2020.04.27

프라이버시와 보안을 지키는 ‘줌’ 사용 팁 9가지

Jim Martin | PC Advisor
화상회의 서비스인 줌(Zoom)은 코로나19로 사회적 격리가 확산됨에 따라 사용자가 급증했으나, 보안상의 결함이 발견되어 논란이 생겼다. 

줌은 신규 기능 개발을 중단하고 현 버전의 보안 개선에 집중한다는 90일 보안 계획을 발표했고, 23일 보안 기능을 추가한 줌 5.0 업데이트를 공개했다.
 
하지만 안티바이러스 소프트웨어 업체인 카스퍼스키(Kaspersky)는 코드 업데이트만으로 모든 보안 문제나 개인정보보호 문제를 해결할 수는 없다고 이야기한다. 사용자가 자신의 안전을 지킬 수 있는 줌 사용 팁을 살펴보자. 
 
ⓒ  Getty Images Bank

1. 업무용 이메일 주소 사용하기

단순히 줌 회의에 참여하는 것이라면 등록이 전혀 필요 없다. 하지만 줌 계정이 없으면 회의를 주최할 수 없는데, 이때 업무용 이메일을 쓰는 것이 좋다. 바이스(Vice)는 줌에서 일부 이메일 주쇼(@yandex.kz 등)을 같은 회사로 인식해 해당 이메일 주소를 다른 줌 사용자와 공유한다는 점을 발견했다. 

개인 이메일 대신 업무용 이메일을 쓴다면 해당 이메일 주소를 쓰는 사람들과 공유 되도 크게 문제가 없을 것이다.
 

2. 이중 인증 사용하기

줌은 이중 인증(Two-Factor Authentication, 2FA)을 지원한다. 이메일과 비밀번호만으로 로그인하는 것보다 훨씬 더 안전한 방식이다. 2FA는 모든 계정을 사용할 때 좋은 방식이지만, 줌을 사용할 때 특히 중요한 이유는 무엇일까? 

줌 계정에는 PMI(Personal Meeting Identifier)가 연결되어 있기 때문이다. 이 코드를 가진 사람이면 누구나 해당 계정 사용자가 주최하는 회의에 참여할 수 있다. 따라서 이 코드를 가능한 공개하지 않는 것이 좋다.
 

3. 회의 참가용 비밀번호 사용하기

PMI 코드를 가지고 무작위로 회의에 참여하는 것을 방지하기 위해 줌은 비밀번호를 기본으로 설정하도록 했다. 이를 무시할 수는 있지만, 비밀번호가 있다는 것은 회의에 불청객이 오지 않는다는 의미이기 때문에 꼭 사용하는 것이 좋다.
 

4. 소셜 네트워크에 회의 링크를 올리지 말 것

비밀번호가 있는 회의의 링크를 공유하면, 비밀번호가 링크에 임베디드되어 있다. 따라서 이 링크를 소셜 네트워크에 공유하거나 모르는 사람에게 공유해서는 안 된다.

최근 초대받지 않은 사람이 줌 회의에 들어가 훼방을 놓거나 부적절한 콘텐츠를 공유하는 줌바밍(Zoombombing)이라는 신조어가 등장하기도 했다. 따라서 회의 링크를 가능한 비공개로 유지하고 정말 회의에 참여해야 하는 사람과만 공유해야 한다. 
 

5. 대기실 사용하기

원래는 옵션이었던 이 기능이 이제 기본으로 바뀌었다. 회의 참석자들은 누구나 ‘대기실’에 먼저 입장해야 하고, 주최자가 승인해야 회의에 참여할 수 있다. 부적절한 사람이 있다면 주최자가 대기실에서 삭제할 수 있다.
 

6. 웹 버전 줌 사용하기

스릿포스트(Threatpost)는 4월 초 줌의 맥OS 버전에 해커가 사용자의 마이크와 웹캠에 액세스할수 있는 보안 취약점이 있음을 발견했다. 그리고 그 이전에는 웹사이트가 동의 없이 사용자를 회의에 초대할 수 있는 취약점도 발견됐다.

두 가지 문제 모두 수정된 상태지만, 구글은 여전히 직원들이 회사에서 제공된 노트북에서 업무 회의용으로 줌을 사용하는 것을 금지하고 있다. 

카스퍼스키 역시 여전히 취약점이 있으며 웹 버전을 사용하는 것이 더 안전하다고 권고한다. 샌드박스 처리되어 컴퓨터에 앱을 설치할 때와 같은 권한이 없기 때문이다.
 

7. 가짜 줌 앱 주의

공식 줌 앱의 보안 취약점이 문제라고 느끼는가? 가짜 앱은 더하다. 해커들은 이미 줌의 인기를 악용하기 위해 악성코드를 심은 가짜 앱을 만들었다.

카스퍼스키 보안 연구원인 데니스 배리노브는 줌을 비롯한 다른 화상 회의 앱의 이름으로 된 악성 파일의 수치가 3월에 비해 3배 증가했음을 확인했다. 가장 좋은 방법은 항상 zoom.us 공식 웹사이트를 이용하고 안드로이드나 아이폰, 맥의 공식 앱 스토어에서 앱을 다운로드받아 설치하는 것이다.
 

8. 디바이스 한 대에서만 줌 사용하기

웹 브라우저로 줌 회의를 하더라도 자동으로 줌 앱이 다운로드되고 설치되기 때문에 여분의 휴대폰이나 노트북 한 대에서만 줌을 사용하는 것도 좋은 방법이다.

비즈니스용 스카이프가 줌과 호환되므로, 스카이프를 통해서도 줌 회의에 참여할 수 있다.
 

9. 화상 회의의 완벽한 암호화를 기대하지 않기

줌은 엔드 투 엔드 암호화 기능을 광고했지만, 보안 연구원들은 이것이 거의 불가능하다는 사실을 발견했다. 인터셉트(Intercept)가 줌에 회의가 정말 엔드 투 엔드 암호화가 되느냐고 물었을 때, 줌은 줌 서버에 도달할 때까지만 암호화된다고 인정했다. 기술적으로는 전송 암호화 혹은 TLS 암호화 방식을 사용했던 것이다.

또한, 줌이 직접 사용자의 화상회의에 액세스할 수 있다는 주장도 제기됐다. 줌은 직접 액세스하지 않았고, 사용자의 데이터를 수집하거나 판매하지 않았다고 설명했다. 하지만 줌 회의를 통해 민감 정보 공유 가능성을 열어 두고 싶진 않을 것이다. editor@itworld.co.kr
 



2020.04.27

프라이버시와 보안을 지키는 ‘줌’ 사용 팁 9가지

Jim Martin | PC Advisor
화상회의 서비스인 줌(Zoom)은 코로나19로 사회적 격리가 확산됨에 따라 사용자가 급증했으나, 보안상의 결함이 발견되어 논란이 생겼다. 

줌은 신규 기능 개발을 중단하고 현 버전의 보안 개선에 집중한다는 90일 보안 계획을 발표했고, 23일 보안 기능을 추가한 줌 5.0 업데이트를 공개했다.
 
하지만 안티바이러스 소프트웨어 업체인 카스퍼스키(Kaspersky)는 코드 업데이트만으로 모든 보안 문제나 개인정보보호 문제를 해결할 수는 없다고 이야기한다. 사용자가 자신의 안전을 지킬 수 있는 줌 사용 팁을 살펴보자. 
 
ⓒ  Getty Images Bank

1. 업무용 이메일 주소 사용하기

단순히 줌 회의에 참여하는 것이라면 등록이 전혀 필요 없다. 하지만 줌 계정이 없으면 회의를 주최할 수 없는데, 이때 업무용 이메일을 쓰는 것이 좋다. 바이스(Vice)는 줌에서 일부 이메일 주쇼(@yandex.kz 등)을 같은 회사로 인식해 해당 이메일 주소를 다른 줌 사용자와 공유한다는 점을 발견했다. 

개인 이메일 대신 업무용 이메일을 쓴다면 해당 이메일 주소를 쓰는 사람들과 공유 되도 크게 문제가 없을 것이다.
 

2. 이중 인증 사용하기

줌은 이중 인증(Two-Factor Authentication, 2FA)을 지원한다. 이메일과 비밀번호만으로 로그인하는 것보다 훨씬 더 안전한 방식이다. 2FA는 모든 계정을 사용할 때 좋은 방식이지만, 줌을 사용할 때 특히 중요한 이유는 무엇일까? 

줌 계정에는 PMI(Personal Meeting Identifier)가 연결되어 있기 때문이다. 이 코드를 가진 사람이면 누구나 해당 계정 사용자가 주최하는 회의에 참여할 수 있다. 따라서 이 코드를 가능한 공개하지 않는 것이 좋다.
 

3. 회의 참가용 비밀번호 사용하기

PMI 코드를 가지고 무작위로 회의에 참여하는 것을 방지하기 위해 줌은 비밀번호를 기본으로 설정하도록 했다. 이를 무시할 수는 있지만, 비밀번호가 있다는 것은 회의에 불청객이 오지 않는다는 의미이기 때문에 꼭 사용하는 것이 좋다.
 

4. 소셜 네트워크에 회의 링크를 올리지 말 것

비밀번호가 있는 회의의 링크를 공유하면, 비밀번호가 링크에 임베디드되어 있다. 따라서 이 링크를 소셜 네트워크에 공유하거나 모르는 사람에게 공유해서는 안 된다.

최근 초대받지 않은 사람이 줌 회의에 들어가 훼방을 놓거나 부적절한 콘텐츠를 공유하는 줌바밍(Zoombombing)이라는 신조어가 등장하기도 했다. 따라서 회의 링크를 가능한 비공개로 유지하고 정말 회의에 참여해야 하는 사람과만 공유해야 한다. 
 

5. 대기실 사용하기

원래는 옵션이었던 이 기능이 이제 기본으로 바뀌었다. 회의 참석자들은 누구나 ‘대기실’에 먼저 입장해야 하고, 주최자가 승인해야 회의에 참여할 수 있다. 부적절한 사람이 있다면 주최자가 대기실에서 삭제할 수 있다.
 

6. 웹 버전 줌 사용하기

스릿포스트(Threatpost)는 4월 초 줌의 맥OS 버전에 해커가 사용자의 마이크와 웹캠에 액세스할수 있는 보안 취약점이 있음을 발견했다. 그리고 그 이전에는 웹사이트가 동의 없이 사용자를 회의에 초대할 수 있는 취약점도 발견됐다.

두 가지 문제 모두 수정된 상태지만, 구글은 여전히 직원들이 회사에서 제공된 노트북에서 업무 회의용으로 줌을 사용하는 것을 금지하고 있다. 

카스퍼스키 역시 여전히 취약점이 있으며 웹 버전을 사용하는 것이 더 안전하다고 권고한다. 샌드박스 처리되어 컴퓨터에 앱을 설치할 때와 같은 권한이 없기 때문이다.
 

7. 가짜 줌 앱 주의

공식 줌 앱의 보안 취약점이 문제라고 느끼는가? 가짜 앱은 더하다. 해커들은 이미 줌의 인기를 악용하기 위해 악성코드를 심은 가짜 앱을 만들었다.

카스퍼스키 보안 연구원인 데니스 배리노브는 줌을 비롯한 다른 화상 회의 앱의 이름으로 된 악성 파일의 수치가 3월에 비해 3배 증가했음을 확인했다. 가장 좋은 방법은 항상 zoom.us 공식 웹사이트를 이용하고 안드로이드나 아이폰, 맥의 공식 앱 스토어에서 앱을 다운로드받아 설치하는 것이다.
 

8. 디바이스 한 대에서만 줌 사용하기

웹 브라우저로 줌 회의를 하더라도 자동으로 줌 앱이 다운로드되고 설치되기 때문에 여분의 휴대폰이나 노트북 한 대에서만 줌을 사용하는 것도 좋은 방법이다.

비즈니스용 스카이프가 줌과 호환되므로, 스카이프를 통해서도 줌 회의에 참여할 수 있다.
 

9. 화상 회의의 완벽한 암호화를 기대하지 않기

줌은 엔드 투 엔드 암호화 기능을 광고했지만, 보안 연구원들은 이것이 거의 불가능하다는 사실을 발견했다. 인터셉트(Intercept)가 줌에 회의가 정말 엔드 투 엔드 암호화가 되느냐고 물었을 때, 줌은 줌 서버에 도달할 때까지만 암호화된다고 인정했다. 기술적으로는 전송 암호화 혹은 TLS 암호화 방식을 사용했던 것이다.

또한, 줌이 직접 사용자의 화상회의에 액세스할 수 있다는 주장도 제기됐다. 줌은 직접 액세스하지 않았고, 사용자의 데이터를 수집하거나 판매하지 않았다고 설명했다. 하지만 줌 회의를 통해 민감 정보 공유 가능성을 열어 두고 싶진 않을 것이다. editor@itworld.co.kr
 

X