무슨 일이 일어났나
2026년 3월 11일, Zoom이 Zoom Workplace for Windows의 메일 기능에서 치명적 보안 취약점을 공개했습니다. CVE-2026-30903으로 등록된 이 취약점은 CVSS 9.6으로 "Critical" 등급입니다.
TheHackerWire, Cybersecurity News, TechRepublic 등이 보도했으며, NIST NVD에도 공식 등록됐습니다.
왜 위험한가
이 취약점의 위험성은 세 가지로 요약됩니다:
| 위험 요소 | 설명 | |-----------|------| | 인증 불필요 | 공격자가 로그인하지 않아도 공격 가능 | | 원격 공격 | 네트워크를 통해 원격으로 악용 가능 | | 파일 시스템 제어 | 공격자가 시스템의 파일 경로를 외부에서 조작 |
기술적 원인: Zoom Workplace의 메일 기능이 외부 입력을 제대로 검증(sanitize)하지 않아, 공격자가 파일 이름이나 경로를 외부에서 지정할 수 있습니다. 이를 통해 시스템 파일을 덮어쓰거나, 악성 파일을 실행할 수 있습니다.
쉽게 말하면, 택배 상자에 받는 사람 주소를 적는 칸을 조작해서, 택배 기사가 원래 목적지가 아닌 공격자가 원하는 곳에 물건을 배달하게 만드는 것과 같습니다.
영향 범위
| 항목 | 내용 | |------|------| | 영향 제품 | Zoom Workplace for Windows | | 영향 기능 | 메일(Mail) 기능 | | 영향 버전 | 6.6.0 미만 전체 | | 수정 버전 | 6.6.0 이상 | | 공개 PoC | 없음 (2026-03-12 기준) |
현재 공개된 개념 증명(PoC) 코드는 없지만, CVSS 9.6이라는 높은 점수와 인증 불필요라는 조건 때문에 악용 시도가 빠르게 나타날 수 있습니다.
지금 할 수 있는 대응법
- Zoom Workplace 즉시 업데이트: 버전 6.6.0 이상으로 업데이트
- Zoom 실행 → 프로필 아이콘 → 업데이트 확인
- 자동 업데이트 활성화: 설정 → 일반 → "Zoom 자동 업데이트" 켜기
- 메일 기능 미사용 시: Zoom Workplace의 메일 기능을 사용하지 않더라도 업데이트 필요 (취약한 코드가 포함되어 있으므로)
- 기업 IT 관리자: 패치 전까지 Zoom Workplace 메일 기능 비활성화 검토
Zoom은 패치 외에 별도의 완화 조치(mitigation)는 없다고 밝혔습니다. 업데이트가 유일한 해결책입니다.
참고