오브젝티브씨파운데이션(Objective-See Foundation)의 패트릭 워들이 발견한 맥OS용 줌의 취약점은 자동 업데이터(ZoomAutoUpdater.app)와 관련이 있다. 자동 업데이터는 루트 사용자로 작동하며 사용자의 비밀번호가 필요 없다. 업데이터가 실행되면 소프트웨어 업데이트가 줌이 서명한 것인지 확인하는데, 워들은 파일 이름이 서명 인증서와 같은지만 확인하고 있음을 발견했다. 해커는 인증서와 이름이 같은 다른 패키지를 사용해 맥에 액세스할 수 있다.
워들은 최근 미국 라스베이거스에서 열린 보안 컨퍼런스 데프콘(DefCon)에서 해당 취약점에 대해 발표했다(발표 자료는 온라인에서 확인할 수 있다). 줌은 취약점 패치 버전인 5.11.5(9788)을 배포했지만, 사실 이번 패치는 해당 취약점을 수정하는 두 번째 시도다. 워들은 지난 12월에도 취약점에 대해 설명했고 줌은 수정 사항을 배포했지만, 당시 패치에는 취약점을 여전히 유효하도록 만드는 버그가 있었다.
보안과 관련한 줌의 역사는 파란만장하다. 과거에는 승인되지 않은 마이크 액세스, 암호화 미흡, 승인되지 않은 사용자의 회의 침입과 같은 문제가 있었다. 이런 문제는 업데이트를 통해 해결됐다.
맥OS에서 줌 업데이트하기
줌 앱을 실행하면 업데이트가 자동으로 설치되지만, 필자의 경험에 따르면 최신 버전인 5.11.5(9788)는 설치되지 않을 수 있다. 최신 버전이 설치되지 않았다면 수동으로 업데이트해야 한다. 방법은 다음과 같다. 1. 업데이트 수동 확인 : 'zoom.us' 메뉴 → '업데이트 확인' 선택
2. 업데이트 설치 : 줌 앱이 설치할 수 있는 업데이트를 확인한다. 5.11.5(9788) 업데이트가 표시되어야 한다. 릴리스 정보에서 확인할 수 있다. ‘설치’를 클릭해 계속 진행한다.
3. 줌 재시작 : 설치하는 동안 진행 창이 표시된다. 인터넷 연결에 따라 몇 분 정도 소요된다. 줌 앱을 다시 실행했을 때 최신 버전을 설치했다는 알림이 표시되어야 한다. 설치가 완료되었다면 평소처럼 줌을 사용해도 좋다.
editor@itworld.co.kr