CEO 보고서: 90일 완료 후 Zoom의 계획

2020년 초반 몇 달 동안 Zoom 팀은 엄청난 규모의 신규 사용자와 다양한 유형의 사용자가 Zoom 플랫폼에 유입하는 것을 지원하기 위해 밤낮없이 일했습니다. 대부분의 기업이 한 번도 겪어본 적 없는 수준으로 시스템 수요가 갑자기 급증했습니다. 당시만 해도 Zoom의 사명은 한 가지 즉, 매일 수억 명의 회의 참가자에게 매끄러운 영상 커뮤니케이션을 제공한다는 것이었지만 3월 말경에는 보안과 개인정보 보호에도 똑같은 관심을 기울여야 한다는 사실을 깨달았습니다. 추가적인 노력이 필요한 분야였습니다. 

2020년 4월 1일, Zoom은 보안과 개인정보 보호를 위해 여러 가지 개선책을 마련하기로 약속했습니다. 그날부터 시작된 90일 계획 프로그램은 보안과 개인정보 보호를 Zoom의 DNA에 영구적으로 각인하기 위한 7가지 약속에 다시금 초점을 맞추는 계기가 되었습니다. 오늘은 각각의 약속에 대한 현황과 더불어 앞으로의 방향을 말씀드리려고 합니다. 

서약 1호: 4월 1일부터 다른 기능에 관한 업무는 중단하고 Zoom에서 가장 중요하게 생각하는 신뢰, 안전성, 개인정보 보호 문제에 집중하도록 엔지니어링 인력 전원을 전환합니다.

현황: 90일간 개인정보 보호, 안전, 보안과 무관한 다른 모든 기능에 관한 업무는 중단했습니다. Zoom의 모든 엔지니어링 인력과 제품 인력 전원이 이 방향으로 집중한 끝에 다음과 같은 100가지 이상의 기능을 출시했습니다.

• Zoom 5.0
  • 모든 미팅(유료와 무료를 포함한 모든 사용자)에 고급 암호화 표준(AES) 256비트 GCM 암호화가 활성화되었습니다. 자세한 내용은 https://support.zoom.us/hc/en-us/articles/360043555772에서 확인하십시오.
  • UI 업데이트 - 보안 아이콘, 데이터 센터 위치 연결 링크가 포함된 그린 암호화 실드
  • 사용자 신고
  • 미팅 기본값 - 패스코드, 대기실, 화면 공유 제한
  • 그 밖의 기능 - 호스트의 다중 장치 로그인 비활성화, 음소거 해제 동의, 클라우드 녹화 만료, 더욱 엄격한 Zoom Team Chat 컨트롤 등
• Keybase를 인수하고 유료 사용자와 무료 사용자를 포함한 모든 사용자에게 엔드투엔드 암호화 구축 시작
• 유료 계정을 가진 고객이 회의나 웨비나를 주최할 때 특정 고객 데이터를 처리할 Zoom 데이터 센터를 선택할 수 있는 기능을 제공합니다. 

앞으로도 제품과 기능 개발의 모든 단계에서 보안과 개인정보 보호를 최우선으로 고려하는 장치를 도입했습니다.

• 설계 단계: 보안 요구 사항, 위험 평가, 위협 모델링 
• 구축: 보안 코드 지침, 셀프 서비스 스캔, CI/CD 도구
• 테스트: 보안 테스트, 자동 테스트 실행, 웹 테스트 도구
• 개발 검증: 보안 구성, 무결성 모니터링, 요구 사항 검증
• 프로덕션: 시스템 보안 , 시스템 상태, 위협 환경 모니터링 

서약 2호: 모든 신규 사용 사례의 보안과 개인정보 보호를 지킬 수 있도록 제3자 전문가 및 사용자 대표와 종합적인 검토를 실시합니다.

현황: 다양한 제3자 전문가 그룹과 함께 제품, 관행, 정책을 검토하고 개선책을 마련했습니다. 구체적으로 CISO 자문 위원회, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology 및 개인정보 보호와 안전, 포용 분야의 여러 기타 조직과 논의했습니다. 위 목록에 있는 모든 분들께 큰 공헌과 도움을 주신 것에 깊은 감사를 드립니다. 

서약 3호: 데이터, 기록, 콘텐츠 요청과 관련된 상세 정보를 제공하는 투명성 보고서를 작성합니다.

현황: Zoom에 요청하는 데이터, 기록, 콘텐츠 관련 정보를 상세히 설명한 투명성 보고서의 프레임워크와 접근방법 정의에 상당한 진전이 있었습니다. 2분기 회계연도 데이터를 올해 하반기에 첫 투명성 보고서에서 제공하게 되기를 기대하고 있습니다. 그동안 저희는 정부 요청 대응 방법에 관한 지침을 최근에 작성했습니다. 또한 개인정보 보호 정책을 대부분 이해하기 쉽게 업데이트했으며 캘리포니아주 프라이버시 권리문을 별도로 추가했습니다. 관련 서류는 zoom.com/privacy-and-legal에서 확인하실 수 있습니다.

서약 4호: 현재의 버그 바운티 프로그램을 강화합니다.

현황: 중앙 버그 리포지토리 및 관련 워크플로 프로세스를 개발했습니다. 리포지토리는 HackerOne, Bugcrowd, security@zoom.us(후자는 NDA 불필요)에서 취약성 보고서를 수취하며 Praetorian을 통해 분류합니다. 일일 회의를 통한 지속적인 검토 프로세스를 마련했으며 보안 연구원 및 제3자 평가단과 함께 조정 사항을 개선했습니다. 아울러 취약성 및 버그 바운티 책임자와 앱 보안 엔지니어를 채용했고 취약성 해결에 전념할 보안 엔지니어를 현재 추가적으로 채용 중입니다. 그러면서 한편으로는 응답 시간 개선에 중점을 두고 있습니다. 전반적으로 Zoom의 버그 바운티 프로세스는 견고하며 채용 목표를 달성하면 더욱 견고해질 일만 남았습니다. 이 과정을 도와준 Luta Security에 깊은 감사를 표합니다.

서약 5호: 보안 및 개인정보 보호 모범 사례에 대한 지속적 대화를 지원하기 위하여 업계를 대표하는 CISO와 협력하여 CISO 위원회를 운영합니다.

현황: SentinelOne, 애리조나 주립 대학교, HSBC, Sanofi 등 다양한 업종의 36인 CISO로 구성된 CISO 위원회가 출범했습니다. Gary Sorrentino CIO 부책임자가 이끄는 이 위원회는 지난 3개월간 4차례 이상 회동하며 지역 데이터 센터 선정, 암호화, 회의 인증, 사용자 신고, 암호, 대기실 기능과 같은 중요한 사안에 대해 조언해 왔습니다. 위원회 활동이 성공적인 것으로 입증됨에 따라, Zoom 플랫폼의 보안과 개인정보 보호를 위해 지금까지 Zoom이 취한 조치와 향후에 취할 조치를 파악하기 위해서 CISO 고객과 Zoom 보안 팀 리더 간에 대화식으로 토론하는 CISO 원탁회의로 이 프로그램을 확장할 계획입니다. 관심 있는 CISO와 CIO는 Zoom 계정 책임자에게 자세한 내용을 문의하시기 바랍니다.  

서약 6호: 문제를 더욱 깊이 파악하고 해결하기 위해 일련의 동시 화이트박스 침투 시험을 실시합니다.

현황: Zoom은 Trail of Bits, NCC Group, Bishop Fox 등 여러 회사와 함께 당사의 모든 플랫폼 검토에 참여했습니다. 작업 범위는 다음과 같습니다.

• 퍼블릭 및 코로케이션 데이터 센터를 모두 포함한 Zoom 프로덕션 환경: 
  • 클라우드 구성
  • 외부 IP 공간
  • 내부 프로덕션 네트워크

• Zoom 핵심 웹 애플리케이션과 Zoom 기업 네트워크:
  • 내부 네트워크
  • 외부 주변부
• 공통 클라이언트를 위한 퍼블릭 API
  • 모바일 클라이언트
  • 데스크톱 클라이언트

Zoom은 보안 프로그램의 토대인 제3자 침투 테스트를 지속적으로 시행할 것입니다. 

서약 7호: 매주 수요일 개인정보 보호와 보안 업데이트 사항을 커뮤니티에 제공하는 주간 웹 세미나를 개최합니다.

현황: 오늘의 웨비나를 포함하여 4월 1일부터 지금까지 매주 수요일 총 13회의 웨비나를 주최했습니다. Zoom의 임원과 컨설턴트 다수가 가상 이벤트에 참여하여 참석자의 실시간 질문에 답변했습니다. 또한 웨비나의 요약과 녹화본을 매주 수요일 블로그에 공유했습니다. 앞으로도 이러한 웨비나를 계속 진행할 것입니다. 다음 웨비나는 7월 15일에 열리고 이후에는 월간 이벤트로 변경됩니다. 

기타 주요 업데이트

그동안 추가적으로 도입한 주목할 만한 내용 몇 가지를 소개합니다.

• 4월 1일 이후 일부 핵심 임원진이 추가되거나 변경되었습니다. 
  • Velchamy Sankarlingam, 제품 및 엔지니어링 부문 사장
  • Jason Lee, 최고 정보 보안 책임자
  • Damien Hooper-Campbell, 최고 다양성 책임자
  • 최고 운영 책임자였던 Aparna Bawa를 Zoom 해외 보안 대책 책임자로 임명
  • 또한 최고 개인정보 보호 책임자였던 Lynn Haaland를 법률자문 부위원 겸 윤리준수 최고 책임자로 임명
  • H.R. McMaster, Zoom 이사회의 새로운 위원으로 합류
  • Josh Kallmer, 공공 정책 및 대정부 관계 글로벌 책임자
  • Ginny Lee, 개인정보 보호 부문 어소시에이트 법무 자문
  • Mara Davis, 윤리준수 관련 법률자문 사내 변호사
  • 취약성 및 버그 바운티 책임자, 7일 13일부터 임기 시작
  • Andy Grant, 7일 13일부터 공격적 보안 책임자로 임기 시작
• 정부용 Zoom에 Zoom Phone을 추가했습니다. 정부용 Zoom은 이미 미국 연방 위험 및 인증 관리 프로그램(FedRAMP)의 승인을 취득했습니다.
• Zoom은 미국에 기반을 둔 엔지니어링 팀의 규모를 대폭 늘려서 애리조나주 피닉스, 펜실베이니아주 피츠버그에 새로 개소한 사무실과 함께 증가한 사용량을 지원할 것입니다.

향후 Zoom의 방향

이 어려운 시기가 Zoom에 의미 있는 변화를 가져다주었고, 따라서 고객의 신뢰에 걸맞은 기업이 되도록 노력하는 동시에 플랫폼의 안전과 개인정보 보호, 보안을 모든 업무의 핵심으로 삼게 되었습니다. Zoom이 위기의 세상을 연결하는 데 수행한 역할과 지난 90일간 우리 팀이 플랫폼 보안을 개선하기 위해 기울인 모든 노력에 자부심을 느끼면서도 한없이 겸허해집니다. 

그러나 저희는 여기에서 멈출 수 없으며 결코 멈추지 않을 것입니다. 개인정보 보호와 보안은 앞으로도 계속 Zoom의 우선 사항이며 90일 동안 이룬 것이 많긴 하지만 이것은 첫걸음에 불과합니다. Zoom을 세상에서 가장 안전하고 매끄러운 비디오 커뮤니케이션 플랫폼으로 만드는 여정에 기여할 새로운 프로세스와 사람들에 관해 이 보고서에서 알려드렸습니다.

그동안 성원해 주시고 믿고 기다려 주신 사용자 여러분께 감사드립니다. 기업으로서 Zoom의 핵심 가치는 보살핌이며 이 가치가 지난 90일간 행동으로 드러났기를 바랍니다. 앞으로도 행동을 통해 계속해서 이 가치를 실천하는 기업이 되겠습니다.

주요 업데이트의 PDF 요약 다운로드

편집자 주: 이 게시글은 데이터 라우팅 설정의 사용자 지정과 관련된 표현을 명확히 하기 위해 2020년 11월 6일에 업데이트되었습니다.

편집자 주: 이 블로그 게시글은 2023년 4월 20일에 데이터 라우팅 컨트롤 기능에 대한 최신 정보를 포함하도록 수정되었습니다.