영상회의 Zoom 앱, 안전하게 사용하기

Zoom-bombing

코로나19 바이러스의 전세계적 대유행으로 화상 회의, 원격 강의 등 비대면 온라인 미팅 수요가 늘고 있다. 이런 분위기 속에 줌(Zoom) 사용자도 국내외에서 크게 늘고 있다. 또한 줌의 인기가 늘어남에 따라 이에 대한 해킹 시도도 늘고 있다.

어떤 소프트웨어든 버그 혹은 취약점은 있기 마련이다. 따라서 앱을 제때 업데이트해서 최신 버전으로 유지하는 것이 보안의 제1 계명이다.

근래 해킹과는 별개로, 줌 사용자의 부주의를 틈타, 허락없이 미팅에 참가해서 음란물, 욕설 등 악의적인 내용을 보여주는 일이 많이 일어나고 있다. 미팅 내용을 캡처해서 SNS에 함부로 퍼뜨리기도 한다. 이런 악행을 줌 폭격(Zoom-bombing)이라고 한다.

줌 폭격을 막기 위해서는 줌의 특성과 옵션을 잘 알고 적절히 사용해야 한다.

종단간 암호화가 아니다

Zoom meeting은 여러 사람이 참여해서 화면을 공유하기 때문에, 민감한 내용이 노출되지 않도록 조심해야 한다.

Host(줌 미팅의 주최자, 채팅방 개설자)는 Zoom session, 즉 화면과 소리를 포함한 모든 미팅 내용을 녹화할 수 있다. 이때 화면 상단에 'Recording'이라는 표시가 나오므로, Participants(미팅 참여자)는 녹화 중이라는 것을 알 수 있다.

각 참여자는 대화 기록(chat logs)을 다운로드해서 저장할 수 있다. 그 대상은 자신이 볼 수 있는 것에 한정된다. 다른 참여자들이 비밀리에 나눈 대화는 저장할 수 없다.

줌은 종단간 암호화(E2EE, End-to-End Encryption)를 지원하지 않는다는 점도 중요하다. 종단간 암호화는 트래픽을 암호화하는 키를, 서버가 아닌 각 사용자의 단말에 저장하는 방식이다. 암호화 키가 각 사용자에게 있기 때문에, 서버에서는 복호화를 할 수가 없다.

줌은 암호화 키가 서버에 보관되기 때문에, 사법 당국의 법 집행이나 줌 직원의 불법적인 접근에 의해 미팅 내용이 도청될 가능성이 있다. 물론 줌에는 직원의 임의적인 접근을 제어하는 여러 보안 장치가 있다.

미팅 암호 설정

줌에서 미팅을 새로 만들 때, Meeting ID가 필요하다. 또한 기본적으로 6자리 숫자 암호가 만들어 진다. 만약 암호를 설정하지 않으면, Meeting ID만으로 아무나 미팅에 들어올 위험이 있다. 따라서 'Require meeting password'가 잘 체크되어 있는지 확인해야 한다.

Meeting ID 자체를 불특정 다수에 노출되지 않도록 하는 것이 좋다. Meeting ID는 각 미팅마다 자동으로 생성되는 것이 있고, PMI(Personal Meeting ID)라는 각 계정에 영구적으로 부여된 것이 있다.

PMI는 중요한 개인 정보다. 만약 누군가가 PMI를 알면, 진행 중인 미팅 목록을 확인할 수 있다. 암호가 설정되지 않은 미팅에는 바로 참여할 수도 있다. 따라서 PMI는 다른 사람에게 알려주거나 공유하지 말아야 한다.

같은 이유로 미팅을 만들 때는 PMI를 사용하지 말고, 'Generate automatically'를 선택하는 것이 좋다.

설명을 위해서 혹은 인증샷으로 줌 미팅 화면을 캡처해서 올리는 경우가 있는데, 이때 Meeting ID가 노출되는 경우가 종종 있다. 조심해야 한다.

Waiting room과 Lock meeting

줌 미팅을 만들 때 대기실(waiting room) 기능을 설정할 수 있다. 이는 새로운 참여자가 있을 때, 일단 대기실에 입장하고, 호스트의 승인이 있어야 본 미팅에 참여할 수 있는 기능이다. 고급 설정에서 'Enable waiting room'을 체크하면 된다.

미팅 잠금(Lock meeting)은 예정된 참여자가 모두 입장했다고 생각되면, 더 이상 입장을 받지 않는 기능이다. 줌 툴바의 'Manage participants' 항목에서 설정할 수 있다.

이 두 기능은 무단 참여를 막는 데 효과적이다.

참여자간 화면 공유 금지

미팅의 목적에 따라 참여자 간에는 화면 공유가 필요하지 않을 수도 있다. 예컨대 비즈니스 미팅이라면 각 참여자 간에 화면 공유가 필요하겠지만, 원격 강의라면 그렇지 않다.

필수적이지 않은 경우에 참여자 간에는 화면 공유를 하지 않고, 오직 호스트와만 화면 공유를 하면 줌 폭격의 여지를 대폭 줄일 수 있다.

줌 툴바의 'Share screen' 항목에서 'Who can share'를 'Only host'로 설정하면 된다.

초대 링크 공개 금지

줌은 기본적으로 미팅 링크에 암호를 포함시킨다. 따라서 미팅 초대 링크를 받은 사람은 누구나 링크 클릭만으로 미팅에 참여할 수 있다.

이런 초대 링크를 공개적으로 포스팅하는 경우가 있는데, 이를 직접 보거나 구글 등 검색을 통해 알아낸 사람이 무단으로 미팅에 참여할 위험이 있다.

이는 바로 줌 폭격으로 이어질 수 있다. 초대 링크를 아무나 볼 수 있는 곳에 노출시켜서는 안된다.


참고 자료
  1. How to Secure Your Zoom Meetings from Zoom-Bombing Attacks

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다