90일 보안 계획 진행 보고: 5월 20일

90일 보안 계획 진행 보고: 5월 20일

Zoom은 90일 계획에 따라 Zoom 플랫폼의 보안과 개인정보 보호를 개선하고 있습니다. 이번 주의 “Eric에게 무엇이든 물어보세요” 웹 세미나에서는 미팅 안전, Zoom Phone의 FedRAMP 승인, Zoom의 버그 바운티 프로그램에 초점을 맞춥니다.

Zoom의 CEO인 Eric S. Yuan은 이번 주에 Zoom의 CPO인 Oded Gal, Zoom의 법무 자문 대리이자 규정준수 및 윤리 책임자인 Lynn Haaland, 그리고 Luta Security의 창립자이자 CEO인 Katie Moussouris와 함께합니다. 질문과 답변 세션에는 Zoom CTO인 Brendan Ittelson와 전 Google 글로벌 개인정보 보호 기술 책임자인 Lea Kissner도 참석하였습니다. Lea Kissner는 Zoom에서 개인정보 보호 및 암호화에 대한 자문을 맡고 있습니다.

지난 주 업데이트 사항과 향후 몇 주간 예정된 계획은 다음과 같습니다.

이번 세션 핵심 사항

Zoom Phone, FedRAMP 인증 승인

금일 Zoom Phone에 대한 미국 FedRAMP의 인증이 승인되었음을 발표하였습니다. FedRAMP 인증에 따라 이제 미국 연방 정부기관과 계약업체는 보다 광범위한 인증을 득한 기존 정부용 Zoom 제품의 일부로서 Zoom Phone을 사용할 수 있게 되었습니다. 정부용 Zoom은 미국 정부기관을 대상으로 Zoom Meetings, Zoom Chat, Zoom 비디오 웹 세미나, 회의실 솔루션을 포함한 완전한 Zoom UCaaS 플랫폼을 제공하며 이제 Zoom Phone도 제공됩니다.

미팅 안전

Lynn Haaland는 악의를 지닌 사람들이 미팅을 방해하는 것을 방지하기 위해 Zoom이 과거 몇 달 간 해온 노력에 대해 이야기합니다. 여기에는 특정 사용자에 대한 기본값 보안 설정 추가(예: 암호, 대기실), 보안 아이콘에 미팅 내 보안 컨트롤을 표면화, 보고 메커니즘 추가, 법 집행기관 및 기타 온라인 플랫폼과의 긴밀한 협업, 보안 모범 사례에 대한 사용자 교육 등이 포함됩니다.

Lynn은 Zoom 미팅의 보안을 위한 다음과 같은 팁을 다시 한번 강조했습니다.

  • 미팅 ID 및/또는 암호를 공개적으로 공유하지 마십시오.
  • 대기실, 암호, 제한된 화면 공유와 같은 Zoom 보안 기본값 기능을 켠 상태로 유지합니다.
  • 비디오 비활성화, 참가자 음소거, 참가자 제외, 미팅 잠금과 같은 호스트 개인정보 보호 및 보안 기능에 대해 살펴봅니다.
  • 미팅 등록을 사용합니다.

Zoom Meetings은 대규모 이벤트나 인터넷에 초대를 포스팅하는 공개 이벤트를 위해 설계된 것이 아니라고 Lynn은 설명했습니다. 대신에, Zoom 비디오 웹 세미나의 사용을 적극 권장합니다. 웹 세미나의 경우 청중과 경험을 보다 폭넓게 컨트롤할 수 있습니다. 지원 페이지의 미팅과 vs 웹 세미나에서 상세 사항을 살펴보실 수 있습니다.

Zoom 버그 바운티 프로그램

Luta Security의 창립자 겸 CEO이자 Zoom의 보안 자문인 Katie Moussouris가 Zoom의 버그 바운티 프로그램 도입에 대해 이야기하였습니다. 버그 바운티 프로그램은 크라우드 소스 모델을 사용하여 버그를 찾아내고 보고하는 방식으로 작동하며 보안 연구자를 포함한 모든 사용자들의 참여에 의존합니다. Katie에 따르면 Zoom은 버그 바운티 프로그램에 변경 사항을 적용하기 전, 해당 프로그램의 최적화를 위해 보다 광범위한 피드백을 수렴할 계획입니다.

Zoom 5.0 공지

Zoom 5.0은 4월 27일부터 사용 가능하며, 시스템 전체 계정에 대한 고급 암호화 표준 256비트 GCM 암호화 활성화는 2020년 5월 30일에 시행됩니다. 그 이후에는 버전 5.0 이상의 Zoom 클라이언트만이 Zoom 미팅에 참여할 수 있으며 여기에는 Zoom Rooms도 포함됩니다. 아직 업데이트하지 않으셨다면 오늘 바로 Zoom 5.0로 업데이트하시거나 상위 버전으로 업데이트하실 것을 강력히 권장합니다. Zoom 관리자는 자체 환경 업데이트 관리를 위해 IT 관리자 페이지를 방문하셔야 합니다. 사용자는 zoom.us/testgcm에서 GCM 경험을 미리 확인할 수 있습니다.

이번 금요일에 엔드 엔드 암호화 설계 문서 공개

오는 금요일 Zoom은 GitHub에서 엔드 투 엔드 암호화 제품의 상세한 암호 설계 초안을 공개합니다. Zoom은 암호 전문가, 고객, 지지 단체 및 기타 관련자에게 최종 디자인 평가를 위한 피드백 요청 목적으로 간담회를 개최할 예정입니다.

질문과 답변

이번 주 웹 세미나에서 참석자들이 라이브로 질문한 사항은 다음과 같습니다.

보안 버그를 어떻게 신고하나요?

zoom.us/security를 방문하시거나 security@zoom.us로 이메일을 보내 주십시오.

Chromebook 사용할 경우 어떻게 Zoom 5.0 클라이언트를 다운로드하나요?

Chromebook 사용자는 Google 앱 스토어에서 Zoom Chromebook 애플리케이션을 다운로드하거나 언제나 최신 버전으로 제공되는 Zoom 웹 클라이언트를 사용할 수 있습니다.

사용자가 Zoom 신고할 경우 계정 관리자에게 알림이 전달되나요?

호스트나 공동 호스트가 미팅 참가자를 신고하기 위해 사용자 기능인 보고하기를 사용 할 경우 해당 신고는 Zoom의 신뢰 & 안전 팀으로 전달됩니다. 그러나 특정 상황에서 사용자 중 한명이 신고를 받을 경우, 향후에는 해당 계정 관리자에게 알림이 전달되도록 할 예정입니다.

호스트가 아닌 사람이 미팅을 녹화할 있나요?

호스트는 다른 참가자에게 녹화에 대한 액세스를 허용할 수 있습니다. 그러나 호스트의 동의 없이는 그 누구도 Zoom 녹화를 시작할 수 없습니다.

엔드 엔드 암호화에 대한 5 22일자 설계 초안에 대한 사항을 보다 자세히 알려주실 있나요?

5월 22일 공개될 초안은 엔드 투 엔드 암호화된 비디오 서비스 구축을 위한 Zoom의 계획과 설계를 제시합니다. 이 초안에는 실제 코드가 포함되지 않습니다. 엔드 투 엔드 암호화 제품을 개발하기 전에 피드백을 수집하고 평가하고자 합니다.

대기실에 있는 사용자의 신원 확인을 위한 비공개 채팅을 허용할 계획이 있나요?

Oded는 이 요청이 개선 요구 중 가장 많이 받는 요청 중 하나이며 Zoom의 로드맵에 포함되어 있다고 답변했습니다.

모두 음소거 해제 기능이 제거된 이유는 무엇인가요? 기능을 되돌릴 계획이 있나요?

사용자 인터페이스에서 모두 음소거 해제 기능을 제거한 이유는 호스트가 참가자의 동의 없이도 참가자를 음소거 해제할 수 있기 때문입니다. 향후 이 기능은 복구될 예정입니다. 그러나 호스트가 미팅 중 참가자의 음소거를 해제하기 위해서는 참가자의 동의가 필요할 것입니다.

성원에 감사드립니다

이번 주 세션에 참여해 주셔서 감사합니다. 질문을 하신 모든 분께도 감사드립니다! 전세계에서 가장 안전한 기업용 커뮤니케이션 플랫폼을 향해 나아가는 Zoom의 여정을 성원해 주셔서 감사합니다.

이번 주 세션을 놓치셨을 경우 아래에서 녹화본을 확인하실 수 있습니다.

Zoom에 대한 피드백이나 문의 사항이 있을 경우 answers@zoom.us로 이메일을 보내 주십시오. 그리고, 다음 주의 “Eric에게 무엇이든 물어보세요” 웹 세미나에 등록하는 것을 잊지 마세요.

게시물의 PDF 파일 다운로드하기

포스트 공유하는 것을 잊지 마십시오