웹 세미나 개요 – 90일 보안 계획 진행 보고: 7월 1일

90일 보안 계획이 완료되면서, 금주의 “Eric에게 무엇이든 물어보세요”에서는 지금껏 있었던 핵심 업데이트, 90일 보안 계획의 일부로 고객께 드렸던 약속의 상태, Zoom의 CISO 위원회 관련 업데이트 등을 포함하여 보안 계획이 시작된 이후 지금까지 진행된 발전과 향후의 계획에 초점을 두고자 합니다.

Zoom의 CEO인 Eric S. Yuan과 함께 COO Aparna Bawa, CPO Oded Gal, CIO 대리이자 CISO 위원회 의장 Gary Sorrentino, Zoom의 신규 CISO Jason Lee가 참여했습니다.

질문과 답변 세션에는 CTO Brendan Ittelson, 보안 엔지니어링 책임자 Max Krohn, 최고 규정 준수 및 윤리 책임자인 Lynn Haaland가 참여했습니다.

제품 업데이트

Oded는 다음을 포함하여 지난 90일간 있었던 플랫폼의 핵심 업데이트 사항을 간단하게 요약했습니다.

• Zoom 5.0 출시: 4월 27일, Zoom 5.0을 출시했습니다. 이는 오늘날 가장 안전한 암호화 표준 중 하나인 고급 암호화 표준 256비트 GCM 암호화를 지원합니다. 시스템 전체 계정을 대상으로 하는 고급 암호화 표준 256비트 GCM 암호화 활성화는 5월 30일에 이루어졌습니다.
• 사용자 인터페이스의 신규 보안 아이콘: 호스트와 공동 호스트는 보안 아이콘을 사용하여 미팅 중 중요한 보안 컨트롤에 즉각적으로 접근할 수 있습니다. 여기에는 미팅 잠금 및 대기실 활성화 기능, 참가자의 화면 공유 기능, 채팅 참여, 자체 이름 변경 또는 음소거 해제를 관리하는 옵션이 포함됩니다.
• “사용자 신고” 기능: 호스트와 공동 호스트는 Zoom의 신뢰 & 안전 팀에 사용자와 미팅 방해 사고를 신고할 수 있습니다. 해당 팀은 플랫폼의 악용 가능성을 검토하고 적절한 조치를 취합니다.
• 미팅의 기본값 보안 설정 업데이트: 패스코드, 대기실, 호스트만 화면 공유 기능이 무료/기본 및 싱글 프로 계정에 기본값으로 활성화됩니다. 무료/기본 계정 사용자는 미팅에 패스코드를 의무적으로 설정해야 합니다.
• 사용자 지정 데이터 라우팅: 데이터에 대한 호스트의 컨트롤을 확대하기 위해 4월 18일 유료 계정 고객을 대상으로 데이터 라우팅 옵션을 구현하였습니다. 이를 통해 데이터 센터 설정을 사용자 지정할 수 있습니다. 유료 계정의 관리자와 계정 소유자는 전송 데이터와 관련한 특정 데이터 센터 지역을 계정, 그룹, 사용자, 미팅 수준에서 옵트인하거나 옵트아웃할 수 있습니다.

앞으로도 새로운 기능 개발이 이루어질 것이며, 저희는 Zoom의 제품 및 기능 개발의 모든 단계에 보안과 개인정보 보호를 최우선으로 하는 메커니즘을 도입했습니다.

게스트와 함께 하는 CISO 위원회 업데이트

Gary는 두 명의 CISO 위원회 멤버 즉, PwC의 글로벌 및 미국 부문 최고 정보기술 경영자 James Shira와 Ralph Lauren의 글로벌 인프라 부문 최고 보안 경영자이자 최고 개인정보 보호 경영자 & 전무인 Cy Fenton를 인터뷰하며 위원회의 임무 및 미팅의 성격과 맥락에 대해 설명했습니다. 해당 세션의 중요 내용은 다음과 같습니다.

Cy, 왜 Zoom의 CISO 위원회에 참여하기로 결정했나요?

“쉬운 결정이었습니다. Zoom은 저희가 최종 사용자에게 서비스를 제공함에 있어 핵심적이며 중요한 도구가 되었습니다. 저희는 COVID-19 이전에는 Zoom을 회의 도구로 사용했지만 지금은 매일, 하루에도 여러 번, 거의 모든 미팅에서 Zoom을 사용합니다. Zoom은 저희의 매우 중요한 벤더이며 Zoom에 의견을 제공하고 로드맵에 대한 추가 지식을 얻을 수 있다는 것은 정말 중요한 기회입니다.”

James, 90일 계획의 성과에 대해 어떻게 생각하나요?

“저는 다수의 대형 엔터프라이즈 보안 혁신에 참여했고, 가장 중요한 것은 그것이 여정이라는 사실을 염두에 두는 것이라고 생각합니다. 제가 보기에 Zoom의 독특한 점은 이러한 여정이 공공의 영역에서, 실제 세계에서, 실시간으로 이루어졌다는 점입니다. 그러한 관점에서 볼 때 저는 Zoom의 90일 계획이 매우 훌륭하게 진행되었다고 생각합니다.”

Zoom CISO, Jason Lee 소개

Eric은 Zoom의 새로운 CISO인 Jason Lee를 소개했습니다. Lee는 정보보안 및 미션크리티컬 서비스 운영 부문에서 20여년의 전문성을 확보하고 있습니다. 최근에는 Salesforce에서 보안관리 부문의 수석 부사장을 역임하며 고객과 직원에게 매우 중요도가 높은 엔드투엔드 보안 운영을 제공하는 글로벌 조직을 이끌었습니다. 여기에는 전사적 네트워크 및 시스템 보안, 공격적 보안 팀이 포함됩니다.

Jason은 “Zoom에서 재능이 넘치는 사람들과 함께 일하게 되어 매우 기쁩니다. 최근 보안 일선에서 이룬 발전은 매우 인상적이며, 향후가 기대됩니다”라고 밝혔다.

90일 보안 계획의 약속 검토

Zoom의 COO인 Aparna Bawa는 다음을 포함하여 90일 보안 계획의 일부로 고객에게 약속 드렸던 내용을 간단히 설명했습니다.

• 4월 1일부터 다른 기능에 관한 업무는 중단하고 Zoom에서 가장 중요하게 생각하는 신뢰, 안전성, 개인정보 보호 문제에 집중하도록 엔지니어링 인력 전원을 전환하겠습니다.
• 모든 새로운 사용 사례의 보안 및 개인 정보보호를 이해하고 지킬 수 있도록 타사 전문가 및 사용자 대표와 함께 종합적인 검토에 전념하겠습니다.
• 데이터, 기록, 콘텐츠 요청과 관련된 정보를 상세히 설명하는 투명성 보고서를 준비하겠습니다.
• 버그 바운티 프로그램을 강화하겠습니다.
• CISO 위원회를 설립하겠습니다.
• 문제를 더욱 깊이 파악하고 해결하기 위해 일련의 동시 화이트박스 침투 시험을 실시하겠습니다.
• 개인정보 보호와 보안 업데이트 사항을 커뮤니티에 알리는 주간 수요 웹 세미나를 개최하겠습니다.

이러한 약속의 상태에 대해 보다 자세하게 알아보시려면 90일 보안 계획의 여정을 상세하게 설명하는 Zoom 블로그와 2020년 7월 1일 이후의 핵심 업데이트에 대한 PDF 요약을 확인해 보십시오.

질문과 답변

90일 보안 계획을 실행함에 있어 가장 어려운 점은 무엇이며, 리더로서 배운 것은 무엇인가요?

Eric은 Zoom은 원래 비즈니스용으로 설계되었으며, 개인정보 보호, 보안, 독특한 사용 사례와 관련한 최초 사용자의 니즈에 대응하는 것이 매우 도전적인 과제였다고 설명했습니다. Eric은 또한 Zoom이 고객의 의견을 듣고, 투명성을 유지하고, 가능한 최고의 플랫폼 구축에 전념한다면 극복하지 못할 것은 없다는 것을 배웠다고 설명했습니다.

Zoom의 90일 보안 계획 종료는 Zoom이 보안과 관련되지 않은 다른 기능 출시를 재개한다는 것을 의미하나요?

Zoom은 계속해서 보안에 주력할 것입니다. 또한 90일 기간 동안 중단한 보안과 관련되지 않은 기능에 대한 작업을 재개하고 현재와 미래에 사람들이 일하는 방식에 발맞춰 새로운 기능과 제품을 개발할 것입니다.

강제 보안 설정을 계정 수준에서 설정하는 것과 달리 그룹 수준으로 설정할 수도 있나요?

예. 계정, 그룹, 사용자 수준에서 설정할 수 있습니다.

CISO로서, 최종 사용자에게 보안 모범 사례를 교육하기에 가장 좋은 방법은 무엇인가요?

게스트인 CISO Cy Fenton은 기업 수준에서 직원에게 보안을 교육하는 최고의 방법은 강력한 보안 교육 프로그램을 개발하고 직원이 보안의 중요성을 이해하도록 하는 것이라고 설명했고, 이는 직원이 마주하는 보안 위험과 그에 대한 방어법 및 보안이 매일의 워크플로에 적용되는 방법에 대해 대화하는 것으로 성취할 수 있다고 말했습니다.

Zoom이 정부 요청 가이드를 발행한 이유는 무엇인가요?

Aparna는 공개적이고 투명한 Zoom 운영을 위한 지속적 노력의 일환으로 해당 가이드를 발행했다고 설명했습니다. 정부 요청 가이드는 정부가 Zoom과 상호 작용하는 방식에 대한 청사진으로 간주하며, 여기에는 Zoom이 다양한 정부 요청에 대응하기 위해 사용하는 관련 연락처 정보와 기준, 프로세스가 포함됩니다.

보안에 대한 Zoom의 일반적 접근법은 무엇인가요?

Jason은 Zoom의 보안 기반을 구축함에 있어 그 기능과 성숙도를 둘러 싼 것에 명확성을 제시할 수 있도록 산업 표준과 공공 프레임워크를 사용할 것이라 설명했습니다.

시스템 관리자는 사용자가 보유한 클라이언트 버전을 확인할 수 있나요?

시스템 관리자는 대시보드의 사용자 관리 섹션으로 이동, 우측 상단 모서리의 기어를 클릭해 클라이언트 버전을 표시하는 추가 열을 확인할 수 있습니다. 비즈니스 또는 그에 상응하는 요금제의 관리자는 Zoom 대시보드로 이동하여 본인 계정의 클라이언트 버전 분포를 나타내는 그래프를 확인할 수 있습니다. 또한 미팅 탭으로 이동해 미팅 메타데이터 상세 사항을 확인하여 참가자가 사용하는 클라이언트 버전을 확인할 수도 있습니다.

클라우드 기반으로 이동하는 회사가 늘어나고 있는데, 벤더를 평가하고 그들이 사이버 보안을 확보하도록 하는 가장 좋은 방법은 무엇일까요?

Jason은 과거와 현재를 통틀어 그 특정 벤더의 혁신과 조직 경영진의 질을 평가한다고 설명했습니다. 또한 다른 CISO에게 각자 조직에서의 경험에 대한 질문도 던졌습니다. Cy는 조직이 문제점과 도전을 다루는 방식에 있어 투명성을 확보하는 것이 중요하다고 덧붙였습니다.

성원에 감사드립니다.

이번 주 세션에 참여해 주셔서 감사합니다. 질문을 하신 모든 분께도 감사드립니다! 전세계에서 가장 안전한 기업용 커뮤니케이션 플랫폼을 향해 나아가는 Zoom의 여정을 성원해 주셔서 감사합니다.

이번 주 세션을 놓치셨을 경우 아래에서 녹화본을 확인하실 수 있습니다.