온라인 화상회의 서비스 Zoom가 Windows 클라이언트를 삭제할 때 브라우저의 Cookie를 읽거나 저장한다고 사이버보안 기업인 ThreatSpike가 보고했습니다. 조작된 Cookie의 유효기간은 10년으로 설정되어 있으며, EU가 인터넷상의 개인정보보호를 규율하는 ePrivacy 지침에 위배된다고 지적하고 있습니다.
ThreatSpike Blog : Zoom still do not understand GDPR
https://www.threatspike.com/blog/zoom_cookies.html
Zoom still don't understand GDPR
www.threatspike.com
신종 코로나바이러스 감염의 유행에 따른 온라인 화상회의 서비스의 수요 증가에 따라 Zoom은 2021년 회계 연도 1분기에서 전년 대비 대폭적인 수익 증가를 달성했습니다. 한편, Zoom은 보안 및 개인정보에 관한 다양한 문제를 안고 있어, Google 및 SpaceX는 사내에서의 Zoom 사용을 금지하는 조치를 취하고 있습니다.
ThreatSpike는 Windows용 Zoom 클라이언트가 제거될 때 Google Chrome의 Cookie에 액세스하는 것을 감지했기 때문에, Zoom 클라이언트가 제거될 때 수행하는 작업에 대해 조사를 실시했습니다. ThreatSpike는 먼저 Windows에서 Chrome에 저장된 Cookie를 삭제한 후, Zoom 클라이언트를 설치. Chrome에서 Zoom의 홈페이지인 'https://zoom.us/'를 포함한 일부 웹사이트에 액세스하여 각각의 Cookie를 받는 작업을 했습니다.
그 후, Zoom 클라이언트를 제거 시의 동작을 관찰하면, Chrome에 저장된 Cookie의 내용이 로드되는 것을 발견. Zoom 클라이언트는 Zoom 웹사이트가 저장된 Cookie뿐만 아니라 다른 웹사이트의 Cookie까지 읽고 있었습니다. ThreatSpike은 이런 Zoom 클라이언트의 움직임에 대해 'Zoom의 웹사이트가 저장된 Cookie를 찾기 위한 검색 조작'이라고 결론을 내렸습니다.
또한 Zoom 클라이언트는 Cookie의 읽기뿐만 아니라 쓰기까지 하고 있던 것도 밝혀져. 작성된 일부 Cookie 중에서도 특히 'zm_everlogin_type'라는 Cookie의 유효기간이 10년으로 설정되어 있었습니다. everlogin라는 명칭에서 ThreatSpike는 Cookie의 사용목적을 '사용자가 Zoom에 로그인한 적이 있는지를 판별하기 위한 것'이라고 추측하는 동시에, Zoom을 제거하는 사용자에 대한 '로그인의 유무'에 대한 정보를 10년간 유지시키는 것은 Cookie의 저장 기간을 12개월까지로 정하는 ePrivacy 지침을 위반하고 있다고 지적하고 있습니다.
인터넷상에서 사용자의 활동을 추적하는 것 자체는 문제가 없지만, ePrivacy 지침과 EU 일반데이터 보호규칙(GDPR)을 존중하고, 인터넷에서 공정한 경험을 제공하는 것이 기업의 책임이라고 ThreatSpike는 말합니다.
'IT' 카테고리의 다른 글
| Google Play에서 200만 명이 감염된 악성코드 'FalseGuide' (0) | 2020.09.01 |
|---|---|
| 무료로 사용할 수 있는 이미지를 Google 이미지 검색으로 쉽게 찾을 수 있는 기능이 업데이트에서 추가 (0) | 2020.09.01 |
| IP주소를 추적하는 여러가지 방법 (0) | 2020.09.01 |
| iPhone을 사용하면 데이트 앱에서 매력이 76% 증가한다는 조사 결과 (0) | 2020.08.30 |
| 국가별 5G 통신속도를 비교한 벤치마크 결과가 공개 (0) | 2020.08.29 |
| 북한의 해커가 몇십억 원 상당의 가상통화를 중국인 트레이더와 공모하여 횡령 (2) | 2020.08.28 |
| TikTok에서의 수익화 모델이란 (0) | 2020.08.28 |
| SSH의 공개키 암호화에는 'RSA', 'DSA', 'ECDSA', 'EdDSA' 중 어떤 것을 사용하면 좋을까? (0) | 2020.08.28 |
