CEO 리포트: 90일 계획 완료, Zoom의 차기 계획은?

CEO 리포트: 90일 계획 완료, Zoom의 차기 계획은?

2020년 초반 몇 달 간 Zoom 팀은 다양한 유형의 막대한 신규 사용자의 자사 플랫폼 유입에 대응하기 위해 밤낮으로 일했습니다. 갑작스러운 시스템 수요 증가는 그 어떤 기업도 겪어보지 못한 일이었습니다. 3월을 마무리하며 저희는 수백만 명의 일일 미팅 참가자에게 매끄러운 비디오 커뮤니케이션을 제공한다는 저희의 단 하나의 미션에 보안 및 개인정보 보호 역시 그만큼 중요한 사항으로 포함해야 한다는 것을 알게 되었습니다. 그리고 이 부분은 개선의 여지가 많은 부분이었습니다.

2020년 4월 1일, 저희는 보안 및 개인정보 보호를 위한 개선 사항을 다수 확보할 것을 약속했습니다. 이 날 발표한 90일 프로그램을 통해 Zoom은 기업의 DNA에 보안 및 개인정보 보호를 새기기 위한 7가지 약속에 다시금 초점을 맞추었습니다. 오늘 저는 이 개별 약속에 대한 상태 업데이트와 향후 Zoom이 나아갈 방향을 공유하고자 합니다.

약속 #1: 4월 1일부터 다른 기능에 관한 업무는 중단하고 Zoom에서 가장 중요하게 생각하는 신뢰, 안전성, 개인정보 보호 문제에 집중하도록 엔지니어링 인력 전원을 전환하겠습니다.

상태: 저희는 개인정보 보호, 안전, 보안과 관련이 없는 모든 기능을 90일간 동결했습니다. 모든 엔지니어링 및 제품 리소스를 총동원하여 이 방향을 목표로 나아갔으며, 다음을 포함하여 100개가 넘는 기능을 릴리스했습니다.

  • Zoom 5.0
    • 고급 암호화 표준 256 GCM 암호화(모든 무료/유료 사용자에게 적용)
    • UI 업데이트 – 보안 아이콘, 녹색 암호화 실드 및 데이터 센터 위치의 연결 링크
    • 사용자 신고
    • 미팅 기본값 – 암호, 대기실, 제한적인 화면 공유
    • 기타 기능 – 호스트의 다중 기기 로그인 비활성화 기능, 음소거 해제 동의, 클라우드 녹화 만료, Zoom Chat 컨트롤 강화 등
  • Keybase를 인수하고 엔드투엔드 암호화 구축 개시(모든 유료/무료 사용자에게 적용)
  • 지리에 기반한 사용자 지정 데이터 라우팅 제공

저희는 앞으로 Zoom의 제품 및 기능 개발의 모든 단계에 보안과 개인정보 보호를 최우선으로 하는 메커니즘을 도입합니다.

  • 설계 단계: 보안 요건, 리스크 평가, 위협 모델링
  • 구축: 보안 코드 가이드라인, 셀프서비스 스캔, CI/CD 도구
  • 테스트: 보안 테스트, 테스트 실행 자동화, 웹 테스트 도구
  • 스테이지: 보안 구성, 통합성 모니터링, 요건 검증
  • 프로덕션: 시스템 보안, 시스템 상태 및 위협 동향 모니터링

약속 #2: 모든 새로운 사용 사례의 보안 및 개인 정보보호를 이해하고 지킬 수 있도록 타사 전문가 및 사용자 대표와 함께 종합적인 검토를 실시하겠습니다.

상태: 저희는 제3자 전문가 그룹과 협업하며 Zoom의 제품, 관행 및 정책을 검토하고 개선했습니다. 이 과정에 CISO 자문 위원회, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology 및 개인정보 보호, 안전, 포용 부문의 기타 조직이 참여했습니다. 앞서 명시한 모든 분께서 너무나 큰 도움을 주셨고 깊이 감사드리고 있습니다.

약속 #3: 데이터와 녹화 및 콘텐츠 요청과 관련된 정보를 상세히 설명하는 투명성 보고서를 준비하겠습니다.

상태: Zoom에 전달된 데이터, 녹화, 콘텐츠 제공 요청과 관련한 상세한 정보를 제공하는 투명성 보고서의 프레임워크와 접근법을 정의함에 있어 상당한 진전을 이루었습니다. 저희는 첫 보고서에 올해 하반기에 발표할 회계연도 2분기 데이터를 제공할 날을 기다리고 있습니다. 한편 최근 Zoom은 정부의 요청에 대한 대응 방법에 관한 가이드도 작성했습니다. 또한 이해하기 쉽도록 개인정보 보호 정책을 업데이트하고, 별도로 캘리포니아 주 개인정보 처리방침도 추가했습니다. 이러한 문서는 zoom.com/privacy-and-legal에서 찾아보실 수 있습니다.

약속 #4: 현재의 버그 바운티 프로그램을 강화하겠습니다.

상태: 센트럴 버그 리포지토리를 개발하고 관련 워크플로 프로세스를 구축했습니다. 이 리포지토리는 Praetorian을 통해 구분된 HackerOne, Bugcrowd, security@zoom.us(후자의 경우 NDA 필요 없음)로부터 취약점을 수집합니다. 저희는 일일 미팅을 통해 지속적인 검토 프로세스를 구축했으며 보안 연구자 및 제3자 평가자와의 협력을 개선했습니다. 또한 취약성 및 버그 바운티 총괄과 다수의 애플리케이션 보안 엔지니어를 추가로 채용하였으며 더 많은 보안 엔지니어를 채용하는 과정 중에 있습니다. 이 모두는 취약성 처리를 전담할 것입니다. 한편 저희는 대응 시간 개선에도 주력했습니다. 전반적으로 Zoom의 버그 바운티 프로세스는 견고하지만, 추가 인원 채용을 통해 더욱 만전을 기할 수 있게 될 것입니다. 이 과정에 도움을 주신 Luta Security에 감사의 마음을 표합니다.

약속 #5: 보안 및 개인정보 보호 모범 사례에 대한 지속적 대화를 지원하기 위해 업계를 대표하는 CISO와 협력하여 CISO 위원회를 운영하겠습니다.

상태: 여러 업종의 CISO 36명으로 구성된 CISO 위원회를 개시했습니다. 여기에는 SentinelOne, 애리조나 주립대학, HSBC, Sanofi 등이 참여했습니다. CIO 대리 Gary Sorrentino가 이끄는 이 위원회는 지난 3개월간 네 차례 만남을 가졌으며 지역 데이터 센터 선택, 암호화, 미팅 인증 및 사용자 신고, 암호, 대기실과 같은 기능과 관련된 중요한 문제에 조언을 제공했습니다. 위원회는 성공적인 것으로 입증됐고 저희는 이 프로그램을 CISO 원탁 회의로 확장할 계획입니다. 이 회의에서는 CISO 고객과 Zoom의 보안팀 관리자가 Zoom 플랫폼의 보안 및 개인정보를 보호하기 위해서 이미 취한 조치와 향후 도입할 조치를 파악하도록 상호적인 논의를 진행할 것입니다. 관심이 있는 CISO 및 CIO는 Zoom 계정 담당자에게 연락하여 더 많은 정보를 얻으실 수 있습니다.

약속 #6: 문제를 더욱 깊이 파악하고 해결하기 위해 일련의 동시 화이트박스 침투 시험을 실시하겠습니다.

상태: Zoom은 Trail of Bits, NCC Group, Bishop Fox 등 여러 회사와 함께 Zoom 플랫폼을 전체적으로 검토했습니다. 작업 범위는 다음과 같습니다.

  • Zoom 프로덕션 환경(퍼블릭 및 공동 배치 데이터 센터 모두 포함):
    • 클라우드 구성
    • 외부 IP 공간
    • 내부 프로덕션 네트워크
  • Zoom 핵심 웹 애플리케이션 및 Zoom 기업 네트워크:
    • 내부 네트워크
    • 외부 네트워크 경계
  • 일반 클라이언트용 퍼블릭 API
    • 모바일 클라이언트
    • 데스크톱 클라이언트

Zoom은 보안 프로그램의 기초로서 지속적으로 제3자 침투 테스트를 시행합니다.

약속 #7: 개인정보 보호와 보안 업데이트 사항을 커뮤니티에 알리는 주간 수요 웹 세미나를 개최하겠습니다.

상태: 금일 웹 세미나를 포함하여, 4월 1일 수요일 이후 지금까지 총 13회의 웹 세미나를 개최했습니다. Zoom의 임원과 컨설턴트가 이러한 가상 이벤트에 참여하여 참석자로부터 라이브로 질문을 받았습니다. 또한 매주 수요일에 진행한 웹 세미나의 개요와 녹화를 블로그에 공유했습니다. 저희는 이러한 웹 세미나를 지속할 계획입니다. 다음 날짜는 7월 15일이며 이후에는 매월 개최됩니다.

기타 핵심 업데이트

Zoom은 몇 가지 추가적인 주목할 만한 단계를 밟았습니다.

  • 4월 1일 이후 다음과 같이 핵심 경영진 명단에 추가/변경이 있었습니다.
    • Aparna Bawa는 최고 운영 책임자로 취임했으며 이제 Zoom의 보안 활동을 감독
    • 법무 담당 부책임자이자 최고 규정준수 및 윤리 책임자인 Lynn Haaland도 최고 개인정보 보호 관리자로 취임
    • Josh Kallmer, 공공 정책 및 정부 관계 부문 글로벌 총괄
    • Ginny Lee, 어소시에이트 법무 자문, 개인정보 보호
    • Mara Davis, 어소시에이트 법무 자문, 규정준수 & 윤리
    • 취약성 및 버그 바운티 총괄, 7월 13일 발효
    • Andy Grant, 공격적 보안 총괄, 7월 13일 발효
  • 정부용 Zoom에 Zoom Phone이 추가되었고, 미국 연방 위험 및 인증 관리 프로그램(FedRAMP)의 승인 이미 취득
  • 저희는 미국 기반 엔지니어링팀을 크게 확대하여 애리조나주 피닉스, 펜실베니아주 피츠버그에 위치한 새 오피스의 더 많은 활용을 지원하고자 합니다.

향후 계획

고객의 신뢰에 보답하기 위해서 Zoom은 이번 기간 동안 유의미한 변화를 이루었고 플랫폼의 안전, 개인정보 보호, 보안은 Zoom의 모든 행동에 핵심 요소가 되었습니다. 저는 Zoom이 위기에 처한 전세계를 연결하는 역할을 하게 되었다는 점이, 그리고 지난 90일간 더 나은 플랫폼의 보안을 위해 Zoom 팀이 해낸 모든 것이 자랑스럽습니다.

그러나 저희는 여기에서 멈출수 없고 멈추지도 않을 것입니다. 개인정보 보호와 보안은 Zoom의 지속적 우선순위이며 결실을 이룬 90일 계획은 그저 첫 단계일 뿐입니다. 이 보고서를 통해 전세계에서 최고로 매끄럽고 안전한 비디오 커뮤니케이션 플랫폼이라는 목표를 향한 Zoom의 여정을 뒷받침할 새로운 프로세스와 사람들에 대한 정보를 전해드렸습니다.

사용자 여러분의 격려와 인내, 신뢰에 감사드립니다. 저희 회사의 핵심 가치는 보살핌입니다. 이 가치가 지난 90일간의 노력을 통해 전해졌기를 바라며 향후 활동을 통해 지속적으로 전달해 드리겠습니다.

포스트 공유하는 것을 잊지 마십시오