[2020.04.01] 이슈: ZOOM 개인정보 보호 및 취약한 보안 관련 논쟁

최근 이슈가 되고 있는 Zoom의 개인정보 보호 및 취약한 보안 관련 논쟁에 대해 정리한 내용입니다. 

1. 개인정보 보호

1)  개인정보 트래킹

지난 3/26일, 마더보더지는 모바일 iOS Zoom 사용자의 정보가 페이스북에 제공된다고 보도(페이스북 계정이 없는 사용자의 정보까지 페이스북으로 전송되 논란의 소지가 큼)

트래킹(Tracking) 했던 정보 : 사용자의 디바이스 정보, 시간대(타임존), 현재 위치한 도시, 사용 통신사업자 이름 등이며 

 이 정보는 사용자 맞춤형 광고에 사용 

-> Zoom 측 :  현재 트래킹 소프웨어(Facebook SDK) 를 제거하는 중이라고 발표 

2) 학생 개인정보 보호

많은 학교에서 Zoom을 온라인 교육에 사용하는데, 학생들의 개인 정보를 어떻게 사용하느지에 대한 유려 표명.

- 일부 지역에서는 원거리 교육 플랫폼으로 Zoom 사용을 금지 함

-> Zoom 측 : 교육용 개인정보 보호/학생 개인정보 보호 관련 연방 주 법에 입각하여 정보를 수집한다고 밝히고, 3/29 개인정보보호 정책 업데이트 

2. 취약한 보안 및 미흡한 취약점 관련 대응

- 코로나사태로 인해 폭발적으로 증가한 사용량과 이에 따른 Zoom 미팅 시 오가게 되는 민감한 정보들을 보호하기에는 Zoom의 보안 능력이 

  미흡하다는 평가를 받고 있음

1) 소극적인 취약점 관련 대응

- 보안 전문가가 비인가 제 3자에 의한 Zoom 웹캠을 컨트롤 할 수 있는 취약점을 발표했으나, 이에 대한 조치가 신속하게 이루어지지 않음.

the Electronic Privacy Information Center 리서치 기관이 연방 거래위원회에 공식적으로 컴플레인을 제기 된 후 취약점에 대한 조치가 이루어짐

(취약점 공개 후 몇 달 뒤 패치가 발표되는 등 Zoom 관련 취약점이 공개 될 때 이에 대응 하는 속도가 비교적 매우 느림)

2) Zoombombing 

: 최근 Zoom의 화면 공유 기능을 하이재킹 해, 해커가 Zoom 미팅에 참여하여 인종차별, 성희롱, 성인물 컨테츠 등을 게재하는 공격이 일어나고 있음

공격 패턴 : 

- 가짜 Zoom 도메인으로 사용자들을 접속하게 만들어 계정 정보를 탈취 후, 이를 Zoom 미팅을 염탐하는데 이용.

- Check Point사의 보고에 따르면, 2020년 이후 새롭게 등록된 가짜 Zoom 도메인 수는 약 1700여개 이며, 최근 몇 주 사이 이 수가 가파르게 상승 중. 

  (25%에 달하는 도메인이 지난 주에 생성됨, 이 중 4%가 악성 도메인으로 판별, *Fake list에 대한 정보는 현재 공개 되지 않음)

-> Zoom 측 : 전화로 미팅에 초대될 시 암호 인증 단계 추가, 초대한 참석자 및 회사 이메일 주소를 가진 사람만 미팅에 참여할 수 있는 기능을 추가

3. 참고자료

hxxps://threatpost.com/zoom-scrutinized-as-security-woes-mount/154305/

hxxps://www.nytimes.com/2020/03/30/technology/new-york-attorney-general-zoom-privacy.html

마더보더지 원문 :  hxxps://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account

Check Point사 가짜 Zoom 도메인 통계 : hxxps://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/