서울대 온라인 포럼 중 보안 사고, 미숙한 사용법과 해킹 사이

서울대의 보안 관련 기사

   2022년 1월 19일 연합뉴스에서 "서울대 온라인 포럼 중 성기 사진... 프로그램 해킹 추정"이라는 기사를 인터넷에 송고하였습니다. 서울대 통일평화연구원은 제84차 통일학 포럼을 줌으로 진행하던 중 신원이 파악되지 않은 참가자 5-6명이 화면상에 난입하여 욕설과 소음 그리고 성기 사진과 낙서를 했다고 발표하였습니다. 그리고, 서울대 포럼 관계자는 줌 미팅 프로그램을 누군가가 해킹한 것으로 추정한다고 발표하였습니다.  

 

https://www.yna.co.kr/view/AKR20220119159400004?input=1195m 

서울대 온라인 포럼중 성기 사진…"프로그램 해킹 추정" | 연합뉴스

 

   포럼을 주최하신 분들은 IT와 화상회의의 전문가가 아니기 때문에 "해킹"이라는 자극적인 단어를 사용할 수 있지만, 연합뉴스는 검증의 과정을 전혀 거치지 않고 기사를 썼습니다. 줌 코리아도 줌 본사도 관련 사건에 대한 문의 조차 없었습니다. 반론의 기회가 완전히 차단된 기사입니다. 모든 온라인 활동은 로그 즉 흔적을 남기기 때문에 금방 상황을 파악할 수 있지만, 연합뉴스는 확인하려는 노력을 전혀 하지 않은 것이 안타깝습니다. 

 

   문제는 해킹이 아니라 포럼 주최측의 줌 미팅 사용법을 제대로 알지 못한 것입니다. 온라인 행사 또는 오프라인 행사가 불특정 다수의 참가자를 대상으로 할 때 조심해야 합니다. 오프라인 행사도 최소한 참가 신청 또는 등록을 받고 현장에서 참가자의 신원을 확인할 수 있는 명패 또는 명찰을 나누어 줍니다. 이번 서울대 온라인 포럼은 사용자 등록도 없이 누구나 마음대로 참가할 수 있었고, 포럼 진행 중에 모든 참가자에게 마이크 음소거 해제 및 화면 공유 권한을 부여하였습니다.  누군가가 잠긴 문을 뚫고 들어온 것이 아니라 열린 문을 지나가다가 열었을 뿐입니다. 

누군가가 잠긴 문을 뚫고 들어온 것이 아니라
열린 문을 지나가다가 열었을 뿐입니다. 

 

  줌 미팅으로 불특정 다수와 미팅을 할 때 요령을 정리합니다  

 

 

문제의 원인 1 : 회의 주최자의 줌 미팅 예약 미숙

   회의를 예약할 때 보안과 관련된 3 가지 옵션이 있습니다. 

 

• 암호 설정
     줌 미팅에 접속할 수 있는 암호를 설정하여 단순히 링크를 공유하는 것만으로 참가자가 입장하지 못하게 합니다. 암호를 설정하면 줌 미팅에 참석할 때 한 번의 단계를 더 거치기 때문에 귀찮습니다. 회의 개최자는 편의를 위해 암호를 설정하지 않고 사용하기도 합니다. 줌 미팅 관리자는 일반 사용자들이 암호 없이 회의하는 것을 방지할 수 있습니다. 예를 들어, 필자가 속한 회사는 미팅을 개최하거나 예약을 할 때 반드시 암호를 설정하도록 합니다. 
   
• 대기실 설정
     참석자들의 보안 의식 미숙으로 링크와 암호를 마음대로 공유하기도 합니다. 이럴 경우 대기실을 만들어 정확한 이름과 이메일 주소를 입력한 사람들만 관리자가 허가를 해주고 입장을 시킬 수 있습니다. 참석자가 확실한 경우에는 대기실을 사용하지 않지만, 이번과 같이 불특정 다수를 대상으로 할 때 반드시 대기실 기능을 커야 합니다. 
  
  
• 가입 시 인증 필요
     이 번 포럼과 같이 불특정 다수를 대상으로 하는 줌 미팅은 사용할 수 없습니다. 예를 들어, 서울대 학생들만 참가하는 줌 미팅일 때 이 옵션은 효과적입니다. 서울대 인증을 받지 못한 참가자는 접속할 수 없습니다. 

 

   이번 보안 사고는 아래 3 가지 설정 중 아무것도 하지 않았습니다. 즉, 신원이 파악되지 않은 사용자들이 줌 미팅을 해킹하여 난입한 것이 아니라 신원을 파악하지 않고 누구나 온라인 포럼에 접속할 수 있었습니다. 문을 잠그지 않았기 때문에 지나가는 사람이 집안에 들어온 것이고, 집안에 들어올 때 누구인지 묻지를 않았기 때문에 신원이 파악되지 않은 것입니다. 

 

신원이 파악되지 않은 사용자들이 줌 미팅을 해킹하여 난입한 것이 아니라
신원을 파악하지 않고 누구나 온라인 포럼에 접속할 수 있었습니다. 

   

문제의 원인 2 :  회의 개최자의 미숙한 통제

   줌은 온라인 미팅 및 온라인 강의를 제공하는 솔루션입니다.줌 미팅은 온라인 회의 예약이 제대로 되지 않았더라도 줌 호스트가 실시간으로 회의를 통제할 수 있습니다. 아래 그림과 같이 보안 버튼을 클릭하여 보안 기능을 제어할 수 있습니다. 

 

• 회의 잠금
     회의 잠금을 클릭하면 더이상 참가자들이 들어올 수 없습니다. 모든 참가자들이 접속을 했다면, 더 이상 참석자를 받지 않기 위해 사용합니다. 
  
  
• 대기실 사용
     예약할 때 대기실 기능을 켜지 않았다면, 대기실 기능을 활성화할 수 있습니다. 
  
  
• 프로필 사진 숨기기
     참가자들의 프라이버시를 보호하기 위해 프로필 사진을 모두 숨기도록 유도합니다. 
  
  
• 화면 공유
     회의를 개최한 호스트 외에 다른 참가자들에게 화면 공유 권한을 주거나 주지 않습니다.  
  
  
• 채팅
     회의를 개최한 호스트 외에 다른 참가자들에게 채팅 권한을 주거나 주지 않습니다.  
  
  
• 스스로 이름 바꾸기
     회의를 개최한 호스트 외에 다른 참가자들에게 스스로 이름 바꾸기 권한을 주거나 주지 않습니다.   
  
  
• 스스로 음소거 해제
     회의를 개최한 호스트 외에 다른 참가자들에게 음소거 권한을 주거나 주지 않습니다.  
  
  
• 비디오 시작
     사용자들이 영상을 켜는 권한을 주거나 주지 않습니다.   

 

   이번 보안 사고는 회의 주최자가 보안 관련 사항을 아무것도 제한하지 않았습니다. 예를 들어, 아래 그림과 같이 참가자들에게 '스스로 음소거 해제' 권한을 주지 않았다면, 욕설과 소음을 막을 수 있었습니다. 또한, '화면 공유' 권한을 주지 않았다면, 성기 사진이 공유되는 것을 막을 수 있었습니다.  

참가자들에게 '스스로 음소거 해제' 권한을 주지 않았다면, 욕설과 소음을 막을 수 있었습니다.
참가다들에게 '화면 공유' 권한을 주지 않았다면, 성기 사진이 공유되는 것을 막을 수 있었습니다.  

 

 

    "보안" 버튼의 사용법을 모른다면, 화면 공유 버튼에서 아래와 같이 공유 권한을 세부적으로 정할 수 있습니다.  여기에서 "호스트만"을 설정했어도 공유를 막을 수 있었습니다.

 

문제의 원인 3 : 줌 웨비나를 사용하지 않음

   줌은 불특정 다수의 참가자를 대상으로 하는 온라인 행사는 줌 미팅이 아니라 줌 웨비나를 사용할 것을 권고합니다. 줌  웨비나는 참가자의 이메일주소와 이름을 확인하고 사전 등록자들만 참석할 수 있는  서비스입니다. 참석자들이 참가할 때 인증을 받기 때문에 신원이 명확하게 파악할 수 있습니다. 주최측이 참석자가 누구인지를 명확히 알 수 있기 때문에 즉흥적인 돌발행동을 간접적으로 막을 수 있습니다. 

 

   

   줌 웨비나를 예약하면 등록 및 초대 이메일, 브랜딩, 설문조사, Q&A 등 상세한 설정이 가능합니다. 

 

   또한, 줌 웨비나는 호스트가 확실하게 미팅을 통제할 수 있습니다. 잡음이나 소음이 발생할 때 "모두 음소거" 버튼을 클릭하여 제어할 수 있습니다. 모든 참가자의 마이크를 한 번에 제어할 수 있습니다. 수 백 명이 참가하는 온라인 포럼에서 잡음이 발생하는 사람을 찾아서 제어하는 것은 불가능합니다.  

 

또한, "더보기" 버튼을 클릭하면 아래와 같이 상세한 통제 및 제어가 가능합니다. 

 

 

거의 모든 줌 미팅 보안 사고는 사용자 미숙이다. 

   사람들은 쉽게 '해킹'이라는 단어를 떠올립니다. 영화에서 해킹이 너무나 쉽게 되는 것으로 묘사되기 때문입니다. 하루에 3억명이 사용하는 줌 미팅을 해킹하기는 너무나 어렵습니다. 

 

   생각해 봅시다. 오프라인 행사에서 주최측은 항상 참가자들의 등록을 받고 등록된 사람만 입장합니다. 온라인 행사에서 주최 측이 참가들의 등록도 받지 않고 입장할 때 등록 여부를 확인하지 않았다면, 줌 미팅 솔루션의 잘못인가요? 사용자의 잘 못인가요? 해킹은 영화처럼 절대로 쉽지 않습니다.  뉴스에 나오는 해킹 사건도 영화처럼 하는 것이 아니라 관리자 계정의 암호를 획득하는 것에 매우 오랜 시간이 걸립니다. 실제 관리자에게 접근하여 신상 파악을 하여 암호를 유추하는 오랜 과정이 필요합니다. 사실 회의를 개최하는 호스트들이 최소한의 보안 설정도 하지 않기 때문에 해킹할 필요도 없습니다.

 

회의를 개최하는 호스트들이 위험하게 최소한의 보안 설정도 하지 않기 때문에
줌 미팅을 해킹할 필요도 없습니다.