월에는 일일 컨퍼런스 참가자 수가 2억 명에 달했다고 밝혔습니다.
사용자 수가 증가함에 따라 Zoom은 모든 측면에서 압박을 받고 있으며, 기업들은 끊임없이 Zoom의 보안에 의문을 제기하고 있습니다.
Zoom에게는 힘든 주였습니다
3월 26일 이후, 인터넷에서는 Zoom의 보안에 의문을 제기하는 목소리가 나왔습니다. 단 1주일 만에 Zoom은 언론, 기업, 사용자로부터 압박을 받았습니다.
3월 26일(목): 사용자 데이터 비공개 공유
3월 26일, Vice의 Motherboard 채널은 iOS 사용자가 Zoom을 설치하고 활성화하면 프로그램이 Facebook의 Graph API를 통해 데이터를 비공개로 공유한다고 보도했습니다.
해당 정보에는 사용 시간, 기기 모델, 시간대, 통신 서비스 제공업체, 광고 유형이 포함됩니다.
일부 사용자에게 Facebook 계정이 없더라도 Zoom은 여전히 해당 사용자의 데이터를 공유합니다.
Zoom은 데이터를 판매하지 않으며 앞으로도 판매하지 않을 것이라고 분명히 밝혔지만, 이번 확인된 행동은 Zoom이 플랫폼에서 사용자 정보를 효과적으로 보호하는 데 실패했음을 보여줍니다.
Zoom은 3월 28일에 관련 코드를 제거하여 대응했습니다.
3월 28일(토) : 주요 기업들이 줌 사용을 금지했습니다.
3월 28일, SpaceX는 직원들에게 다음과 같은 공지문을 보냈습니다.
"많은 직원이 회의에 Zoom을 사용하고 있다는 사실을 알고 있으며, Zoom 대신 이메일, 문자 메시지, 전화 통화를 사용해 주시기를 부탁드립니다."
같은 날, NASA는 직원들의 Zoom 사용을 금지하는 공지문을 발표했다고 언론에 전했습니다.
FBI는 Zoom 사용에 대한 경고를 발표하며, 회의에 불법적으로 침입하는 사건이 여러 건 접수되었다고 밝혔고, 사용자들에게 웹사이트에서 공개 회의를 열거나 링크를 널리 공유하지 말 것을 당부했습니다.
3.30(월요일): 보안 취약점이 자주 발견됨
지난주, 보안 전문가 팀인 트렌트 로는 zWarDial이라는 프로그램을 개발했습니다. 이 프로그램은 9~11자리의 Zoom 회의 ID를 자동으로 추측하고 해당 회의에 대한 정보를 수집할 수 있습니다.
3월 30일자 뉴스 보도에 따르면, 새로운 취약점으로 인해 해커가 웹캠을 도청하고 마이크를 해킹하는 등 Zoom 사용자의 Mac을 장악할 수 있다고 합니다. 그 결과, 회의에서는 음란물, 폭력적, 인종 차별적 내용이 등장하는 장면이 등장하게 되었습니다.
보안 전문가 브라이언 크렙스는 4월 2일 보고서에서 연구자들이 개발한 "워 다이얼링"이라는 자동화 도구를 사용하면 시간당 약 2,400개의 줌 회의 정보를 찾아낼 수 있다고 밝혔습니다.
여기에는 각 회의에 참여하는 데 필요한 링크, 회의 날짜와 시간, 회의 주최자의 이름, 회의 주제에 대해 주최자가 제공한 모든 정보가 포함됩니다.
3월 31일 화요일: 종단간 암호화에 대한 허위 광고
많은 네티즌을 불만스럽게 만든 또 다른 점은 Zoom이 회의 영상에 종단간 암호화를 구현했다고 거짓말을 했다는 것입니다. 이러한 개인 인터넷 통신 방식은 제3자가 통신 내용을 얻는 것을 효과적으로 보호할 수 있습니다.
3월 31일, The Intercept는 Zoom이 일부 문자 메시지와 일부 오디오 모드에 대해서만 종단 간 암호화를 활성화했지만, 많은 영상 및 전화 통신에는 이 암호화 방식을 사용하지 않았다고 보도했습니다.
보고서는 또한 Zoom의 화상 회의 서비스를 통해 사용자의 이메일 주소, 사진 및 기타 정보가 대량으로 유출되고 있으며, 낯선 사람이 유출된 정보를 통해 사용자에게 전화를 걸 수 있다고 밝혔습니다.
Zoom은 나중에 블로그 게시물을 통해 상황을 인정하고, 플랫폼이 아직 모든 곳에서 종단 간 암호화를 구현하지 못했다고 말하며 이전에 부정확한 설명을 한 것에 대해 사과했습니다.
4월 1일(수) : Zoom에서 최선을 다해 해결하겠다고 발표
Zoom은 일련의 보안 및 개인정보 보호 사고에 대응하기 위해 최선을 다하고 있으며 일부 문제를 해결했지만, 해결 속도가 발견 빈도를 따라가지 못하는 것은 분명합니다.
Zoom은 4월 1일 블로그 게시물을 통해 최근 발생한 사건에 대해 사과하고 모든 새로운 기능 개발을 중단하고 모든 엔지니어링 리소스를 최근 몇 주 동안 발생한 보안 문제에 투입할 것이라고 발표했습니다.
Zoom은 모든 리소스를 투입하는 것 외에도 모든 사람이 취약점을 발견하도록 장려하기 위해 "버그 현상금" 프로그램을 시작할 것이라고 밝혔습니다. 또한, 사용자가 프로그램을 사용하는 것이 안전한지 확인하기 위해 "제3자 전문가와 함께 하는 종합적인 검토"를 실시할 예정입니다.
이번 전염병으로 인해 모든 계층이 전례 없는 심각한 시련에 직면하게 되었습니다.
전염병으로 인해 급격히 위축된 다른 산업과 비교했을 때, 줌은 기업 서비스 분야에서 핵심적인 위치를 차지하고 있어 빛을 발했습니다.
작년 12월부터 올해 1월 초까지 줌의 주가는 60~70달러에 머물렀고, 3월 이후 최고치는 160달러에 달했습니다.
일련의 제품 안전 문제가 발생한 후 주가는 최근 120달러로 떨어졌습니다.
시장의 기대는 Zoom의 지배적 위치에 유리하지 않을 것이며, 사용자들은 제품이 사용하기 쉽다는 이유만으로 보안 추구를 포기하지 않을 것으로 보입니다.
그리고 보안이 기업 서비스의 필수 요소임이 다시 한번 입증되었습니다.