[비대면 시대 선점나선 글로벌 기업들] ② 보안 지적받은 '줌'... 종단간 암호화 적용하고 타 B2B 기업에서 보안책임자 영입

CEO 대신 줌 서비스 보안 책임질 전문가 영입

7월부터 서비스 모든 영역에 종단간 암호화 적용... "줌도 미국 정부도 회의 내용 못 본다"

비대면 업계의 선두주자인 줌(줌 비디오 커뮤니케이션즈)이 세일즈포스 출신 최고보안책임자(CISO)를 영입하고, 서비스 모든 영역에 업계 최고 수준의 보안 기술인 종단간 암호화를 도입하는 등 '보안이 취약하다'는 이미지를 씻기 위한 노력을 기울이고 있다.

29일 줌에 따르면, 마이크로소프트 보안 엔지니어링 이사, 세일즈포스 보안 부문 부사장을 역임한 제이슨 리를 줌 CISO로 영입했다.
 

제이슨 리 줌 CISO.[사진=줌 제공]

에릭 위안 줌 최고경영자 주도로 지난 4월부터 진행해온 '줌 90일 보안 강화 계획'이 곧 종료된다. 제이슨 리 CISO는 보안 계획 종료 후에도 줌이 이용자 보안과 프라이버시 보호를 최우선으로 두고 플랫폼 안정성을 확보할 수 있도록 관련 계획을 수립하고 추진할 계획이다. 줌은 보안 계획을 실행하는 동안 하루 이용자 수가 3억명이 넘는 세계 최대의 비대면 화상회의 서비스로 성장했다.

제이슨 리 CISO는 "20년 넘게 IT 보안 조작일 운영해온 경험을 활용해 줌 서비스에 대한 고객의 신뢰를 되찾고, 줌의 사내 문화에 보안을 지속적으로 주입해 나갈 계획"이라고 밝혔다.

리 CISO는 줌 합류 직전 세일즈포스에서 보안 운영을 담당하며, 세일즈포스 서비스의 네트워크, 시스템 보안, 사고 대응, 인텔리전스 위협 대응, 데이터 보호, 취약점 탐지, 침입 탐지, 이용자 접근 관리, 종단간 암호화 등을 개발했다. 또한 마이크로소프트에서 보안 책임자로서 윈도 및 엑스박스 보안 업데이트, 클라우드 서비스 보안 기능 개발, 마이크로소프트 스토어 보안 관리 등에 관여했다.

리 CISO 영입과 함께 줌은 서비스 모든 영역에 종단간 암호화를 적용한다고 밝혔다. 종단간 암호화란 인터넷 통신 시작부터 끝까지 모든 영역을 암호화해 특정 기업이나 정부가 데이터 내용을 들여다 볼 수 없게 하는 보안 기술이다. 줌은 모든 기업이 줌의 보안 노력을 확인할 수 있도록 종단간 암호화 설계 업데이트를 세계 최대 온라인코드 공유 사이트 '깃허브'에도 함께 공개했다. 종단간 암호화는 오는 7월부터 유·무료 여부를 가리지 않고 모든 줌 이용자에게 적용된다.

종단간 암호화가 적용되면 모든 줌 사용자는 'AES 256 GCM 전송 암호화 기술'이 적용된 상태에서 줌 서비스를 이용할 수 있다. AES 256 GCM 전송 암호화 기술은 현재 사용되는 인터넷 보안 기술 중 가장 안전한 암호화 표준이다. AES 256 GCM 전송 암호화 기술이 적용되면 설령 줌이나 특정 정부라 할지라도 기업과 이용자의 회의 내용을 들여다 볼 수 없게 된다.

종단간 암호화 기술은 일반 전화나 SIP/H.323 하드웨어 기반 회의실 시스템에선 이용할 수 없다. 따라서 해당 시스템에서 접속하는 이용자에겐 종단간 암호화 기술이 옵션으로 제공된다. 화상회의 호스트는 진행하는 회의마다 종단간 암호화 적용 여부를 설정할 수 있게 된다. 또한 계정 관리자는 계정 또는 그룹 차원에서 종단간 암호화 활성화 여부를 선택할 수 있다.

이용자가 줌의 종단간 암호화 기술을 이용하려면 문자 메시지를 통한 본인 인증 과정을 거쳐야 한다. 차명 계정 생성을 막기 위함이다.

과거 줌은 자사 서비스에 종단간 암호화를 적용했다고 밝힌 바 있으나, 올해 초 뉴욕타임즈 등 미국 언론 취재로 인해 줌 서비스에 종단간 암호화를 적용하지 않고 'https'와 같은 기초 인터넷 보안 기술만 적용한 것으로 드러났다. 이에 에릭 위안 CEO는 사과문을 발표하고 90일 이내로 줌 서비스에 종단간 암호화를 적용하고, 미국 정부에 이용자 데이터 백서를 제출할 것이라고 밝혔다.