2024-03-29 18:30 (금)
화상회의 안전하게 이용하기 위한 보안 고려사항
상태바
화상회의 안전하게 이용하기 위한 보안 고려사항
  • 길민권 기자
  • 승인 2020.04.10 12:20
이 기사를 공유합니다

화상회의 솔루션 타깃 사이버공격 주의…화상회의 전·후 보안사항 지켜야

코로나19 확산으로 수요가 급증하고 있는 화상회의 솔루션. 하지만 그에 따른 보안이슈가 발생해 안전한 화상회의 시스템을 갖추기 위한 노력들이 계속되고 있다. 이에 금융회사가 안전하게 활용할 수 있도록 필요한 보안 고려사항을 금융보안원(원장 김영기)이 10일 발표했다.

최근 많이 사용되고 있는 화상회의 솔루션으로는 구글 행아웃(Hangout), MS 팀즈(Teams), 줌(Zoom), CISCO 웹엑스(Webex) 등이 있다.

하지만 화상회의 솔루션 ‘줌(Zoom)’을 대상으로 공격자가 회의방에 무단 침입하는 공격(일명 줌바밍(Zoom-Bombing))이 발생해, 미국 FBI가 이에 대한 조사를 진행 중이다. 이외에도 사이버 공격자들은 재택근무자를 노린 타깃 공격을 위해 화상회의 솔루션 취약점을 집중적으로 찾고 실제 공격도 감행하고 있는 상황이다.

즉 기업과 금융회사의 민감한 회의정보가 사이버공격에 의해 외부로 유출될 수 있다는 우려가 큰 상황이다.

발표한 보안 고려사항은 회의 내용의 중요도 등을 고려해 ➀공통 보안대책과 ➁중요 회의시 추가 보안대책으로 차등화했으며, 민감한 주제를 논의하는 회의의 경우 보다 엄격한 보안대책 적용이 필요하다고 강조했다.

우선 공통 보안대책으로는 ▲회의 참여자의 신원 확인 ▲원칙적으로 회의내용 녹화 금지 ▲화상회의 참여 접근코드(Access Code) 재사용 금지 ▲화면상에 민감한 문서 등이 노출되지 않도록 주의 등이 있다.

외부에서 접근이 용이한 웹(Web)기반의 화상회의 솔루션의 경우 ▲불필요한 채팅이나 파일공유 기능 비활성화 ▲회의방 무단침입 방지를 위한 비밀번호(PIN) 사용 등 보다 강화된 보안대책 적용이 요구된다.

중요 회의시 추가 보안대책으로는 ▲회사가 지급한 단말기 사용 ▲모든 참여자가 회의방 입장 후 회의방 잠금(Locking) ▲회의 주최자만 PC화면 공유 가능 ▲회의내용 녹화시 암호화 조치 등의 추가적인 보안대책 마련이 필요하다.

솔루션의 안전한 활용을 위한 보안 고려사항을 화상회의 전과 후로 나누어 보면 다음과 같다.

◇화상회의 전

➀ 회사 내부의 화상회의 보안정책 마련 및 준수

➁ 화상회의 참여 접근코드 재사용 제한(화상회의 참여시 필요한 코드)

➂ 회의 논의 내용이 민감한 사항인 경우, 일회용 PIN 혹은 회의 식별코드를 사용하고, 다중요소인증 적용도 고려

<중요 회의 시 추가 보안 대책>

➃ 회사가 승인한 화상회의 솔루션만 사용하고, 개별 회의 참여자에게 고유한 PIN 혹은 패스워드를 부여 후 이를 타인에게 공유하지 않도록 관리

➄ 회사가 제공한 단말기를 이용하여 화상회의에 참여

◇화상회의 중·후

➀ “대기방” 기능을 사용하고, 회의 주최자 참여 전까지 회의시작 금지

➁ 회의 참여자가 회의방에 참여시 알람기능(특정 소리 혹은 참여자 이름 등을 재생)을 사용하고, 화상회의 솔루션이 동 기능 미지원시, 회의 주최자가 참여자의 신원을 확인

➂ 대시보드 사용이 가능한 경우, 이를 활용하여 참여자를 모니터링하고, 익명의 청중도 확인

➃ 필요한 경우가 아니면 회의 내용을 녹화하지 말 것

➄ 화면상에 민감한 문서 혹은 정보가 노출되지 않도록 할 것

➅ 웹 기반의 화상회의인 경우 아래 사항 준수

-불필요한 기능(채팅, 파일 공유, PC화면 공유 등) 비활성화

-공격자가 회의방 URL 혹은 회의 식별자(ID)를 추측하여 회의방에 무단침입할 수 없도록 PIN사용

-PC화면을 공유할 수 있는 참여자를 제한하고, 참여자가 PC화면을 공유하기 전 민감한 정보가 부적절하게 공유되지 않도록 상기

<중요 회의 시 추가 보안 대책>

➆ 회의 주최자는 대시보드 기능을 사용해 모든 참여자의 상태를 항상 모니터링

➇ 모든 참여자가 회의방 입장 후에는 회의방 잠금(locking)

➈ 오직 회의 주최자만 PC화면을 공유할 수 있도록 제한

➉ 회의 녹화 내용은 암호화하고, 복호화를 위해서는 암호구문을 사용하여야 하며, 화상회의 플랫폼 내 저장되는 녹화내용은 모두 삭제

금융보안원 김영기 원장은 “코로나19 확산 방지 등을 위해 금융회사의 화상회의 솔루션 활용이 확대되고 있는 상황에서 관련 취약점을 노리는 사이버 공격 또한 늘어날 것으로 보인다”며 “이번 보안 고려사항을 반영하여 금융회사가 보다 안전하게 화상회의 솔루션을 활용할 수 있기를 기대하며, 금융보안원은 원격・재택근무 확대로 인해 발생될 수 있는 각종 사이버 리스크를 최소화하기 위한 노력을 지속할 계획”이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★