영상 기반 협업 플랫폼의 보안 이슈 및 기업의 보안 고려사항
1. 개요
코로나19 사태로 인해서 기업 및 개인은 출장과 오프라인 행사, 개인의 약속을 취소하거나 연기하며 외출 또한 자제하고 있다. 아울러 기업들은 임직원의 건강 관리와 외부인의 출입통제에 신경을 쏟으며 업무 연속성을 위한 다양한 노력을 하고 있다. 이러한 노력의 일환으로 많은 기업들은 재택근무를 단행하고 있으며 이에 따라 자연스럽게 영상 회의 서비스에 대한 관심도 급격히 늘어나고 있다. 영상 회의 서비스는 비대면으로 커뮤니케이션과 협업, 콘텐츠 공유를 혼합해서 서비스로 제공하며 언제 어디서든 손쉽게 업무 관련된 회의를 진행할 수 있도록 지원한다. 화상회의는 음성 중심으로 이뤄지던 콘퍼런스 콜 등 원격회의를 한 층 더 발전시킨 회의 방식이다. 회의실이라는 한정된 공간에 모일 필요 없이 노트북이나 스마트폰만 있어도 회의에 참석할 수 있다. 클라우드를 기반으로 같은 파일을 공유하며 동시에 편집하거나 첨삭할 수 있는 솔루션도 일반적으로 제공된다. 무엇보다 기업 입장에서는 비용 절감과 업무 효율성 측면에서 강점이 있다.
시장조사 전문업체 가트너에 따르면 전 세계 회의실은 약 4000만 개로 추정되며 현재 이러한 회의실 중 2.5% 정도만 화상회의 관련 장비를 갖추고 있다고 한다. 화상회의 솔루션을 도입하고 싶어도 이같은 장비 도입에 따르는 비용 문제 때문에 주저하는 경우도 많다. 각종 장비를 구매하는 것뿐 아니라 이러한 장비를 연결하고, 제대로 작동하기 위한 유지보수가 필요하기 때문에 화상회의를 추가적인 비용으로 인식하는 기업이 많았다. 하지만 코로나 사태를 계기로 화상회의에 대한 인식이 달라지고 있다. 특히 개방형 클라우드 기술의 발전이 화상회의에 필요한 자원을 간소화하면서 기업 입장에서는 도입하기가 쉬워졌다. 일반적인 애플리케이션을 이용해 회의에 참여하는 기능도 상당수 업체가 제공하고 있으며 별도의 플러그인이나 다운로드도 필요 없다. 최대 1000명까지 참여할 수 있는 대규모 회의도 지원되면서 회의 뿐만 아니라 온라인 컨퍼런스 등에도 활용되고 있다. 또 2024년까지 원격 근무와 변화하는 인력 통계는 기업 회의에 영향을 미쳐 현재 60%가량 실제 미팅에 참여하는 비율이 25%로 줄어들 것으로 봤다.
한편, 코로나19로 가장 수혜를 본 기업은 화상회의 플랫폼인 ‘줌(ZOOM)’ 서비스인데, 이용자가 2019년 12월 하루 1000만명 수준에서 2020년 3월에는 2억명으로 폭증하였다. 하지만 줌에서 생성되는 화상회의 데이터가 중국에 있는 데이터센터로 흘러간다는 '차이나 게이트'가 폭로되고, 개인정보 이슈까지 발생하면서 줌의 기업 이미지가 급격하게 하락하였으며, 급기야 몇몇 정부와 글로벌 업체들은 '줌 금지령(ZOOM OUT)'을 내리기도 했다. 우리나라에서도 같은 맥락에서 영상 기반 협업 플랫폼의 취약점을 인식하고 기업에서 ZOOM 서비스와 같은 화상회의 플랫폼을 사용할 경우 반드시 고려해야 하는 보안 고려사항을 소개하며 안전한 사용을 당부했다. 이런 측면에서 본 보고서는 영상 기반 협업 플랫폼 중 대표적으로 ZOOM의 보안 이슈를 살펴보고, 기업의 고려사항에 대하여 살펴보고자 한다.
2. 영상 기반 협업 플랫폼의 보안 이슈
영상 기반 협업 플랫폼 ZOOM의 보안 이슈는 프라이버시 이슈와 보안 취약점 이슈로 구분할 수 있으며, 내용은 다음과 같다.
2.1. 프라이버시 이슈
(1) 개인정보보호정책 이슈
ZOOM의 개인정보보호 정책은 비디오, 대화내용, 공유 메모 등 광범위한 데이터를 수집하여 사적인 이익을 위해서 제3자와 공유할 수 있다는 이슈가 제기되었다. ZOOM은 개인정보보호 정책을 강화하여 회의 데이터를 광고에 사용하지 않는다고 했지만 사람들이 홈페이지 및 zoom.com을 포함한 마케팅 웹 사이트를 방문할 때 데이터가 이용된다.
(2) 분석데이터를 SNS로 전송
페이스북의 SDK를 사용하는 많은 앱과 마찬가지로 Zoom의 iOS앱에 내장된 Facebook SDK가 분석 데이터를 이용자가 Facebook 회원이 아닌 경우에도 Facebook에 전송하는 것으로 밝혀졌으며 향후 이 기능은 제거되었다.
(3) 참가자에 대한 추적 기능
ZOOM의 기능 중 확대 및 축소 기능은 참가자에 대한 추적을 위해 렌즈 아래에 위치해 있다. 이 기능을 사용하면 호스트가 통화 중에 확대 및 축소 기능으로 창을 클릭하고 있는지 호스트가 확인할 수 있으며 마찬가지로 ZOOM 미팅의 호스트는 통화 중에 로컬로 녹음된 경우 개인의 문자 메시지를 읽을 수 있다.
(4) MacOS에 앱 강제 설치
ZOOM은 ‘Shady’라는 기술을 사용하여 MacOS의 멀웨어가 사용하는 것과 동일한 트릭을 사용하여 이용자의 최종 동의가 없어도 Mac 환경에 앱을 설치할 수 있다.
(5) 다른 참가자가 링크드인 프로필에 무단 접근
ZOOM은 사용자가 익명이거나 가명을 사용하더라도 이용자의 이메일 주소와 사진을 이용하여 링크드인 프로필에 자동으로 이용자 정보를 일치시키는 비공개 데이터 마이닝 기능을 내장하였다. 이로 인해 모임의 다른 사용자가 링크드인 sales navigator 라는 서비스에 가입한 경우 해당 사용자의 동의없이 ZOOM 모임에서 다른 참가자의 링크드인 프로필에 접근할 수 있다.
(6) 낯선 사람이 전화 발신 가능
동일 도메인의 이메일 이용자를 하나의 그룹으로 묶어 '마치 같은 기업 내 근무하는 것처럼' 상호 통화 개시를 가능하게 했다.
2.2. 보안 취약점 이슈
(1) 윈도우용 앱의 원격 실행 취약점
ZOOM의 윈도우용 앱의 결함으로 인해 원격 공격자가 피해자의 윈도우 로그인 자격 증명을 도용하고 시스템에서 임의의 명령을 실행할 수 있는 UNC(Universal Naming Convention) 경로 주입 취약점에 노출되었다. 해당 취약점을 활용할 경우 악의적인 사용자는 윈도우 로그인 계정(Root 계정)을 탈취할 수 있다.
(2) 아마존 스토리지 버킷에 영상이 노출되는 취약점
ZOOM이 자동으로 적용되는 일반적인 파일이름의 생성 패턴을 찾을 경우 비디오의 녹화 파일을 찾기 쉬우며, 이 녹화 파일은 공개적으로 액세스가 가능한 public Amazon storage bucket을 통해 노출되고 있다.
(3) zWarDial 도구에 의한 회의 노출 취약점
zWarDial 이라는 도구를 사용하는 경우, 비밀번호로 보호되지 않은 채 생성되어 있는 회의를 시간당 약 100개씩 찾아낼 수 있다.
(4) 종단간 암호화 사용 주장이 허위로 확인
ZOOM은 종단간 암호화(E2E암호화)를 사용하여 통신을 보호한다고 했는데 이러한 내용이 허위로 입증되었다. ZOOM은 모든 참가자가 ZOOM 클라이언트를 사용하고 기록되지 않는 회의에서 비디오, 오디오, 화면 공유 및 채팅과 같은 모든 종류의 컨텐츠는 클라이언트 측에서 암호화되며 절대 복호화될 때까지 볼 수 없다고 주장했지만 클라우드 녹음 또는 전화 접속 통신과 같이 부가가치 서비스 중 하나가 활성화되어 있는 경우 ZOOM은 현재 클라우드에서 유지 및 관리되는 암호 해독 키에 엑세스할 수 있다. 이러한 암호 해독 키는 해커나 정부 정보 기관에 의해 노출될 경우 프라이버시가 노출될 수 있다.
(5) 암호화 키의 중국 서버 경유 이슈
암호화 작업을 위해 생성된 암호화 키가 중국의 서버를 통해 회의 참여자에게 배분되는 것으로 밝혀졌다. 또한 모든 참가자가 공유하는 ECB 모드에서 음성 및 영상이 AES-128로 암복호화 되고 있다. ECB 모드는 평문의 암호화 패턴을 알고 있는 경우 암호화 된 값을 보고 평문의 성질에 대해 어느 정도 유추가 가능하기 때문에 보안상 취약하다고 알려져 있으며, AES 대칭키 암호화 방식의 키 길이로써 128은 안전하지 않다.(AES-256 이상을 권장하고 있다.)
(6) 'zoombombings' 취약점
화상회의 도중 제 3자가 회의방에 참석하여 인종차별이나 종교 비하발언, 음란영상 공유 등의 행위로 인해 정상적인 회의 진행을 방해하는 ‘줌바밍(Zoombombing)’ 취약점이 논란이 되고 있다. 줌바밍 취약점은 Zoom에 가입 시 주어지는 9~10자리의 숫자로 구성된 ID를 이용하여 회의방이 생성되는 구조를 이용하여 무작위 대입공격(Brute-force Attack)을 통해 랜덤으로 ID를 생성해 활성화된 회의방을 발견하면 임의의 사용자도 활성화된 회의방에 참석이 가능하게 된다. 무작위 대입공격(Brute-force Attack)을 위한 공격코드도 간단하게 구현할 수 있다. 회의방 참석 URL주소(‘https://zoom/us/wc/join/[사용자ID]’)에 사용자ID부분에 랜덤한 숫자를 입력하고 응답 값이 존재하면 활성화된 회의방을 인지하여 회의에 참석하면 된다.
2.3. Zoom, 90일의 보안 계획
갖은 보안 이슈에 줌은 특단의 조치를 시행했는데 기존에 예정돼 있던 개발 일정을 모두 취소하고 보안 문제에 총력을 기울이는 ‘90일의 보안 계획’을 발표했다. ZOOM은 2020년 4월 1일부터 7월 1일까지 진행된 90일의 보안계획을 통해 100여개 이상의 보안 관련 업데이트를 진행했으며 개인정보보호 강화를 위한 7가지의 약속을 표명하였다.
(1) 개인정보보호 문제 해소에 총력
4월 1일부터 다른 기능에 관한 업무는 중단하고 Zoom에서 가장 중요하게 생각하는 신뢰, 안전성, 개인정보 보호 문제에 집중하도록 엔지니어링 인력 전원을 전환하겠다고 밝혔다. 그리고 ZOOM은 개인정보 보호, 안전, 보안과 관련이 없는 모든 기능을 90일간 동결했다. 더불어 신규로 출시되는 ZOOM 5.0에는 고급 암호화 표준 256 GCM 암호화(모든 무료/유료 사용자에게 적용), UI 업데이트(보안 아이콘, 녹색 암호화 실드 및 데이터 센터 위치의 연결 링크), 사용자 신고 기능, 미팅 기본값(암호, 대기실, 제한적인 화면 공유) 설정 기능, 기타 기능(호스트의 다중 기기 로그인 비활성화 기능, 음소거 해제 동의, 클라우드 녹화 만료, Zoom Chat 컨트롤 강화 등)이 업데이트되었다.
또한 보안 기업 키베이스를 인수했다. 이를 통해 종단간 암호화도 구축하고 키베이스의 공동 창업자이자 개발자인 맥스 크론이 줌 보안 엔지니어링 팀을 이끄는 등 보안 인력을 강화했다. 논란이 됐던 중국 서버 공유도 데이터 라우팅 지역 설정을 통해 해소했다는 설명이다.
(2) 보안에 대한 전면 재검토
모든 새로운 사용 사례의 보안 및 개인 정보보호를 이해하고 지킬 수 있도록 타사 전문가 및 사용자 대표와 함께 종합적인 검토를 실시한다.
(3) 투명성 보고서 준비
데이터와 녹화 및 콘텐츠 요청과 관련된 정보를 상세히 설명하는 투명성 보고서를 발간한다고 한다.
(4) 버그바운티 프로그램 강화
(5) CISO 위원회 운영
보안 및 개인정보 보호 모범 사례에 대한 지속적 대화를 지원하기 위해 업계를 대표하는 CISO와 협력하여 CISO 위원회를 운영한다.
(6) 화이트박스 침투 시험 실시
Zoom 프로덕션 환경(퍼블릭 및 공동 배치 데이터 센터 모두 포함)의 클라우드 구성, 외부 IP 공간, 내부 프로덕션 네트워크와 Zoom 핵심 웹 애플리케이션 및 Zoom 기업 네트워크의 내부 네트워크, 외부 네트워크 경계 그리고 일반 클라이언트용 퍼블릭 API(모바일 클라이언트/데스크톱 클라이언트) 각각에 대하여 문제를 더욱 깊이 파악하고 해결하기 위해 일련의 동시 화이트박스 침투 시험을 실시한다.
(7) 보안 웹 세미나 개최
개인정보 보호와 보안 업데이트 사항을 커뮤니티에 알리는 주간 수요 웹 세미나를 개최한다.
3. 영상 기반 협업 플랫폼 사용 시, 보안 고려사항
금융보안원에서는 영상 기반 협업 플랫폼 사용 시, 보안 고려사항을 발표하였으며 내용은 다음과 같다. 보안 고려사항은 회의 내용의 중요도 등을 고려하여 공통 보안대책과 중요 회의 시 추가 보안대책으로 구분하여 기술하였으며, 민감한 주제를 논의하는 회의의 경우 보다 엄격한 보안대책 적용이 요구된다. 보안 고려사항의 주요 내용은 미국 국립표준기술연구소의 화상회의시 보안대책 내용을 참조하였다.
3.1. 화상회의 전 보안 고려사항
화상 회의를 진행하기 전 고려해야 할 보안 고려사항은 다음과 같다. 첫째, 회사 내부의 화상회의와 관련한 보안정책을 마련하고 준수할 수 있도록 교육해야 한다. 둘째, 화상회의 참여 접근코드(화상회의에 참여하기 위해서 입력해야 하는 비밀코드)를 재사용하지 않도록 제한해야 한다. 셋째, 회의 논의 내용이 민감한 사항(외부에 노출되었을 경우 회사에 나쁜 영향을 주는 내용)이 포함되어 있는 경우, 일회용 PIN 혹은 회의 식별코드를 사용하도록 강제적용해야 하며 필요하다면 다중요소인증(Multifactor Authentication)을 적용해야 한다.
한편 화상회의 전 고려해야 하는 사항 중에서도 특별히 중요 회의에는 추가적인 보안 대책의 고려가 필요하다. 첫째, 회사가 검토하고 업무적인 사용이 적절하다고 승인한 화상회의 솔루션만 사용해야 하고, 개별 회의 참여자에게 고유한 PIN 혹은 패스워드를 부여한 후 이를 타인에게 공유하지 않도록 관리해야 한다. 둘째, 회사가 제공한 PC 혹은 노트북과 같은 공식적인 단말기를 이용하여 화상회의에 참여해야 한다.
3.2. 화상회의 중 및 화상회의 후 보안 고려사항
화상 회의를 진행하기 전 고려해야 할 보안 고려사항은 다음과 같다. 첫째, 화상회의 시스템의 “대기방” 기능을 필수적으로 사용하고, 회의 주최자가 참여하기 전까지 회의시작을 금지해야 한다. 둘째, 회의 참여자가 회의방에 참여시 알람 기능(특정 소리 혹은 참여자 이름 등을 재생)을 사용하고, 화상회의 솔루션이 해당 기능을 지원하지 않을 경우, 회의 주최자가 직접 참여자의 신원을 확인하고나서 회의를 시작해야 한다. 셋째, 대시보드(회의 참여자의 참여상황을 한 눈에 파악할 수 있는 화면)의 사용이 가능한 경우, 이러한 화면을 활용하여 참여자를 모니터링하고 익명의 청중(Guest)도 신원을 확인해야 한다. 넷째, 꼭 필요한 경우가 아니면 회의 내용을 녹화하지 말아야 한다. 다섯째, 화면 상에 민감한 문서 혹은 정보가 외부로 노출되지 않도록 해야 한다. 여섯째, 웹 기반의 화상회의인 경우 불필요한 기능(채팅, 파일 공유, PC화면 공유 등)은 비활성화해야 한다. 또한 공격자가 회의방 URL 혹은 회의 식별자(ID)를 추측하여 회의방에 무단 침입할 수 있기 때문에 이러한 일을 미연에 방지하기 위하여 PIN을 사용해야 한다. 마지막으로 PC화면을 공유할 수 있는 참여자를 제한하고, 참여자가 PC화면을 공유하기 전 민감한 정보가 부적절하게 공유되지 않도록 유의해야 한다.
한편, 화상회의 중 또는 화상회의 후 보안 고려사항 중 중요 회의 시에는 추가적인 보안 대책이 필요하다. 첫째, 회의 주최자는 대시보드 기능을 사용하여 모든 참여자의 상태를 항상 모니터링해야 한다. 둘째, 모든 참여자가 회의방 입장 후에는 회의방 잠금(locking)을 설정해야 한다. 셋째, 오직 회의 주최자만 PC화면을 공유할 수 있도록 제한해야 한다. 넷째, 회의 녹화 내용은 암호화하고, 복호화를 위해서는 암호구문을 사용하여야 하며, 화상회의 플랫폼 내 저장되는 녹화내용은 모두 삭제하도록 한다.
4. 맺음말
비대면 근무체계로 인해서 업무를 위한 공적 영역(Public Area)와 사적 영역(Private Area)의 구분이모호해지고, 원격 협업 도구의 도입이 증가됨으로 인해 원격 협업 도구를 통한 기업의 정보 유출 리스크도 어느 때보다 높아지고 있다. 화상회의 솔루션의 안전한 사용방법과 재택근무 시 지켜야 할 정보보호 수칙을 반드시 명심함으로써 안전한 비대면 근무 환경을 개인 스스로 조성할 필요가 있다.
한편 코로나19로 촉발된 재택근무의 확산은 기업의 보안관리부서에게 있어 무척 급작스럽고 당황스러운 일이지만 이러한 IT 환경의 변화에 슬기롭게 대응해서 다양한 솔루션 및 업무 프로세스를 안정적으로 도입해야 한다. 또한 무엇보다도 가장 중요한 것은 정보보호(Information Protection)을 위한 사슬(Chain)이 끊어지지 않도록 보안의 연속성을 확보하는 것이라는 것을 다시 한 번 명심해야 한다. 다양한 환경에서 근무하는 기업의 사용자들에게 보안이 적용된 신뢰성 높은 원격근무 환경을 제공하기 위해서는 원격 협업 도구 및 비대면 환경의 보안 수칙 및 보안 고려사항을 주기적으로 캠페인하고 이를 토대로 사용자 별 체크리스트를 수립해서 업무 연속성을 확보하는 동시에 기업의 정보유출도 최소화되도록 해야 한다.
References
1. 화상회의를 안전하게 이용하기 위한 보안 고려사항 안내, 2020. https://www.fsec.or.kr/
2. Zoom Caught in Cybersecurity Debate, 2020, https://thehackernews.com/
3. 화상회의 앱 ‘줌’의 프라이버시 논란과 보안 이슈, 2020, https://blog.naver.com/n_privacy