90일 보안 계획 진행 보고: 6월 24일

90일 보안 계획 진행 보고: 6월 24일

Zoom 플랫폼의 보안 및 개인정보 보호 개선을 위한 90일 계획을 진행하는 가운데, 금주의 “Eric에게 무엇이든 물어보세요” 웹 세미나에서는 최근의 제품 보안 업데이트를 주로 다룹니다. 여기에는 버그 바운티 프로그램을 둘러싼 노력과 5.1.1 클라이언트 릴리스 관련 업데이트 내용이 포함됩니다.

Zoom의 CEO Eric S. Yuan, 제품 및 엔지니어링 대표이사 Velchamy Sankarlingam, CPO인 Oded Gal, 제품 보안 총괄 Randy Barr가 함께 합니다.

질문과 답변 세션에는 Zoom의 CTO인 Brendan Ittelson, 보안 자문 Alex Stamos, Zoom의 법률 자문이자 규정준수 및 윤리 최고 책임자인 Lynn Haaland가 참여했습니다.

CISO Jason Lee 소개

Eric은 2020년 6월 29일자로 Jason Lee가 새로운 최고 정보보안 책임자로서 Zoom에 합류하게 되었음을 알리며 웹 세미나를 시작했습니다. Salesforce의 보안운영 담당 수석 부사장과 Microsoft의 보안 엔지니어링 담당 수석 디렉터를 역임한 Jason은 정보보안 및 미션크리티컬 서비스 운영 측면에서 20여년의 전문성을 확보하고 있습니다. Jason은 Zoom 제품의 보안과 개인정보 보호 개선을 위한 지속적 노력의 일부로 보다 안전한 플랫폼을 구축하는 과정에서 핵심적인 역할을 하게 됩니다.

제품 업데이트

이번 주말, Zoom은 5.1.1 클라이언트와 웹 릴리스를 출시합니다. 그에 따른 변화는 다음과 같습니다.

  • 중앙 집중적으로 관리하는 가상 백그라운드: 계정 관리자는 사전 승인된 백그라운드 목록 중에서 사용자가 선택하도록 하여 조직에서 사용하는 가상 백그라운드를 관리할 수 있습니다.
  • 미팅 설정을 위한 포털 보안 헤더: 웹 포털의 미팅 설정에 보안 헤더를 표시하여 암호, 대기실, 인증 방법과 같은 보안 관련 설정을 한 곳에 모아 찾기 쉽도록 하였습니다.
  • Zoom 채팅 업데이트 사항: 사용자는 외부 연락처로부터 본인의 참석여부를 숨길 수 있으며, 외부 사용자가 새 사용자를 채널이나 그룹 채팅에 추가하는 것을 차단할 수 있습니다.

Velchamy Sankarlingam 소개

Eric은 VMware의 클라우드 서비스 개발 및 운영 부문의 수석 부사장을 지냈으며 제품 및 엔지니어링 대표이사로 Zoom에 합류한 Velchamy Sankarlingam를 소개하였습니다. 20년이 넘는 경력을 보유한 클라우드 및 협업 소프트웨어 분야의 베테랑으로서 Velchamy는 풍부한 경험과 지식을 Zoom에 선사하게 되었습니다. 저희는 Velchamy가 Zoom의 제품, 엔지니어링 및 개발/운영을 관장하게 되어 기쁘게 생각합니다.

새로운 미팅 보안 요건

7월 19일 이후 유료 계정과 무료 계정의 모든 미팅은 보다 안전하고 보안이 강화된 미팅 보장을 위해 패스코드나 대기실 기능을 활성화해야만 합니다. 둘 중 한 기능이 활성화되지 않은 경우 Zoom은 자동으로 대기실을 활성화합니다. 이미 패스코드나 대기실을 활성화했다면 미팅 예약 시 변경되는 사항은 없습니다. 기존 미팅에 패스코드를 추가할 경우 암호를 포함한 캘린더 초대를 재전송해야합니다. 반면, 패스코드를 활성화한 새 미팅의 미팅 초대에는 암호가 자동으로 포함됩니다. 대기실을 활성화할 경우 미팅 예약 방식에는 변화가 없습니다.

버그 바운티 프로그램 관련 업데이트 사항

Randy는 버그 바운티 및 취약성 공개 프로그램 업데이트 사항을 공유했습니다. 90일 계획의 일부로 Zoom은 내부 취약성 프로세스 과정과 Zoom이 사용하는 버그 바운티 플랫폼의 효율성을 평가해왔습니다. 버그 바운티 프로그램과 취약성 공개 노력을 개선하고자 Zoom은 ISO 29147과 ISO 30111에 의거하여 센트럴 버그 리포지토리(Central Bug Repository)와 관련 워크플로 프로세스를 개발했습니다. 이 리포지토리는 Praetorian을 통해 구분된 HackerOne, Bugcrowd, security@zoom.us(후자에는 NDA 필요 없음)의 의견을 수집합니다. 저희는 일일 미팅을 통해 지속적인 검토 프로세스를 구축했으며 보안 연구자 및 제3자 평가자와의 협력을 개선했습니다.

질문과 답변

Zoom 버그 바운티를 어떻게 신고하나요?

버그 바운티 제출은 security@zoom.us로 송부하시면 됩니다. 전문 팀이 모든 제출을 검토하고 문제 해결을 위한 담당자를 할당합니다.

아직도 유료 무료 계정에 암호화를 제공하나요?

예. 유료 및 무료 계정의 모든 미팅은 고급 암호화 표준 256비트 GCM 암호화로 암호화됩니다. Zoom은 무료 및 유료 계정에서 사용 가능한 미팅의 엔드투엔드 암호화도 제공하여 보안성이 높은 미팅 환경을 구축할 예정입니다.

Zoom 사용자 데이터를 수집하거나 판매하나요?

고객이 Zoom 플랫폼을 사용할 때 Zoom은 IP 주소와 같이 서비스 제공에 필요한 정보를 수집합니다. 그러나 Zoom은 절대로 사용자 데이터를 판매한 적이 없으며 앞으로도 판매하지 않을 것입니다.

관리자가 전체적으로 패스코드나 대기실 설정을 초기화하는 옵션을 Zoom 추가할 있나요?

계정 관리자로서 이러한 설정을 계정 수준에서 활성화할 수 있으며 잠글 수도 있습니다. 이를 통해 기본값으로 모든 미팅과 사용자의 보안 설정을 활성화할 수 있습니다. 그룹 또는 사용자 수준에서 패스코드 및 대기실 기능을 활성화하는 것도 가능합니다.

대기실은 어떻게 작동하나요?

대기실이 활성화되면 참가자는 가상의 로비로 이동되며, 호스트는 미팅에 참여하고자 하는 사람이 누구인지 확인하고 개별적으로 또는 전체적으로 미팅 참가를 승인할 수 있습니다. 대기실 기능은 계정, 그룹, 사용자 또는 미팅 수준에서 활성화할 수 있습니다.

성원에 감사드립니다

이번 주 세션에 참여해 주셔서 감사합니다. 질문을 하신 모든 분께도 감사드립니다! 전세계에서 가장 안전한 기업용 커뮤니케이션 플랫폼을 향해 나아가는 Zoom의 여정을 성원해 주셔서 감사합니다.

이번 주 세션을 놓치셨을 경우 아래에서 녹화본을 확인하실 수 있습니다.

Zoom에 대한 피드백이나 문의 사항이 있을 경우 answers@zoom.us로 이메일을 보내 주십시오. 그리고, 다음 주의 “Eric에게 무엇이든 물어보세요” 웹 세미나에 등록하는 것을 잊지 마세요.

포스트 공유하는 것을 잊지 마십시오