Zoom의 보안 노력이 의미하는 것
주요 내용
- 미국 연방거래위원회(Federal Trade Commission)가 11월 1일 발표했다. 9일 줌(Zoom)이 보안과 관련해 사용자들을 오도했다고 주장해 줌(Zoom)과 합의했다고 밝혔다.
- 합의를 위해서는 Zoom이 "종합 보안 프로그램"을 마련해야 합니다.
- Zoom은 이미 문제를 해결했으며 최근에 종단 간 암호화를 도입할 것이라고 발표했습니다.
인기 있는 회의 플랫폼 줌 과의 합의의 일환으로 보안 관행을 강화하고 있습니다. 미국 연방거래위원회(FTC), 보안 수준에 대해 사용자를 오도했다는 기관의 주장에 따라.
Zoom은 대면 회의를 심각하게 제한하는 전염병으로 인해 전 세계가 화상 회의 플랫폼으로 눈을 돌리면서 불과 몇 달 만에 가명으로 자리 잡았습니다. 그러나 FTC는 Zoom이 "사용자의 보안을 훼손하는 일련의 기만적이고 불공정한 관행에 관여했다"고 주장했습니다.
이는 올해 초 플랫폼이 종단 간 암호화를 사용하지 않음 마케팅 주장에도 불구하고. Zoom은 또한 그 동안 다른 보안 문제를 보았습니다. 인기 상승, "라는 관행에서 회의를 부수는 환영받지 못한 참가자와 같은줌폭탄." FTC 합의의 일환으로 Zoom은 "포괄적인 보안 프로그램"을 구현하기로 약속했습니다.
"팬데믹 기간 동안 가족, 학교, 사회 단체, 기업 등 거의 모든 사람들이 화상 회의를 사용하여 의사 소통을 하고 있습니다. 이러한 플랫폼의 보안을 그 어느 때보다 중요하게 만들고 있습니다."라고 FTC 소비자 보호국 국장인 Andrew Smith가 말했습니다. 말한다 소속사 보도자료에서.
"Zoom의 보안 관행은 약속과 일치하지 않았으며, 이 조치는 Zoom 회의 및 Zoom 사용자에 대한 데이터를 보호하는 데 도움이 될 것입니다."
정부 조사
FTC는 Zoom이 여러 보안 관련 문제에 대해 사용자를 오도했다고 주장하며, 그 중 가장 중요한 것은 종단 간 암호화에 대한 주장과 관련이 있습니다.
Zoom은 2016년부터 Zoom 통화에 대해 종단 간 256비트 암호화를 제공한다고 주장했지만 실제로는 더 낮은 수준의 보안을 제공했습니다. 종단 간 암호화가 활성화되면 Zoom, 정부 또는 기타 당사자가 아닌 통화 또는 채팅 참가자만 교환된 정보에 액세스할 수 있습니다.
또한 불만 사항은 Zoom이 일부 사용자에게 즉시 암호화될 것이라고 말한 암호화되지 않은 회의를 최대 60일 동안 서버에 저장했다고 주장합니다.
또 다른 문제는 ZoomOpener라는 Mac 소프트웨어와 관련이 있습니다. 이 소프트웨어는 Zoom을 삭제해도 사용자 컴퓨터에 남아 있어 해커에게 취약할 수 있습니다. "이 소프트웨어는 Safari 브라우저 보안 설정을 우회하여 사용자를 위험에 빠뜨렸습니다. 예를 들어, FTC 소비자 교육 전문가인 Alvaro Puig는 설명합니다. 안에 블로그 게시물.
Zoom의 반응
Zoom은 최근에야 FTC 불만을 해결했다고 회사는 말했습니다. 라이프와이어 이메일에서 문제를 "이미 해결"했습니다.
회사 대변인은 "사용자의 보안은 Zoom의 최우선 순위입니다."라고 말했습니다. 라이프와이어 이메일에서. Zoom은 4월에 90일 계획을 시작하는 것을 포함하여 FTC의 주장에 대응하기 위해 몇 가지 조치를 취했습니다. 100개 이상의 기능을 생성 개인 정보 보호 및 보안과 관련이 있습니다.
Zoom은 5월 Keybase라는 회사를 인수하여 10월 말에 종단 간 암호화를 도입했습니다. 종단 간 암호화는 여전히 Zoom이 "기술적 미리보기" 모드라고 부르는 상태이며, 회사는 Zoom의 서버가 암호화 키에 액세스할 수 없다고 말합니다. 현재로서는 호스트 및 소그룹 회의실 이전에 회의에 참여하는 기능을 포함하여 종단 간 암호화 모드에서 일부 기능이 제한됩니다.
Zoom의 종단 간 암호화를 사용하는 방법
앨라배마 대학교 버밍엄 컴퓨터 공학 교수 Nitesh Saxena는 Zoom의 노력이 진정한 종단 간 암호화 시스템을 구현하는 것은 "올바른 방향으로 나아가는 단계"이지만 여전히 해야할 일.
"사용자가 Zoom 통화에서 요구할 수 있는 보안 수준을 실제로 제공하기 전에 해결해야 하는 중요한 문제가 있습니다."라고 그는 말합니다.
Zoom의 보안을 광범위하게 연구한 Saxena는 종단 간 암호화 방법의 보안이 궁극적으로 의존한다고 말합니다. 회의 참가자의 암호화 키를 확인하는 데 사용되는 프로세스(도청자가 전화).
이 경우 사용자는 회의를 시작하기 전에 이를 스스로 확인합니다. Zoom의 종단 간 암호화 프로토콜의 첫 번째 단계에서 회의 주최자는 39자리 코드를 읽습니다. 다른 사람들은 확인해야합니다 그들의 화면에.
"Zoom의 보안 관행은 약속과 일치하지 않았으며, 이 조치는 Zoom 회의 및 Zoom 사용자에 대한 데이터를 보호하는 데 도움이 될 것입니다."
Saxena와 그의 팀의 연구에 따르면 이 접근 방식은 인적 오류가 발생하기 쉬울 수 있음 누군가 주의를 기울이지 않고 실수로 일치하지 않는 코드를 수락하거나 프로세스를 완전히 건너뛰는 경우.
또한 회의 주최자와 참가자는 기본적으로 켜져 있지 않으므로 회의를 시작하기 전에 종단 간 암호화를 활성화해야 합니다. Saxena의 연구에 따르면 Zoom이 사용하는 숫자 코드 유형도 특정 유형의 공격.
따라서 Zoom 사용자는 플랫폼이 FTC 불만으로 제기된 주요 보안 문제를 이미 해결했으며 이제 종단 간 암호화의 첫 번째 단계를 제공한다는 사실에 안도감을 느낄 수 있습니다. 그러나 회의 참가자는 새로운 종단 간 암호화 모드를 올바르게 사용하고 있음을 알고 있어야 합니다. 시작 부분에서 코드 유효성 검사 프로세스를 수행할 때 각별한 주의가 필요합니다. 전화.