줌 비디오 커뮤니케이션즈(Zoom Video Communications; 이하 줌)가 태평양표준시 기준 4월 1일 발표한 90일 보안 계획을 완료했다. 

에릭 S. 위안(Eric S. Yuan) 줌 CEO는 블로그 메시지를 통해 2020년 새해가 밝고 몇 개월 간 어마어마한 수의 다채로운 신규 사용자가 줌 플랫폼에 밀려 들었고, 줌 팀은 이들을 지원하기 위해 밤낮으로 일했다며, 전례 없는 시스템 폭증을 겪으며 특별한 경험을 했다고 전했다. 이에 줌은 ‘매일 수억 명의 회의 참가자에게 원활한 화상 커뮤니케이션 경험을 제공한다’는 단일 미션을 지니고 있었으며, 3월을 앞둔 시점, 원활한 경험을 제공하는 데 쏟아온 노력만큼 보안과 개인정보보호를 다뤄야 함을 깨달았다고 언급했다.

이에 4월 1일, 줌은 보안과 개인정보보호를 해결할 90일 프로그램을 발표했다. 이를 통해 줌은 일곱 가지 약속에 전념하고 줌의 DNA에 보안과 개인정보보호를 새겼으며, 에릭 S. 위안 줌 CEO는 오늘 블로그 글을 통해 일곱 가지 약속과 진행사항을 공유하고 향후 계획에 대해 발표했다.

약속 1. 4월 1일부터 모든 엔지니어링 리소스를 신뢰, 보안, 개인정보보호에 집중시킨다.

줌은 90일 동안 프라이버시, 안전, 보안 기능만 업데이트 했다. 엔지니어링, 제품 리소스를 쏟아 부은 결과, 지난 90일 동안 100개 이상의 기능을 발표했다. 대표적인 기능 업데이트는 다음과 같다.

줌 5.0

n AES 256 GCM 암호화 (유·무료 사용자 모두 사용할 수 있음)

n UI 업데이트 – 보안 아이콘, 녹색 암호화 쉴드 아이콘, 클릭을 통한 데이터센터 지역 선택

n 사용자 신고

n 회의실 기본설정 – 암호, 대기실, 화면 공유 제한

n 기타 – 다중 기기 로그인 비활성화, 음소거 해제 동의, 클라우드 녹화본 파기, 줌 채팅 제어 강화 등

l 키베이스 인수, 모든 유·무료 사용자를 위한 종단간 암호화 개발 착수

l 데이터 라우팅 지역 설정

줌은 한 걸음 더 나아가 향후 제품 및 기능 개발 전 과정에 보안과 개인정보보호를 우선순위로 두도록 다음과 같은 구조를 세웠다.

l 설계(Design) 단계: 보안 요구사항, 위험 평가, 위협 모델링

l 개발: 코드 가이드라인 준수, 셀프-서비스 스캐닝, CI/CD 도구

l 테스트: 보안 테스트, 자동 테스트 수행, 웹 테스트 툴

l 스테이지: 설정(configuration) 준수, 무결성 모니터링, 요구사항 입증

l 배포: 줌 시스템 보안, 시스템 건강상태, 위협 범위 모니터링

나머지 약속 여섯 가지는 다음과 같으며, 각 약속에 대한 이행 사항은 블로그 포스트 전문에서 확인할 수 있다.

약속 2. 외부 전문가 및 사용자 대표와 함께 포괄적인 검토를 실시하여 줌의 새로운 활용 사례에 대한 보안 및 개인정보보호의 이해를 도모하고 보장한다.

줌은 CISO 고문 위원회를 비롯한 여러 써드파티 전문가와 협력해 제품, 실행, 정책을 검토하고 개선시켰다.

약속3. 데이터, 회의 기록 또는 콘텐츠 요청에 관한 정보를 상세히 기술한 투명성 보고서(transparency report)를 마련한다.

프레임워크를 정의하는 과정에서 큰 발전을 경험했다. 줌이 받은 데이터, 회의 기록, 콘텐츠 요청에 관한 정보를 상세히 기술한 투명성 보고서에 대한 접근방식도 나아졌다. 회계연도 기준 2분기 데이터를 올해 말 첫 번째 투명성 보고서를 통해 공개할 수 있을 것으로 기대한다. 최근에는 정부 요청에 대한 응답 가이드를 마련했다. 뿐만 아니라, 개인정보보호 정책을 최대한 이해하기 쉽도록 업데이트 했다.

약속 4. 줌의 현 버그 바운티 프로그램을 개선한다.

줌은 중앙 버그 저장소(Central Bug Repository)와 연관 업무 과정을 개발했다. 해커원(HackerOne), 버그크라우드(Bugcrowd), security@zoom.ur에서 취약점 보고를 수집해 중앙 버그 저장소에서 관리한다. 매일 회의를 갖고 내용을 검토하며, 보안 리서치 담당자, 써드파티 평가자와 협업하는 방식도 개선했다. 취약점 및 버그 바운티 총괄자와 엔지니어도 고용했다. 전체적으로, 버그 바운티는 매우 견고하게 세워졌고 향후 더 많은 인재를 고용하면서 보다 강력해질 것이다.

약속 5. 보안 및 개인정보 보호 우수사례에 관한 지속적인 대화를 촉진하기 위해 업계 내 주요 CISO와 협력하여 CISO 협의회를 출범한다.

여러 업계에 종사하는 36명의 CISO로 구성된 CISO 협의회를 출범했다. 줌 CISO 협의회는 지난 3개월 간 4회 만남을 갖고 데이터센터 지역 선택, 암호화, 회의 인증 등에 대해 조언했다.

약속 6. 지속적인 화이트 박스 침투 테스트(penetration test: 합법적/윤리적 해킹)를 실시하여 문제를 식별하고 해결한다.

줌은 Trail of Bits, NCC 그룹, Bishop Fox 등 다양한 기업과 연계해 전체 플랫폼을 검토하고 있다. 검토 분야는 ▲줌 프로덕션 환경과 ▲줌 핵심 웹 애플리케이션 및 줌 기업 네트워크 ▲일반 클라이언트용 퍼블릭 API다.

약속 7. 매주 수요일 주간 웨비나를 열고 줌 사용자 커뮤니티에 개인정보보호 및 보안 업데이트를 제공한다.

태평양표준시 기준 7월 1일 수요일 웨비나까지, 4월 1일부터 매주 수요일 총 13번의 웨비나를 진행했다. 매주 온라인 이벤트에서 줌 임원과 컨설턴트가 참가자들과 실시간으로 질의응답을 나눴다. 또한, 매주 수요일 웨비나 내용을 정리해 블로그에 공유했다. 주간 웨비나는 7월 15일까지 진행하며, 이후 월간 웨비나로 변경한다.

이어서 줌이 앞으로 나아갈 방향에 대해서도 발표했다. 지난 90일은 줌에게 뜻 깊은 변화를 가져왔고, 고객의 신뢰에 부응하기 위해 최선을 다해 노력해 왔으며, 플랫폼 안전과 개인정보보호 및 보안을 최우선 과제로 삼았다. 줌이 위기에 직면한 세계를 연결하는데 중요한 역할을 한 점과 지난 90일 간 줌 팀이 더욱 안전한 플랫폼을 구현하기 위해 일궈온 모든 노력에 대해 자랑스럽고 겸허하게 생각한다고 소개됐다.

하지만 줌은 여기에서 멈추지 않고 많은 성과를 거둔 90일 보안 계획을 첫 걸음으로 삼아 앞으로도 보안과 개인정보보호를 우선순위에 둘 것이며, 이 리포트에서 공유한 새로운 진행사항과 인력을 원동력 삼아 줌은 세상에서 가장 안전하고 원활한 비디오 커뮤니케이션 플랫폼으로 나아가는 여정을 계속하겠다고 밝혔다. 

마지막으로  에릭 S. 위안(Eric S. Yuan) 줌 CEO는 줌 사용자가 보내준 지지와 인내, 믿음에 깊이 감사 드린다. 줌의 핵심 가치는 보살핌에 있다며, 90일의 보안 계획과 이행, 그리고 앞으로 이뤄낼 많은 일들로 그 가치가 전해지기를 바란다고 전했다.