검수요청.png검수요청.png

위키원
이동: 둘러보기, 검색
(ZOOM)
(ZOOM)

(ZOOM)은 미국의 기업 줌 비디오 커뮤니케이션(Zoom Video Communications)이 개발한 화상 회의 솔루션이다.

아사달 스마트 호스팅 가로 배너 (since 1998).jpg
이 그림에 대한 정보
[아사달] 스마트 호스팅

개요[편집]

줌은 줌 비디오 커뮤니케이션이 개발한 화상 회의 솔루션이다. 화상 회의, 온라인 회의, 채팅, 모바일 협업을 하나로 합친 '원격 회의 서비스'를 제공한다. 클라우드 기반 P2P 소프트웨어 플랫폼을 경유한다.[1]

특징[편집]

  • 다양한 IT 디바이스에서 사용 가능
인터넷이 연결 가능한 모든 IT 디바이스에 줌을 설치 혹은 접속하여 줌 화상회의가 가능하다. 다만, 데스크톱의 경우 마이크와 웹캠 장비를 구비해야 할 수 있다. 스마트폰은 카메라와 마이크가 있기 때문에 좀 더 쉽고 빠르게 회의를 개설하거나 만들어진 회의에 참여하는 것이 가능하다.
  • 많은 사람들이 참석이 가능
줌 기본 요금제로 가능한 회의라면 1명의 주최자가 있고 최대 참석자는 100명이다. 무료로 100명이 온라인 화상회의나 실시간 온라인 강의하는 것이 가능하다.
  • 회원가입이 필요 없다
회의 참여를 위한 회원가입이 별도로 필요하지 않다.
  • 무료 사용 가능
몇 가지 제한은 있지만 무료 사용이 가능하다. 물론, 비즈니스적으로 필요하다면, 유료 서비스도 별도로 운영하고 있다. 무료 사용은 40분까지 사용 가능하다.
  • 가상회의 및 강의 초대가 매우 쉽다
연락처, 메일 그리고 링크를 생성하여 참여자들을 초대할 수 있다. 많이 사용하는 방법으로는 링크를 생성하여 카톡이나 메신저로 링크를 전달하면 바로 참여가 가능할 수 있다. 줌 애플리케이션이 설치가 되어 있다면 더욱 빠르게 참여가 가능해질 것이다.
  • 타의 추종을 불허하는 사용성
모든 장치에서 손쉽게 시작, 참가 및 공동 작업을 수행할 수 있는 회의 기능을 제공하여 신속하게 적용할 수 있다.
  • 모든 장치에서 어디서나 참가
줌 회의는 일정 시스템과 동기화되며 데스크톱 및 모바일에서 능률적인 엔터프라이즈급 비디오 회의를 제공한다.
  • 모든 요구에 적합한 비디오
하나의 통신 플랫폼으로 내부 및 외부 통신, 전체 회의 및 교육이 가능하다.[2]

기능[편집]

  • HD 비디오 및 오디오
화면에서 최대 1000명의 비디오 참가자와 49개의 비디오를 지원하여 회의에 HD 비디오 및 오디오를 사용할 수 있다.
  • 공동 작업 도구 내장
여러 참가자가 동시에 화면을 공유하고 대화형 회의를 위해 공동으로 주석을 추가할 수 있다.
  • 보안이 보장된 회의
모든 회의, 역할 기반 사용자 보안, 비밀번호 보호, 대기실 및 대기 중인 참석자를 위한 암호화
  • 기록 및 대본
회의가 로컬 또는 클라우드에 기록되며 검색 가능한 대본이 제공된다.
  • 간소화된 일정 관리
아웃룩, 지메일 또는 iCal에서 회의를 예약하거나 시작할 수 있다.
  • 팀 채팅
그룹 채팅, 검색 가능한 이력, 파일 공유 통합 및 10년 간 아카이브가 지원된다. 1:1 또는 그룹 통화로 쉽게 에스컬레이션할 수 있다.
  • 참가자 권한 관리 기능
많은 사람들이 참여하게 되면 회의 진행이 뒤죽박죽이 될 수 있다. 이때 음성과 비디오에 대한 권한을 선택적으로 제어가 가능하기 때문에 회의 진행을 좀 더 매끄럽게 이어갈 수 있다.
  • 화면 공유 기능
줌에 참여한 사람들은 각자의 스마트폰, PC, 태블릿 등의 화면을 공유할 수 있으며 공유된 보드에 메모를 서로 서로할 수 있다. 서로의 생각을 화상회의를 통해서도 가능한 것이다. 준바한 자료가 있다면 그것을 프레젠테이션하면서 판서와 설명을 적절히 엮어가며 상대방에게 의사전달을 효과적으로 할 수 있게끔 용이하고 편리한 기능을 줌 화상회의에 적용할 수 있다.[2]

취약점[편집]

줌의 보안상 취약점은 기본적으로 링크가 담겨 있는 초대장을 직접 전달해 접속하는 방식에서 기인한다. 초대장을 자세히 보면 화상 미팅 참여는 초대장의 링크주소만 클릭하면 바로 회의 참여가 가능한 구조이다. 당연히 해당 링크만 있으면 악의적인 목적을 가진 제 3자가 회의에 입장하여 엿보는 것이 전혀 어렵지 않은 구조이다. 이러한 방식은 2020년 3월 중순까지 계속되었다. 줌 화상회의 경우 화상 카메라가 필수가 아니고 음성으로만 참여 하는 것도 가능하고 일반 전화로도 별도 인증없이 참여가 가능하여 늘 보안 위험성을 가지고 있었다. 줌 폭탄(Zoom Bombing)은 취약 구조를 이용하여 화상회의 도중 제 3자가 들어와 정치적 메세지에 해당하는 나치 문양이나 인종차별 메시지를 보내고 음란물 사진이나 영상을 투척하는 등의 행위를 하는 것을 지칭한다. 동일한 의미로 줌 트롤링(Zoom Trolling)이라고도 한다. 초대장에 적힌 고유 접속번호(링크)만 알면 줌 폭탄은 누구나 쉽게 할 수 있다. 화상회의 중 누군가 들어와 9.11 테러 영상을 틀거나, 손가락 욕을 하는 등 줌 폭탄 사례는 다양하다. 평문으로 전달되는 회의 아이디(링크)만 알면 누구나 접속 가능한 줌의 취약성은 FBI가 이미 경고한 바 있다. 2020년 3월 말 메사추세스주 한 고등학교에서 줌을 활용한 원격강의 때 줌 폭탄이 일어난 후 FBI는 추가적으로 줌을 통한 회의 내용이 유출될 수 있음을 경고했다. 통신상 영상과 음성 데이터의 암호화가 적용되지 않고 있다는 말이다. 지금까지 알려진 줌의 문제점과 취약성은 총 14개이며. 이중에서 가장 취약한 점을 분석하면 다음 4가지이다.[3]

  • 종단간 암호화 문제(End-to-End Encryption)
줌은 공식적으로 종단간(End-to-End) 암호화를 지원한다고 한다. 하지만 이것은 사기에 가깝다. 줌은 크게 2가지 방식으로 서비스를 제공하고 있다. 무료로 100명까지 40분 동안 사용할 도 있는 대중(퍼블릭) 클라우드 버전과 사용자 관리를 제외한 미팅 데이터(음성, 영상, 텍스트)를 사용자가 서버에 직접 보관할 수 있는 일종의 개인(프라이빗) 클라우드(On-Premise 혹은 하이브리드 클라우드) 유료 버전이다. 공교육 시장에서는 주로 무료이거나 저렴한 퍼블릭 클라우드 버전을 많이 활용한다. 과거 화상회의 솔루션들은 서버의 부하를 줄이고자 대부분의 통신을 P2P(Peer to Peer) 방식으로 처리하여 서비스 공급자의 서버로는 미팅 데이터(화상, 음성, 텍스트)가 경유 되지 않았다. 이러한 방식은 소규모 화상회의나 온라인 교육관련 솔루션에서는 아직도 많이 사용한다. 지금은 PC뿐만이 아니고 스마트폰으로도 연결할 수 있도록 하고 다수가 참여해도 회의 품질을 유지하기 위하여 모든 데이터를 서버에서 처리하여 대역폭 관리를 최종 사용자의 단말기와 통신 사정에 따라 최적화 할 수 있는 퍼블릭 클라우드기반으로 하는 것이 추세다. 이 경우 데이터 보안문제에 신경써야 한다. 퍼블릭 클라우드 서비스에서 보안은 회사의 존폐를 좌지우지 할 수 있을 정도로 중요한 문제이다. 줌은 공식적으로 종단간 암호화를 지원하고 있다고 표명했다. 공식 자료에도 암호화를 뜻하는 자물쇠 아이콘을 사용하고 있다. 정말 암호화가 이뤄지고 있을까. 일반적으로 영상/음성 전송과 같이 속도가 중요한 스트리밍 서비스에 주로 사용하는 인터넷 통신 프로토콜을 TCP/IP대비 UDP(User Datagram Protocol)라 한다. UDP 특성상 TCP보다 연결 속도가 빠르고 다중 연결(1:N, N:M)을 가능하게 하지만 동시에 신뢰성이 TCP에 비하여 떨어지고 비연결형 서비스이기 때문에 네트워크의 여러 경로를 지나게 된다. TCP의 경우 HTTPS, SSL을 통해 인증절차와 함께 패킷을 암호화 할 수 있으나 UDP의 경우 DNS 캐시 포이즈닝이나 DNS 스푸핑을 통해 암호화 되어 있지 않은 패킷을 가로채어 내용을 들여다 볼 수 있다. 웹브라우저를 통해 줌에 가입하고 로그인하여 화상회의를 열거나(Hosting) 화상회의에 참여하는 과정은 통신상에서 그들이 말한 종단 간 암호화가 되어 있다. 보통 사용자 정보와 회의 정보와 같은 메타데이터 통신은 암호화되어 있다는 것이다. 회원가입과 회의 열기 등은 모두 웹브라우저에서 가능한 기능이고 실제로 화상회의나 온라인 교육처럼 영상과 음성 및 채팅 등은 별도의 애플리케이션이 구동된다. 문제는 이 애플리케이션이다. 그러나 실제로 화상회의 혹은 온라인 교육 시 영상과 음성데이터는 일반적인 UDP로서 암호화 되어 있지 않다. 맥락데이터(User & Meeting Meta Data)는 암호화되어 있는데 정작 회의내용에 해당하는 영상과 음성(Meeting Data)은 암호화되어 있지 않다. 현실적으로도 수많은 영상 음성 회의를 클라우드상에서 암호화하여 다양한 단말기에 전송하기에는 기술적으로도 쉽지 않은 문제이다. 이 말은 결국 미팅 데이터를 직접 보관할 수 있는 고가의 프라이빗 클라우드(On-Premise 버전) 버전을 사지 않는 한 서버를 관리하는 줌에서는 전세계의 모든 회의 데이터를 들여다 볼 수 있다는 말이 된다. 이 문제는 해외의 여러 언론과 연구기관 및 보안회사들이 경고하고 있다. 줌이 말하는 종단 간 암호화는 마케팅 용어에 지나지 않는다는 지적들이 많다.[3]
  • 중국 서버 경유 문제
대부분의 퍼블릭 클라우드 서비스들은 높은 서비스 품질과 가용성을 위하여 주로 아마존 AWS를 인프라로 사용한다. 줌 역시 아마존 AWS를 사용하고 있으며 아마존 AWS의 특성상 전세계의 서버에 분산처리를 하고 있다. 예를 들면, 우리나라에서 줌 서비스를 이용할 때 바로 미국 아마존의 줌 메인 서비스에 접속하는 것이 아니라 국내의 아마존 서비스(아마존 한국 Region)에 복제되어 있는 서비스를 이용할 수 있다. 네트워크 부하에 따라서 싱가폴의 아마존 AWS를 사용할 수도 있고 중국의 아마존 AWS에 접근할 수도 있다. 당연히 중국 고객들을 위한 안정적인 서비스를 위해서는 중국 아마존 AWS(아마존 중국 Region)를 이용했을 터인데 사실 이러한 방식은 전세계 글로벌 온라인 서비스 업체들은 동일한 방식으로 서비스 한다. 문제는 회의 내용이 암호화 없이 그대로 노출 될 수 있어 차이나 리스크 관점에서 줌 서비스를 도입하기 어렵게 만들 수 있다. 특히 캐나다의 보안업체인 시티즌랩이 밝혀낸 것처럼 맥락데이터(User & Meeting Meta Data)의 암호화를 위한 인증 키마저도 줌 중국 지사에서 관리하는 서버에 있다는 것이 알려지면서 '과연 줌이 중국정부의 정보 공개 요구가 있을 경우 반대할 수 있겠는가?'라는 의문이 들 수밖에 없다. 이러한 이유로 미군, NATO, 영국 국방부, 대만, 미국 일부지역(뉴욕, LA), 싱가폴에서는 줌 사용을 금지하고 있다. 해당 문제가 불거진 이후 창업자 에릭 유안과 줌은 공식적으로 중국쪽 서버를 통신 연결에서 배제했다고 했다.[3]
  • 비밀번호 없는 회의 초대장 문제
2020년 3월 중순까지는 화상 회의 초대장은 비밀번호가 없는 단문 형식 링크 주소였다. 링크주소만 있으면 누구나 들어갈 수 있었다. 해당 보안 문제가 불거진 이후 초대장은 다음과 같이 비번과 함께 바뀌었지만 여전히 취약하다. 한 번 초대장이 유출되면 모든 화상 대화 내용이 유출된 것이나 마찬가지다. 이중안전장치가 없는 것이다.[3]
  • iOS 애플리케이션 개인정보 유출 문제
iOS 애플리케이션은 페이스북에 줌의 개인 정보 및 사용 정보를 광고 서비스 목적으로 페이스북에 전송하였으며 사전에 사용자에게 고지가 없었다. 창업자 에릭 유안과 줌은 공식적으로 사과하고 수정하였지만 개인정보를 언제든 마케팅에 사용할 수 있는다는 우려가 적지 않다.[3]

각주[편집]

  1. 줌 비디오 커뮤니케이션〉, 《위키백과》
  2. 2.0 2.1 줌 비디오 커뮤니케이션 공식 홈페이지 - https://zoom.us/ko-ko/meetings.html
  3. 3.0 3.1 3.2 3.3 3.4 지윤성, 〈'줌(Zoom)' 화상회의, 보안상 안전하지 않다〉, 《뉴스톱》, 2020-04-20

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 줌 문서는 인터넷에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.