2020.04.09

“화상회의 보안을 생각한다면?” 절대 하지 말아야 할 설정과 행동들

Keith Shaw | Computerworld
특정 기술이 빠른 속도로 인기를 끌면, 이 기술에 익숙하지 않거나 신참인 사용자를 악용하려는 악당들도 늘어난다. 화상회의 서비스와 애플리케이션 분야에서 이런 일이 일어나고 있다. 인기 있는 줌 앱이 하이재킹 당하는, 이른바 ‘줌 폭격’이 이를 알려주는 증거이다. 

포르노와 혐오를 일으키는 사진, 위협적인 표현 등으로 회의가 방해를 받는 사건사고가 여러 건 발생하면서, 미국 FBI 보스턴 지국은 최근 화상회의 보안 공격에 대해 경고하는 조치를 취했다. 보안 전문가이자 탐사 보도 전문 언론인인 브라이언 크렙스는 줌 비밀번호와 관련된 문제, 해커가 어떻게 ‘워 다이얼링(War Dialing)’ 기법을 악용해 줌 회의의 회의 ID와 비밀번호를 찾아내는지를 자세히 보도했다.

회의가 하이재킹 당하면 당연히 참가자들이 방해를 받는다. 그러나 더 위험한 위협이 있다. 존재를 드러내지 않고 회의 플랫폼에 숨어있는 침입자들이다. 이들은 기업 보안과 개인 프라이버시에 악몽이나 다름없다.

워싱턴 포스트는 또 다른 악몽을 드러냈다. 줌으로 진행된 수많은 사적 회의 기록이 공개 웹에서 발견된 것이다. 줌은 더 버지와의 인터뷰에서 줌 서버는 침해당하지 않았으며, 사용자들이 다른 클라우드 스토리지 서비스에 비디오를 업로드했을 확률이 높다고 설명했다. 그러나 회의 기록에 기본 설정된 명명법(Naming Convention)을 사용했기 때문에 쉽게 검색할 수 있었다.
 

화상회의 보안 단속을 위해 할 일, 하지 말아야 할 일

좋은 소식은 이런 사고가 일어나지 않도록 보안 설정 기능을 지원하는 화상회의 제품이 많다는 것이다. 나쁜 소식은 보안 설정을 구성할 수 있도록 사용자에게 보안 교육이나 훈련이 제공되어야 하는데, 그렇지 않은 경우가 많다는 것이다.

자, 화상회의를 안전하게 진행할 때 도움이 될 내용을 소개한다. 미국 FBI는 자문 업무의 일환으로 화상회의 서비스를 사용하는 기업, 학교, 개인에 안전과 보안에 관한 팁을 제공했다. 여기에 보안 전문가와 조언을 더해 화상회의 보안을 위해서 해야 할 일, 하지 말아야 할 일을 목록으로 만들었다.

일반용 소프트웨어를 사용하지 않는다. 또는 이런 일반용 소프트웨어로 비즈니스 회의를 계획하지 않는다. 일반 개인 사용자 등급 도구에는 보안에 필요한 관리 도구가 충분히 ㅣ포함되어 있지 않을 가능성이 높다. 100% 위협에서 안전한 화상회의 서비스는 존재하지 않지만, 그럼에도 기업용 제품의 보안 도구가 더 완전하다. 최근 기업용 보안 도구도 향후 몇 달 동안 무료로 고급 기능을 제공하고 있다.

화상회의 소프트웨어의 대기실 기능을 이용한다. 회의 전에 참가자를 별도의 가상 공간으로 안내하는 기능이다. 회의 주최자가 이 대기 인원을 살펴보고 자격이 있는 사람만 입장을 승인할 수 있다.

비밀번호 보호 기능을 활성화한다.  이제 줌은 회의실 ID에 더해 비밀번호까지 자동 생성 기능을 제공하기 시작한다. 사용하는 서비스가 회의 ID 번호나 일련번호를 제공하는지 확인하자. 별도의 비밀번호나 PIN을 쓸 수 있는지 확인한다. 서비스에 회의용 비밀번호를 생성하는 기능이 있다면, 비밀번호 모범 사례를 적용한다. ‘123456’ 같이 쉽게 추측할 수 있는 비밀번호가 아니라 임의의 숫자, 문자, 기호를 섞어 사용해야 한다.

원격회의나 세미나 링크를 소셜 미디어로 공유하지 않는다. 필요할 때는 화상회의 소프트웨어에서 직접 참가자를 초대하고 이들에게 링크를 공유하지 말라고 안내한다.

참가자들이 화면을 공유하지 못하도록 기본 값을 설정한다. 소프트웨어는 회의 주최자가 스크린 공유 기능을 관리하는 설정 항목을 제공해야 한다. 주최자는 회의가 시작된 후, 필요할 때 특정인의 화면 공유를 허용할 수 있다.

굳이 필요하지 않다면 전화 통화나 호출에 영상, 화상 기능을 사용하지 않는다. 웹캠을 끄고 오디오만 이용하면 배경 물체를 통해 정보를 수집하는 소셜 엔지니어링 공격을 막을 수 있다. 또한 인터넷의 네트워크 대역폭도 절약하고 회의의 품질을 향상시킬 수 있다.

최신 버전 소프트웨어를 사용한다. 구 버전에서는 보안 취약점이 악용될 확률이 훨씬 더 높다. 예를 들어, 줌은 최근 반드시 비밀번호로 회의를 보호하도록 소프트웨어를 업데이트했다. 또 개발자가 프라이버시와 보안 취약점 해결에 초점을 맞출 수 있도록(향후 더 많은 업데이트 배포 예정) 새 기능 개발 작업을 중지했다. 따라서 참가자가 최신 소프트웨어 버전을 사용하고 있는지 재차 확인해야 한다
.
공격자가 침입할 수 있거나, 제멋대로 행동하면 참가자를 회의에서 내보낸다. 같은 방법으로 재참여를 막는다.

모든 참가자가 소집된 후에는 회의 출입을 막는다. 그러나 자격이 있는 참가자가 빠질 경우에는 잠금을 해제하고, 참가자가 모두 출석하면 가상 회의실을 다시 잠근다.

필요하지 않을 경우에는 회의를 녹화해 기록하지 않는다. 기록할 경우에는 모든 참가자에게 기록 사실을 알린다(소프트웨어에서 안내할 수 있어야 하지만, 직접 알려주는 것도 좋음). 또한 기록을 고유한 이름으로 저장한다.

회의의 보안을 강화하기 위해 주최자가 될 수 있는 모든 직원을 교육한다. 기업이 사용하는 소프트웨어에 적용해야 할 구체적인 방법과 대책을 안내해야 한다.

보안 인식 제고 트레이닝 업체 위저(Wizer) CEO 가브리엘 프리드랜더는 링크드인에 업무와 개인 회의 여부에 상관없이, 줌 사용자가 적용해야 할 보안 설정에 대한 권장사항을 게시했다. 다음은 이를 요약한 내용이다.

-    [Participants Video(참가자 영상)]를 비활성화한다. 참가자의 참여를 승인한 후 다시 켤 수 있다.
-    [Join before host(호스팅 전 참여)]를 비활성화한다.
-    [Use Personal Meeting ID (PMI) when scheduling a meeting(회의 일정을 수립하거나 예약할 때 PMI를 사용)]을 비활성화한다.
-    [Use Personal Meeting ID (PMI) when starting an instant meeting(즉석 회의를 시작할 때 PMI를 사용)]을 비활성화한다.
-    [Require a password when scheduling new meetings(새 회의 일정을 수립하거나 예약할 때 비밀번호 필요)] 설정을 활성화한다.
-    [Mute participants upon entry(입장 시 참가자 소거)]를 활성화한다.
-    [Play sound when participants join or leave(참가자가 참여하거나 떠날 때 사운드 재생] 기능을 켠다(호스트만 들을 수 있음).
-    호스트만을 대상으로 [Screen Sharing(스크린 공유)]를 켠다.
-    [Annotation(주석 달기)] 기능을 끈다.
-    [Breakout room(휴게실)]을 켠다. 호스트가 참가자에게 휴게실 예약을 할 수 있도록 허용한다.
-    고급 설정에서 [Waiting Room(대기실)] 기능을 켜야 한다. 

이 목록은 줌의 설정 항목이지만, 다른 화상회의 소프트웨어도 설정 환경은 유사할 것이다. 만일 그렇지 않다면, 더 안전한 제품으로 바꾸는 것이 좋다.
 

보안과 사용 편의성을 모두 균형 있게 챙기기

줌 같은 화상회의 서비스가 인기를 끄는 이유 중 하나는 기술을 자주 쓰지 않는 많은 최종 사용자도 손쉽게 사용할 수 있기 때문이다.

사이버보안 인식 제고 트레이닝을 제공하는 1:M 사이버 시큐리티 창업자 레자 자헤리는 “사람들은 단순한 기술을 좋아한다. 특히 글로벌 팬데믹 같이 스트레스를 많이 받는 시기에는 더 그렇다. 기술 제품은 항상 보안과 사용 편의성의 균형을 잡는 것이 중요했다. 일반화를 하자면, 대다수 보통 사람들은 제품에서 보안과 프라이버시 부문을 신경 쓰고 싶어하지 않는다. 보안과 프라이버시 기능이 제품에 탑재되어 있고, 심지어 사용자에게 홍보되고 있지만, 대부분은 이런 설정을 구성하지 않는다. 일반 사용자들은 누군가 백엔드에서 자신을 대신해 관리할 것이라고 가정한다”고 지적했다.

줌은 블로그 게시물과 영상으로 회의 보안에 대한 안내를 제공하고 있다. 그러나 여전히 회의 보호 및 보안에 대한 책임은 사용자에게 있다.

자헤리는 소프트웨어 제품에 보안이 기본값으로 설정되어 있어야 한다고 강조했다. 이 설정을 바꾸려고 시도할 경우, 변경이 위험한 이유를 사용자에게 설명해주는 경고 메시지가 표시되어야 한다.

또, “기술을 잘 모를 수 있는 재택 근무자 대부분은 기본값으로 보안과 프라이버시가 설정 및 활성화되어 있는 것을 선호할 것이다. 이들은 업체가 미리 보안과 프라이버시 설정을 구성해 놓아서 바로 프로그램을 사용할 수 있는 상태를 원한다”고 설명했다.
 

새로운 기술 사용자를 교육하라

위저의 프리드랜더는 코로나19 팬데믹 위기로 재택근무나 재택교육이 증가하면서 화상회의 서비스를 표적으로 삼는 해킹 시도 또한 증가했다고 지적했다.

그는 “해커와 사이버 범죄자의 사고방식은 마케터와 같다. 항상 트렌드와 트렌드를 악용할 방법을 찾는다. 현재의 트렌드는 줌과 재택근무, 코로나 바이러스이며 그래서 새로운 위협이 다수 등장했다. 사람들이 과거 어느 때보다 기술을 필요로 하기 때문에, 다수에게 영향이 미칠 것”이라고 경고했다.

과거 보안 위협과 다른 점은 새로운 기술 사용자라는 물결이 나타난 것이다. 학생, 교사, 가족 구성원, 태권도 도장과 피트니스 센터, 댄스 스튜디오 같은 소규모 사업자도 IT나 보안 지원을 받지 않는 상태에서 수업 등에 화상회의 제품을 널리 사용한다. 과거에는 이메일이나 트위터 메시지로 보안 교육 정보를 제공했는데, 새로운 청중이 알 수 있도록 확대할 필요가 있다.

프리드랜더는 “이들 새로운 사용자에게 도달하려면, 이들이 쓰는 채널에서 교육해야 한다. 이미 IT 및 보안 전문가들이 틱톡(TikTok)를 활용하고 있다. 내용은 동일하더라도 신규 화상회의 사용자를 위해 전달 방식을 조정해야 한다”고 강조했다. editor@itworld.co.kr


2020.04.09

“화상회의 보안을 생각한다면?” 절대 하지 말아야 할 설정과 행동들

Keith Shaw | Computerworld
특정 기술이 빠른 속도로 인기를 끌면, 이 기술에 익숙하지 않거나 신참인 사용자를 악용하려는 악당들도 늘어난다. 화상회의 서비스와 애플리케이션 분야에서 이런 일이 일어나고 있다. 인기 있는 줌 앱이 하이재킹 당하는, 이른바 ‘줌 폭격’이 이를 알려주는 증거이다. 

포르노와 혐오를 일으키는 사진, 위협적인 표현 등으로 회의가 방해를 받는 사건사고가 여러 건 발생하면서, 미국 FBI 보스턴 지국은 최근 화상회의 보안 공격에 대해 경고하는 조치를 취했다. 보안 전문가이자 탐사 보도 전문 언론인인 브라이언 크렙스는 줌 비밀번호와 관련된 문제, 해커가 어떻게 ‘워 다이얼링(War Dialing)’ 기법을 악용해 줌 회의의 회의 ID와 비밀번호를 찾아내는지를 자세히 보도했다.

회의가 하이재킹 당하면 당연히 참가자들이 방해를 받는다. 그러나 더 위험한 위협이 있다. 존재를 드러내지 않고 회의 플랫폼에 숨어있는 침입자들이다. 이들은 기업 보안과 개인 프라이버시에 악몽이나 다름없다.

워싱턴 포스트는 또 다른 악몽을 드러냈다. 줌으로 진행된 수많은 사적 회의 기록이 공개 웹에서 발견된 것이다. 줌은 더 버지와의 인터뷰에서 줌 서버는 침해당하지 않았으며, 사용자들이 다른 클라우드 스토리지 서비스에 비디오를 업로드했을 확률이 높다고 설명했다. 그러나 회의 기록에 기본 설정된 명명법(Naming Convention)을 사용했기 때문에 쉽게 검색할 수 있었다.
 

화상회의 보안 단속을 위해 할 일, 하지 말아야 할 일

좋은 소식은 이런 사고가 일어나지 않도록 보안 설정 기능을 지원하는 화상회의 제품이 많다는 것이다. 나쁜 소식은 보안 설정을 구성할 수 있도록 사용자에게 보안 교육이나 훈련이 제공되어야 하는데, 그렇지 않은 경우가 많다는 것이다.

자, 화상회의를 안전하게 진행할 때 도움이 될 내용을 소개한다. 미국 FBI는 자문 업무의 일환으로 화상회의 서비스를 사용하는 기업, 학교, 개인에 안전과 보안에 관한 팁을 제공했다. 여기에 보안 전문가와 조언을 더해 화상회의 보안을 위해서 해야 할 일, 하지 말아야 할 일을 목록으로 만들었다.

일반용 소프트웨어를 사용하지 않는다. 또는 이런 일반용 소프트웨어로 비즈니스 회의를 계획하지 않는다. 일반 개인 사용자 등급 도구에는 보안에 필요한 관리 도구가 충분히 ㅣ포함되어 있지 않을 가능성이 높다. 100% 위협에서 안전한 화상회의 서비스는 존재하지 않지만, 그럼에도 기업용 제품의 보안 도구가 더 완전하다. 최근 기업용 보안 도구도 향후 몇 달 동안 무료로 고급 기능을 제공하고 있다.

화상회의 소프트웨어의 대기실 기능을 이용한다. 회의 전에 참가자를 별도의 가상 공간으로 안내하는 기능이다. 회의 주최자가 이 대기 인원을 살펴보고 자격이 있는 사람만 입장을 승인할 수 있다.

비밀번호 보호 기능을 활성화한다.  이제 줌은 회의실 ID에 더해 비밀번호까지 자동 생성 기능을 제공하기 시작한다. 사용하는 서비스가 회의 ID 번호나 일련번호를 제공하는지 확인하자. 별도의 비밀번호나 PIN을 쓸 수 있는지 확인한다. 서비스에 회의용 비밀번호를 생성하는 기능이 있다면, 비밀번호 모범 사례를 적용한다. ‘123456’ 같이 쉽게 추측할 수 있는 비밀번호가 아니라 임의의 숫자, 문자, 기호를 섞어 사용해야 한다.

원격회의나 세미나 링크를 소셜 미디어로 공유하지 않는다. 필요할 때는 화상회의 소프트웨어에서 직접 참가자를 초대하고 이들에게 링크를 공유하지 말라고 안내한다.

참가자들이 화면을 공유하지 못하도록 기본 값을 설정한다. 소프트웨어는 회의 주최자가 스크린 공유 기능을 관리하는 설정 항목을 제공해야 한다. 주최자는 회의가 시작된 후, 필요할 때 특정인의 화면 공유를 허용할 수 있다.

굳이 필요하지 않다면 전화 통화나 호출에 영상, 화상 기능을 사용하지 않는다. 웹캠을 끄고 오디오만 이용하면 배경 물체를 통해 정보를 수집하는 소셜 엔지니어링 공격을 막을 수 있다. 또한 인터넷의 네트워크 대역폭도 절약하고 회의의 품질을 향상시킬 수 있다.

최신 버전 소프트웨어를 사용한다. 구 버전에서는 보안 취약점이 악용될 확률이 훨씬 더 높다. 예를 들어, 줌은 최근 반드시 비밀번호로 회의를 보호하도록 소프트웨어를 업데이트했다. 또 개발자가 프라이버시와 보안 취약점 해결에 초점을 맞출 수 있도록(향후 더 많은 업데이트 배포 예정) 새 기능 개발 작업을 중지했다. 따라서 참가자가 최신 소프트웨어 버전을 사용하고 있는지 재차 확인해야 한다
.
공격자가 침입할 수 있거나, 제멋대로 행동하면 참가자를 회의에서 내보낸다. 같은 방법으로 재참여를 막는다.

모든 참가자가 소집된 후에는 회의 출입을 막는다. 그러나 자격이 있는 참가자가 빠질 경우에는 잠금을 해제하고, 참가자가 모두 출석하면 가상 회의실을 다시 잠근다.

필요하지 않을 경우에는 회의를 녹화해 기록하지 않는다. 기록할 경우에는 모든 참가자에게 기록 사실을 알린다(소프트웨어에서 안내할 수 있어야 하지만, 직접 알려주는 것도 좋음). 또한 기록을 고유한 이름으로 저장한다.

회의의 보안을 강화하기 위해 주최자가 될 수 있는 모든 직원을 교육한다. 기업이 사용하는 소프트웨어에 적용해야 할 구체적인 방법과 대책을 안내해야 한다.

보안 인식 제고 트레이닝 업체 위저(Wizer) CEO 가브리엘 프리드랜더는 링크드인에 업무와 개인 회의 여부에 상관없이, 줌 사용자가 적용해야 할 보안 설정에 대한 권장사항을 게시했다. 다음은 이를 요약한 내용이다.

-    [Participants Video(참가자 영상)]를 비활성화한다. 참가자의 참여를 승인한 후 다시 켤 수 있다.
-    [Join before host(호스팅 전 참여)]를 비활성화한다.
-    [Use Personal Meeting ID (PMI) when scheduling a meeting(회의 일정을 수립하거나 예약할 때 PMI를 사용)]을 비활성화한다.
-    [Use Personal Meeting ID (PMI) when starting an instant meeting(즉석 회의를 시작할 때 PMI를 사용)]을 비활성화한다.
-    [Require a password when scheduling new meetings(새 회의 일정을 수립하거나 예약할 때 비밀번호 필요)] 설정을 활성화한다.
-    [Mute participants upon entry(입장 시 참가자 소거)]를 활성화한다.
-    [Play sound when participants join or leave(참가자가 참여하거나 떠날 때 사운드 재생] 기능을 켠다(호스트만 들을 수 있음).
-    호스트만을 대상으로 [Screen Sharing(스크린 공유)]를 켠다.
-    [Annotation(주석 달기)] 기능을 끈다.
-    [Breakout room(휴게실)]을 켠다. 호스트가 참가자에게 휴게실 예약을 할 수 있도록 허용한다.
-    고급 설정에서 [Waiting Room(대기실)] 기능을 켜야 한다. 

이 목록은 줌의 설정 항목이지만, 다른 화상회의 소프트웨어도 설정 환경은 유사할 것이다. 만일 그렇지 않다면, 더 안전한 제품으로 바꾸는 것이 좋다.
 

보안과 사용 편의성을 모두 균형 있게 챙기기

줌 같은 화상회의 서비스가 인기를 끄는 이유 중 하나는 기술을 자주 쓰지 않는 많은 최종 사용자도 손쉽게 사용할 수 있기 때문이다.

사이버보안 인식 제고 트레이닝을 제공하는 1:M 사이버 시큐리티 창업자 레자 자헤리는 “사람들은 단순한 기술을 좋아한다. 특히 글로벌 팬데믹 같이 스트레스를 많이 받는 시기에는 더 그렇다. 기술 제품은 항상 보안과 사용 편의성의 균형을 잡는 것이 중요했다. 일반화를 하자면, 대다수 보통 사람들은 제품에서 보안과 프라이버시 부문을 신경 쓰고 싶어하지 않는다. 보안과 프라이버시 기능이 제품에 탑재되어 있고, 심지어 사용자에게 홍보되고 있지만, 대부분은 이런 설정을 구성하지 않는다. 일반 사용자들은 누군가 백엔드에서 자신을 대신해 관리할 것이라고 가정한다”고 지적했다.

줌은 블로그 게시물과 영상으로 회의 보안에 대한 안내를 제공하고 있다. 그러나 여전히 회의 보호 및 보안에 대한 책임은 사용자에게 있다.

자헤리는 소프트웨어 제품에 보안이 기본값으로 설정되어 있어야 한다고 강조했다. 이 설정을 바꾸려고 시도할 경우, 변경이 위험한 이유를 사용자에게 설명해주는 경고 메시지가 표시되어야 한다.

또, “기술을 잘 모를 수 있는 재택 근무자 대부분은 기본값으로 보안과 프라이버시가 설정 및 활성화되어 있는 것을 선호할 것이다. 이들은 업체가 미리 보안과 프라이버시 설정을 구성해 놓아서 바로 프로그램을 사용할 수 있는 상태를 원한다”고 설명했다.
 

새로운 기술 사용자를 교육하라

위저의 프리드랜더는 코로나19 팬데믹 위기로 재택근무나 재택교육이 증가하면서 화상회의 서비스를 표적으로 삼는 해킹 시도 또한 증가했다고 지적했다.

그는 “해커와 사이버 범죄자의 사고방식은 마케터와 같다. 항상 트렌드와 트렌드를 악용할 방법을 찾는다. 현재의 트렌드는 줌과 재택근무, 코로나 바이러스이며 그래서 새로운 위협이 다수 등장했다. 사람들이 과거 어느 때보다 기술을 필요로 하기 때문에, 다수에게 영향이 미칠 것”이라고 경고했다.

과거 보안 위협과 다른 점은 새로운 기술 사용자라는 물결이 나타난 것이다. 학생, 교사, 가족 구성원, 태권도 도장과 피트니스 센터, 댄스 스튜디오 같은 소규모 사업자도 IT나 보안 지원을 받지 않는 상태에서 수업 등에 화상회의 제품을 널리 사용한다. 과거에는 이메일이나 트위터 메시지로 보안 교육 정보를 제공했는데, 새로운 청중이 알 수 있도록 확대할 필요가 있다.

프리드랜더는 “이들 새로운 사용자에게 도달하려면, 이들이 쓰는 채널에서 교육해야 한다. 이미 IT 및 보안 전문가들이 틱톡(TikTok)를 활용하고 있다. 내용은 동일하더라도 신규 화상회의 사용자를 위해 전달 방식을 조정해야 한다”고 강조했다. editor@itworld.co.kr


X