줌 클라이언트와 제록스 프리플로우코어, 초고위험도 취약점 패치
- 줌 윈도용 클라이언트서 초고위험도 취약점 나와
- 제록스 프리플로우코어에서도 심각한 취약점 나와
- 기업용 앱들은 보다 엄격히 관리해야
줌 클라이언트(Zoom Client)와 제록스 프리플로우코어(FreeFlow Core)에서 보안 취약점이 발견됐다. 이 중 초고위험도를 가진 것들도 존재한다. 줌과 제록스 두 회사는 현재까지 발견된 모든 취약점들을 패치했고, 이제 사용자들이 이를 적용하는 일만 남았다.
줌의 초고위험도 권한 상승 취약점
가장 심각한 것으로 판명된 취약점은 줌 클라이언트의 CVE-2025-49457이다. CVSS 기준 9.6점을 받았다. 익스플로잇에 성공한 공격자는 권한을 상승시킬 수 있게 된다. 이 취약점은 윈도 버전에서만 발견되고 있다. 줌 내부에서 발견했고, 아직 실제 공격 사례는 없다고 줌은 발표했다.
취약점이 발견된 줌 제품들은 다음과 같다.
1) 윈도용 줌 워크플레이스(Zoom Workplace) 6.3.10 이전 버전
2) 윈도용 줌 워크플레이스 VDI 6.3.10 이전 버전(6.1.16과 6.2.12는 제외)
3) 윈도용 줌 룸스(Zoom Rooms) 6.3.10 이전 버전
4) 윈도용 줌 룸스 컨트롤러(Zoom Rooms Controller) 6.3.10 이전 버전
5) 윈도용 줌 미팅 SDK(Zoom Meeting SDK) 6.3.10 이전 버전
제록스의 취약점 2개
한편 제록스는 두 개의 취약점을 패치하며 공개했다. 제록스 프리플로우코어 8.0.4 버전으로 업데이트 하면 두 가지 모두 해결된다고 한다. 이 취약점들은 다음과 같다.
1) CVE-2025-8355 : 서버 측 요청 위조(SSRF)로 이어지는 XXE 삽입 취약점, CVSS 7.5점
2) CVE-2025-8356 : 원격 코드 실행 취약점, CVSS 9.8점
제록스 역시 이 취약점에 대한 실제 공격 사례가 발견되지 않았다고 발표했으나, “조속히 패치하지 않을 경우 민감 데이터 탈취 등 보안 사고로 이어질 수 있다”고 경고했다. 위 두 가지 취약점을 연쇄적으로 익스플로잇 할 경우 피해자 네트워크에서 횡적 이동이 가능해진다는 분석도 나오고 있다.
줌 클라이언트는 화상 회의를 위한 ‘협업 지원’ 앱이고, 제록스 프리플로우코어는 인쇄 산업에서 사용되는 자동화 소프트웨어다. 즉, 기업 환경에서 자주 사용된다는 의미가 된다. 최근 사이버 공격자들은 일반 소비자 개개인보다 기업들을 더 즐겨 노리는 경향이 짙다. 따라서 줌이나 제록스 소프트웨어들의 경우, 공격자들의 연구가 활발히 이뤄지는 편이다.
기업용 앱 vs. 소비자용 앱
일반적으로 같은 애플리케이션 취약점이라 해도 기업용 앱에서 발견되는 것과 소비자용 앱에서 발견되는 것은 무게감이 다를 수밖에 없다. 취약점 익스플로잇이 이뤄진다고 했을 때 발생하는 사건의 영향력이 서로 다른 규모를 가지고 있다는 게 첫 번째 이유다. 기업용 앱이 침해되면 기업 전체는 물론 그 기업과 연계된 파트너사와 소비자들까지도 대량으로 영향을 받는 게 보통이다. 소비자용은 해당 개인에서 피해가 그칠 때가 많다.
기업용 앱에서 처리되는 데이터가, 개인용 앱에서 처리되는 데이터보다 높은 가치를 지니고 있을 때가 많다. 기업의 지적재산이나 각종 영업 비밀, 개개인이 가질 수 있는 돈보다 더 많은 돈이 예치되어 있는 계좌 정보 등이 있기 때문이다. 개인의 데이터(개인정보 등)도 소중하긴 하지만 절대적 가치에서 기업의 데이터보다 높기는 힘들다.
공격자들이 기업용 앱 침해를 선호하는 데에는 다른 이유도 있다. 소비자용 앱보다 기업용 앱이 훨씬 복잡한 구조를 가지고 있기 때문이다. 그렇다는 건 앱을 통해 다른 계정, 다른 망, 다른 시스템, 다른 기업들에도 연결될 가능성이 있다는 의미다. 기업용 앱을 통해 얻을 수 있는 기회가, 일반 소비자용보다 많은 게 사실이다.
그것 외에도 기업이 기업용 앱을 더 엄격히 살펴야 하는 이유가 있다. 최근 몇 년 동안 엄중해지고 있는 규정과 법 때문이다. 데이터 침해 사고가 너무 자주 일어나고, 그 사고로 피해를 보는 건 소비자들일 때가 많기 때문에 여러 지역의 입법자들이 기업들에 무거운 책임을 묻기 시작했다. 산업과 지역마다 적용되는 규정이 다르지만, 전반적으로 형벌의 수위가 높아지고 있다. 이런 상황에서 기업용 앱 침해 사건이 발생하면 기업이 휘청거릴 정도의 벌금을 낼 수 있다.
Related Materials
- Zoom Security Bulletins — 2024~2025년 다양한 Zoom 클라이언트 취약점(CVE-2025-49457 외), 패치 안내 및 영향 분석, 2025년
- Zoom Vulnerability: Escalation of Privileges (CVE-2024-24691) — 윈도우·VDI·룸 클라이언트 권한 상승 치명적 취약점 상세 분석, 2024년
- Xerox Printers Vulnerable to Remote Code Execution Attacks (CVE-2024-6333 외) — 신형 프린터 RCE 결함 현황·PoC 및 위험도 설명, 2024년
- Xerox Printer Vulnerability Exposes Authentication Data via LDAP/SMB (CVE-2024-12510, 12511) — 인증정보 유출·AD 침투 공격 위험, 2025년
문가용 기자
문가용 기자
![[TE머묾] 보안은 즐겁다 2](https://images.unsplash.com/photo-1625154869776-100eba31abbb?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDI4fHxqb3klMjBzbm93Ym9hcmRpbmd8ZW58MHx8fHwxNzcwOTk3OTU1fDA&ixlib=rb-4.1.0&q=80&w=600)
