안녕하세요
COViD-19로 인해 비대면(언택트) 화상회의 솔루션 Zoom 사용이 상용화되고 있습니다.
하지만 최근 몇가지 중대한 보안취약점이 발생하였으며 지속적으로 조치를 하고 있습니다.
이제까지 발견된 Zoom의 보안취약점을 알아보고 대응방안에 대해 정리해 보았습니다.
[Zoom의 보안취약점]
| 보안취약구분 | 보안취약요소 | 설명 |
| 접근보안 취약 | - 인증/권한 취약 | - 접속 시 인가된 사용자 검증 미수행 |
| - Brute Force 공격 | - Ex) Https://us01.zoom.us/1111111111 접속URL중 1111111111 회의번호 Brute Force공격으로 무작위 방 접속 |
|
| - 줌 폭격 | - 무작위 접속 및 무작위 컨텐츠 공유 | |
| 암호화 취약 | - AES128-ECB | - Electric Code Book mode - ECB는 Initial Vector가 없어 암복호화 패턴 유추가 가능 - CBC(Cipher Block Chaining mode)대비 취약한 암호화 |
| - 전송 암호화 방식 | - Transport Encryption - 종단간(E2E)암호화가 아닌 화상통화 등 전송상태에서만의 암호화 |
|
| 개인정보관리 취약 | - 비동의 개인정보 전송 |
- IOS내 Face SDK사용하는 App은 FaceBook으로 개인정보 전송 - linkedIn 프로필을 Zoom 프로필에 연결 |
| - 비공식 경로 해킹 | - 비공식 경로를 통한 Zoom App. 다운로드로 인해 개인정보탈취 악성코드/랜섬웨어 등의 침투 |
- 키관리 서버가 중국에 위치하고 있어 중국정부에 의한 모니터링 등의 보안 우려가 존재하나,
실질적으로 중국에 키관리 서버가 위치한다고 하여 보안위협사항이라고 단정짓기는 한계가 존재함.
[Zoom의 보안취약대응방안]
| 보안대응구분 | 보안대응방안 | 설명 |
| 접근 보안 |
- 비밀번호 인증 | - 회의실 접속 시 비밀번호 인증 |
| - 회의번호 랜덤화 | - 접속 회의번호 랜덤화 | |
| - 참가자 관리 | - 회의실 관리자에 의한 컨텐츠 공유 통제 - 줌 폭격 예방 |
|
| 암호화 보안 |
- AES-256 도입 | - AES-128의 128Bit키 대비 보안강화된 256Bit 키 기반 AES-256도입 |
| - CBC방식 도입 | - CBC(Cipher Block Chaining mode) - IV(Initial Vector)를 통한 암호화 유추 방지 |
|
| - E2E 암호화 도입 | - 종단 간 전체구간 암호화 방식 도입 | |
| 개인정보관리 보안 | - 취약 코드 삭제 | - 비동의 개인정보 전송 취약코드 삭제 - FaceBook SDK 삭제 |
| - 공식경로 사용 | - 공식경로를 통한 Zoom App. 다운로드 및 사용 | |
| 관리 보안 |
- 버그바운티 | - SW의 취약점 신고 보상제 도입으로 인한 보안강화 |
| - 최신 보안 패치 | - Zoom에서 제공하는 최신 보안패치 유지 |
[Zoom 암호화 취약점의 추가적 이해 - ECB암호화]
Zoom 암호화 핵심 취약점인 블록암호화 ECB방식의 개념은
평문 메시지를 여러 불록으로 나누어 각각 암호화 하는 블록암호화 기법입니다.
1. 취약점
취약점은 아래와 같은 구성 때문에 발생합니다.
평문을 여러 블록으로 나누어 동일한 암호화 Key를 통해 암호화를 하게 되면
공격자가 암호화문를 통해 암호화 패턴 파악이 가능하게 되고 Key를 유추할 수 있습니다.
2. 장점
해당 암호화 기법은 실질적으로 하나의 블록의 암호화가 실패해도
각 블록의 암호화가 독립적이므로 오류 영향을 받지 않는다는 장점이 존재합니다.
'정보보안' 카테고리의 다른 글
| 누구도 믿지말라. 제로트러스트(Zero Trust) (0) | 2020.03.07 |
|---|
