| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- win32
- Python
- Bootstrap
- javascript
- Eclipse
- 당사자표시정정신청서
- Laravel
- php
- 코로나
- Tutorial
- 전자소송
- Java
- 사업자계좌
- auth
- 코로나19
- Blade
- cartalyst
- Sentinel
- 보정명령
- 소액임금체불
- as후기
- AWS
- 체당금
- 인민공원
- elasticSearch
- 이더리움
- blockchain
- reactnative
- 개인사업자
- vue
- Today
- Total
그냥 사는 이야기
Zoom의 취약점 그리고 대안 본문
코로나로 인해 화상회의 사용이 크게 늘었으며 그중 가장 유명한 것이 Zoom입니다. 작년 말 사용자가 천만이라면 3월 말에는 무려 20배가 증가하였다고 합니다. 저 역시 제가 하는 업무를 100% 줌을 통해 화상으로 진행중입니다.
Zoom의 취약점도 덩달아 급증
이렇게 사용자가 많아지다 보니 보안 취약점에 대한 보고도 많이 늘어났습니다. 아무래도 사용자가 늘면서 줌이 많이 집중되었나 봅니다. 화상회의가 감시카메라처럼 영상 데이터가 오고 가는데 사생활에 대한 노출될 여지가 많기에 취약점을 노리는 경우도 많을 수 있을 것 같습니다. 취약점에 대한 예를 들자면
- 이메일 및 사진 계정 탈취
- 페이스북 계정이 없음에도 페이스북으로 데이터 전송
- 제로데이 버그를 통한 맥 유저의 웹캠 하이재킹
등등 계속해서 보고가 되고 있고 적지 않은 수 같아 보입니다. 그래서 4월 1일 줌 공식 블로그에서 사용자가 너무 급증하였고 따라서 보안 강화가 필요하여 향후 90일간 신규 기능 개발을 중단하고 보안 개선에 집중하겠다고 공지를 하였습니다. 취약점에 대한 우려를 잠재우기 위해 발 빠르게 적극 해명하는 것으로 보입니다.
암호화 키를 중국 서버에 전송
그러다 저의 지인이 줌의 일부 패킷이 중국 서버로 간다고 들었다고 알려줬습니다. 저는 처음에 창립자가 에릭유안 중국계 미국인이라서 그런 소문이 도는 게 아닌가 생각했습니다. 그런데 4월 5일 보안뉴스에서 아래 내용의 기사나 떴습니다.
회의 세션과 메시지 등을 암복호화하는 사용되는 암호화 키가 중국 서버에 보관된다
게다가 초기 줌이 공언했던 종단 간 암호화에 대한 설명도 상당히 부실하였고 그것은 줌 측에서도 인정하였습니다. 줌의 자회사 3개가 모두 중국에 있으며 대략 700명으로 구성된 연구팀을 운영하고 있다고 하네요. 연구진 700명이면 적은 규모가 아닌데.... 뭐지???
줌의 대처 하지만...
물론, 이에 대해서 줌은 상당히 빨리 해명을 해주었습니다. 잘은 모르겠지만 지오펜싱 개념을 들어 설명해주며 중국 이외의 사용자는 중국 본토 데이터 센터에서 제거한다고 해명하였습니다. 초기 급증하는 사용자로 인해 급히 서버 용량을 늘렸지만 지오 펜싱을 제대로 구현 못하였다고 하며 바로 잡고자 하는 줌 측의 노력을 설명하였습니다.
보안을 잘 아는 것도 아니고 깊이 있게 이해할 수 없지만 줌 측이 보안 문제를 상당히 중요하고 민감하게 받아들이고 있는 것은 분명합니다.
줌이 사용하기에는 편리한 것은 맞는데 여러분들의 생각은 어떠신가요?
줌의 대안
만약 찜찜해서 변경하고자 한다면 어떤 대안이 있을까요? 저는 구글의 행아웃이 가장 먼저 떠올랐습니다.
구글 행아웃
구글 행아웃은 웹 브라우저 기반에서 사용하면 되기에 별도 설치도 필요 없고 안드로이드 폰에서의 앱으로도 잘되어 있습니다. 줌과는 달리 25명 정도의 제약이 있긴 하지만 G Suite 유료 계정이라면 250명까지 가능하다고 합니다. 줌보다는 적지만 그래도 사용하기 편리해서 줌의 취약점이 걱정된다면 훌륭한 대안이라고 생각합니다.
MS 스카이프
스카이프는 과거 해외 인터넷전화 때부터 서비스했던 것이 기억납니다. 그리고 현재는 화상전화 기능도 이전부터 있었습니다. 소규모에서는 스카이프도 무료로 사용했었었고 기능상에도 크게 문제가 없었습니다. office365랑 연계되어 있습니다. 유료회원에 한해 250명까지 화상회의가 가능하네요. 개인적으로 MS Teams는 추천하지 않지만 스카이프는 과거 소규모 스터디에서 많이 사용했었습니다.
무료 오픈소스 jitsi, jami
오픈소스 제품이 보안이 꼭 좋다고 할 수는 없지만 사용자가 별로 없다면 그게 좋은 점 일수도 있지 않을까요? ^^;;
예전에 지인이 jitsi 써봤냐고 물어봤었는데 그때는 잘 몰랐지만 대안을 찾다 보니 jitsi가 나오더라고요. 그 지인은 회사 내에서 설치하여 잘 썼다고만 하네요. 장단점은 기억이 안 난다고만....
윈도즈, 리눅스, 맥 모두 지원 가능한데 아쉬운 건 2017년까지는 활동이 왕성했던 것 같은데 근래에는 뜸한 것 같습니다.
jami는 현재까지 왕성하게 news가 업데이트되고 맥, 윈도즈, 리눅스, 안드로이드, ios 등 지원도 부족함 없이 되는 것 같습니다. 그리고 분산과 보안을 강조하고 있는데 화상회의에서 분산의 개념이 어떤 장점이 있는지는 잘 모르겠습니다. 블록체인의 분산 개념처럼 중앙에서 관리하는 데이터가 없어서 더 안전하다? 이런 개념인가 싶네요
무료 오픈소스 화상회의는 상당히 호기심이 많이 갑니다. 써볼 기회가 있다면 재미있을 것 같은데 혹, 사용 중이신 분이 계시면 공유해주셔도 좋을 것 같습니다.
'IT' 카테고리의 다른 글
| 이더리움 채굴을 준비하기 (With 마이닝 풀) (0) | 2021.03.22 |
|---|---|
| 로봇청소기 원더스 다이나킹 R15 사용 후기 (1) | 2020.06.22 |
| QCY-T1 와 QCY-T5 비교 (0) | 2020.04.06 |
| Zoom 화상회의 사용시 유용한 팁 (0) | 2020.03.31 |
| Zoom을 사용하여 화상회의 하기 (4) | 2020.03.23 |
