원격화상회의 서비스가 코로나19로 인해 큰 인기를 끌고 있습니다. 이중에서 ZOOM(줌)은 엄청난 인기를 끌고 습니다. 줌은 50분 동안은 무료로 사용할 수 있기에 50분 동안 사용하다가 방폭하고 다시 방을 만들어서 사용할 수 있는 장점 때문에 참 많이 사용합니다. 그러나 보안이 약하다는 문제점이 드러나고 있습니다. 게다가 방의 비밀번호도 걸지 않거나 걸어도 너무 간단한 비밀번호로 낯선 사람들이 음란물을 틀거나 광고 영상을 틀고 도망가는 사람이 많다고 하네요.
미국 국가 안보국인 NSA는 줌, 마이크로소프트 팀즈, Slack 같은 원격 화상회의 서비스와 메시징 도구의 안전성을 평가하는 보고서를 발표했습니다. 평가 대상 원격 화상회의 서비스는 시스코 Webex, Dust, 구글 G Suite, GoToMeeting, Mattermost, Microsoft Teams, Signal, Skype for Business, Slack, SMS, 왓츠앱, Zoom입니다.
이 원경 화상회의 서비스의 8가지를 체크 테스트 했습니다.
1. 엔드 투 엔드로 암호화 구현을 하고 있는가
우리가 주고 받은 데이터들은 암호화 하지 않고 보낼 수도 있지만 암호화해서 보낼 수도 있습니다. 암호화를 하면 해커가 중간에 데이터를 가로채거나 들여다봐도 암호화된 데이터는 볼 수 없습니다. 반대로 암호화를 하지 않으면 해커가 드려다 볼 수 있습니다. 종단 간 암호화는 보안에 필수입니다.
2. 통신의 암호화는 강력하고 잘 알려진 테스트 가능한 암효화 표준에 근거하는가?
종단간 암호화가 되지 않아도 NSA가 강력한 암호화 기술을 사용을 권장하고 있습니다. TLS, DTLS, SRTP 등의 공개된 프로토콜을 표준으로 사용하는 것이 좋습니다.
3. 다단계 인증은 사용할 수 있습니까?
NSA는 각 도구를 이용하는데 코드와 토큰, 생체 인식 등의 다단계 인증을 사용해서 계정을 접속 허용하는 방식을 추천하고 있습니다.
4. 사용자 세션에 연결하는 사용자를 확인하고 제어할 수 있습니까?
NSA는 로그인 비밀번호와 대기실 등의 기능을 사용해서 세션에 대한 접속을 초대한 사람에게만 할 수 있고 초대를 제한하고 제어할 수 있는 지도 체크했습니다.
5. 개인 정보 보호를 타사 또는 계열사에 공유를 허용하고 있습니까?
영상회의 서비스에 등록한 가입자 연락처 정보 및 콘텐츠 등의 민감한 데이터를 보호할 수 있어야 합니다. 사용자 ID와 연관된 메타 데이터 장치 정보, 세션 기록 등의 다양한 정보가 3자와 공유되지 말아야 하며 만일 공유하더라도 개인 정보 보호 정책에 이를 표시해야 합니다.
6. 사용자는 클라이언트와 서버 모두에서 내 데이터를 안전하게 제거할 수 있습니까?
사용자가 공유한 파일이나 새션 정보를 서버와 내 PC에서 완벽하고 안전하게 제거할 수 있어야 하며 사용하지 않는 계정은 영구적으로 제거 할 수 있어야 합니다.
7. 오픈 소스로 개발되어 있습니까?
8. 미국 연방 정부의 보안 인증인 FedRAMP를 준수하고 있습니까?
위 이미지에서 상단 가장 왼쪽 Basic Functionally은 화상회의 서비스들의 기능 제공 여부입니다.
a는 텍스트 채팅, b는 음성 채팅, c는 영상 채팅, 파일 공유는 d, 화면 공유는 e입니다. 보시면 시스코 Webex가 모든 기능을 제공하네요. 문재인 대통령이 G20 정상들과 영상 회의할 때 사용한 것도 이 시스코 Webex라고하죠.
MS 팀즈는 음성 채팅을 뺀 텍스트 채팅, 영상 채팅, 파일 공유, 화면 공유가 가능합니다. 스카이프 포 비지니스도 동일하네요. Slack도 동일합니다. 줌은 텍스트, 음성,영상 채팅을 지원하지만 파일 공유는 안 되네요.
나머지 1~8 항목은 위 질문 8개에 대한 질문에 대한 Yes와 No로 표시했습니다. 당연히 Y가 많은 영상회의 서비스가 보안이 뛰어난 서비스입니다. 보면 MS 팀즈와 구글 G Suite가 강력한 암호화와 다단계 인증, FedRAMP를 준수하고 있습니다. 아쉬운 건 개인 데이터를 타사와 개발 회사와 공유하는 걸 약관에 명시하고 있네요. Slack은 PC와 서버에 있는 데이터를 자유롭게 삭제 할 수 없습니다.
줌은 FedRAMP를 준수하고 있지만 다단계 인증 시스템을 사용하지 않고 있습니다. 접속이 너무 쉬운 반면 너무 쉬워서 아무나 막들어올 수 있다는 문제점 때문에 많은 비판을 받고 있습니다. 앞으로도 화상 회의 서비스는 많은 기업들이 사용할 것으로 보입니다. 미국 NSA가 보안이 뛰어난 화상 회의 서비스인 MS 팀즈나 구글G Suite라고 딱 골라줬네요.
