영상회의 보안에 대해 알아보는 포스팅을 하겠습니다. 원래 영상회의 하는 비율이 늘고 있었는데요. 최근에는 코로나 19 때문에 영상회의를 하는 비율이 더 높아지고 있는 상황입니다. 영상회의를 하면서 회사나 단체의 비밀스러운 부분도 이야기할 텐데요. 이렇게 보안이 필요한 영상회의 중요사항에 대해 한국 인터넷진흥원의 지침을 안내하겠습니다.
1. 영상회의 정의
영상회의는 물리적으로 원격에 있는 사람들이 프로그램이나 전용 장비를 이용해 회의를 진행하는 것을 말합니다.
- 영상회의는 기업 본사와 지사 간 업무 회의에 사용되고, 한국에서는 원격 강의 같은 교육에 활용되고 있습니다. 최근에는 직원 채용 면접이나, 원격 의료에 영상회의 기술이 사용되는 사례도 있습니다. 해외에서는 영상회의가 기본 업무 시스템으로 인식되고 있습니다.
2. 영상회의 환경 구성 요소
영상회의는 크게 2가지로 나뉠 수 있습니다. 전용 장비를 기업이나 기관이 직접 구축하는 방식과 클라우드 SaaS 서비스를 이용하는 방식입니다.
2-1. 전용 장비를 기업/ 기관에 직접 구축하는 방식의 영상회의
- 영상회의 시스템을 자사 전산 시스템 환경에 설치하고 운영합니다.
- 자사의 기존 업무용 시스템과 연동하는 등 맞춤형 개발 가능합니다.
- 보안 수준은 자사 전산 시스템 환경의 안전성에 종속됩니다.
- 화상회의 시스템이 설치된 장소에서만 이용할 수 있으므로 사용의 제약이 발생합니다.
2-2 클라우드 SaaS 서비스를 이용하는 방식
- PC/노트북, 스마트폰 등에 설치하는 영상회의 소프트웨어가 제공됩니다.
- 참여자가 사용하는 단말기 유형에 따라 호환성 한계가 존재할 수 있습니다.
- 보안 수준은 참여자가 사용하는 단말의 안전성에 종속됩니다.
- 전용회선보다는 인터넷 회선 사용을 전제로 운영하므로 통신 암호, 영상회의실 접근 통제 등의 보안 문제가 발생할 가능성이 있습니다.
3. 영상회의 환경 보안 위협
3-1 물리적 위협
- 영상회의 접속 시 화상 카메라와 마이크는 참가자 정보와 회의 내용을 전달하는 통로 역할을 수행합니다.
- 카메라로 보이는 개인 이력, 사무실 위치, 벽에 걸린 자격증 등을 통해 사용자의 개인정보가 노출될 수 있습니다.
- 마이크는 주변 음성을 전달하므로 의도하지 않은 추가 기밀 정보들이 마이크를 통해 타인에게 전달될 수 있습니다.
3-2 인적 위협
- 영상회의 개설자의 미비한 보안 환경설정으로 인해 허가받지 않은 사용자가 영상회의실에 무단으로 접속할 수 있습니다.
3-3 기술적 위협
- 영상회의 통신이 E2E(End to End) 암호화되어 있지 않으면 영상과 음성이 노출될 가능성이 있습니다.
- 영상회의 프로그램 또는 서비스에 취약점이 존재할 경우 추가 공격(무단참가, 화면 탈취)에 악용될 수 있습니다.
- 영상회의실 주소가 인터넷에 공개될 경우, 해당 서버를 대상으로 하는 디도스 공격 등으로 인해 업무 장애가 발생할 수 있습니다.
4. 영상회의 침해사고 사례
- 2020년 3월 국내 한 대학 온라인 강의에서 수강생이 아닌 사람들이 강의실에 입장하여 수업을 방해하는 행위가 일어났습니다.
- 줌 폭격(Zoom Bombing): 비인가 사용자가 영상회의실에 침입하여 회의를 방해하는 행위입니다. 미국 FBI는 다음과 같은 줌 폭격 사례를 공유하고 있습니다.
○ 원격 강의에 허가받지 않은 사용자가 영상 강의실에 입장하여 교사를 비난하고 집 주소를 공개했습니다.
○ 수업과 관련 없는 사용자가 원격 수업용 Zoom 회의실에 입장하여 혐오스러운 문신을 카메라로 공개했습니다.
- 가짜 영상회의 초대장으로 사용자 계정을 탈취하는 공격이 출현하였습니다.
- 영국 국방부와 미국 전기자동차 업체 테슬라는 보안 문제로 서비스형 영상회의 Zoom 사용을 금지하였습니다.
5. 안전한 영상회의를 위한 보안 대책
5-1 영상회의 개설자
- 영상회의를 개설할 때는 반드시 회의실에 입장하기 위한 암호를 설정합니다.
- 영상회의실은 고정주소를 사용하지 않고 개설 시점에 새로운 주소 또는 새로운 회의실 번호를 사용합니다.
- 영상회의 개설자는 초대자와 참석자의 일치 여부를 확인합니다.
- 개설자의 스마트폰, 노트북, 태블릿 등은 최신 보안 업데이트 상태로 관리합니다.
5-2 영상회의 참가자
- 영상회의 전용 S/W에 자동 로그인을 사용하지 않습니다.
- 영상회의 전용 장비와 접속 S/W의 보안 취약점을 주기적으로 검사하고 제거해줍니다.
- 영상회의는 반드시 암호화 통신을 설정하고 진행합니다.
- 영상회의 참여 인원은 회의 관련 내용이 외부로 노출되지 않도록 되도록 업무 전용 공간을 확보하여 참석합니다.
- 전용 공간을 확보하기 어려운 경우 반드시 이어폰을 사용하여 통화내용이 외부에 들리지 않게 회의에 참석합니다.
5-3 영상회의 플랫폼 관리자 보안
위에서 설명한 영상회의 구축형과 서비스형에 따라 내용이 다릅니다.
5-3-1 영상회의 구축형 플랫폼 관리자
- 원격 접속과 접속 후 내부 서비스 접근은 기업에서 지정한 단말기만 허용하도록 보안 설정합니다.
- 원격에서 접속하는 단말기의 보안상태(윈도우 업데이트, 백신 설치 등)를 점검할 수 있어야 합니다.
- 원격에서 접속하는 사용자는 반드시 계정/비밀번호 이외의 추가 인증 수단을 적용합니다.
- 제조사에서 제공하는 영상회의 전용 장비 취약점 관리를 지속해서 수행합니다.
- VPN 접속, 업무용 응용 프로그램 로그인 등의 계정을 통합 관리함으로써 사용자 접속 이력과 행위 추적성을 확보합니다.
- 사용자 접속 이력, 접속 출발지 등을 지속해서 모니터링하여 사용자 이상징후를 탐지합니다.
5-3-2 영상회의 서비스형 플랫폼 관리자
- 무료사용자와 차별성 있는 기업 전용 프로그램을 사용합니다.
- 서비스 제공업체에서 제공하는 사용자별 데이터 암호화 등 데이터 보호 서비스를 적극적으로 활용합니다.
- 서비스 제공업체에서 제공하는 영상회의 전용 프로그램의 보안 취약점 패치를 지속 적용합니다.
- 영상회의 서비스 회사의 보안 공지는 개설자/사용자에게 신속히 공지합니다.
- 서비스형 영상회의 보안 설정을 개설자/사용자에게 문서 형식으로 안내합니다.
- 영상회의 서비스와 단말기 구간은 E2E(End-to-End) 암호화 통신을 사용합니다.
이상 영상회의 보안에 대해 알아보는 포스팅을 하였습니다. 회사나 단체의 기밀 사항이 누설되면 안 되겠지요. 그러니 위의 내용을 참고하셔서 보안 잘 지키시면 좋겠습니다. 더 자세한 사항을 알고 싶으신 분들은 인터넷진흥원 홈페이지에 ‘비대면 업무환경 도입 운영을 위한 보안 가이드’라는 문서로 있으니 다운받아서 보시기 바랍니다. 행복하세요!!