구글 취약성 발견팀인 프로젝트 제로(Project Zero) 수석 연구원인 나탈리 실바노비치(Natalie Silvanovich)가 화상회의 도구인 줌(Zoom)에 피해자가 클릭하지 않아도 장치나 줌 서버를 침해할 수 있는 취약점이 존재한다고 보고했다.
많은 해킹 피해에 대해선 피해자가 유해 링크나 첨부 파일을 여는 등 조작이 필요하지만 제로 클릭 공격이라고 불리는 일부 공격은 피해자가 아무 것도 조작하지 않아도 실행 가능하다. 최근에는 제로 클릭 공격 피해가 증가하고 있어 요인이나 저널리스트 감시에 사용된 스파이웨어 페가수스(Pegasus)에서도 아이폰을 타깃으로 한 제로클릭 공격이 이뤄진 게 보도됐다.
나탈리 실바노비치는 과거 페이스북 메신저, 시그널, 구글 듀오, 페이스타임, 아이메시지 등 다양한 통신 플랫폼에서 제로 클릭 공격, 기타 공격으로 이어지는 취약성을 발견한 인물이다. 하지만 줌은 많은 팝업과 알림을 통한 보호 기능을 갖고 있기 때문에 공격이 성공하려면 사용자가 여러 번 클릭해야 한다고 생각했기 때문에 실바노비치는 우선적으로 줌을 조사하지 않았다.
그런데 2021년 4월 해킹 콘테스트에서 줌에 대한 제로 클릭 공격이 가능하게 되는 취약성이 발견됐기 때문에 실바노비치는 영감을 받았다고 한다. 그는 줌 제로클릭 공격 가능성을 탐구하기 위해 사용자 장치에 설치된 줌 클라이언트 소프트웨어에 초점을 맞추고 분석을 시작했다.
줌 클라이언트에서 오디오나 비디오 등 콘텐츠 처리에 관련한 코드를 분석한 결과 SDK 안에 많은 직렬화를 실시하고 있는 라이브러리가 존재하고 여기에 버퍼 오버플로 공격을 하는 취약점인 CVE-2021-34423이 있는 게 판명됐다. 이는 줌 클라이언트 외에도 멀티미디어 라우터 MMR 서버에도 영향을 미친다. 또 MMR 서버에서 사용되는 함수를 이용해 서버 데이터를 훔칠 수 있는 취약점인 CVE-2021-34424도 보고됐다.
이번에 발견된 2가지 취약점은 피해자와 공격자가 서로 줌 연락처에 등록한 경우 피해자 조작 없이 기기를 탈취하거나 줌 MMR 서버를 침해하는 공격으로 이어질 가능성이 있었다는 것. 실바노비치는 이 연구는 몇 개월이 걸렸고 완전한 공격을 수행하는 단계에 도달하지 못했기 때문에 취약점은 자금력 있는 공격자에게만 사용할 수 있다고 생각된다며 하지만 공격자가 이 취약점을 다루고 있다고 해도 놀라운 일이 아니라고 밝혔다.
실바노비치가 보고한 취약점은 모두 2021년 11월 24일 수정됐으며 줌은 사용자에게 최신 버전 클라이언트 소프트웨어를 설치하라는 메시지를 표시한다. 10월초 취약성을 줌에 전했다는 실바노비치에 따르면 줌은 반응성이 좋고 취약성을 발견하는 실바노비치 일에 협력적이었다고 한다.
하지만 많은 화상 회의 서비스와 달리 줌은 오픈소스가 아니라 방대한 코드가 존재하기 때문에 보안 연구자가 줌 내부 메커니즘을 조사하기가 어렵다고 실바노비치는 지적했다. 줌에 대한 연구를 수행하는데 있어서 장벽이 높았다. 이에 따라 보안 연구원 조사가 자주 수행되지 않았기 때문에 줌은 아직 발견되지 않은 간단한 취약점이 있을 가능성을 시사하고 있다. 실바노비치는 또 줌 MMR 서버에는 ASLR(Address Space Layout Randomization)이 부족하다는 점도 보안상 우려라고 주장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.