줌(Zoom Video Communications)이 최근 획득한 여러 서드파티 보안 인증 및 증명, 혁신적인 제품 기능을 공개했다. 또한, 플랫폼 전반에 걸쳐 보안 혁신을 알리고 잠재적인 위협을 식별하는 프로그램을 구축했다고 밝혔다. 줌이 사용자의 보안과 개인정보보호에 전념하고 있음을 보여준다.

줌의 정보보안최고책임자(Chief Information Security Officer, CISO) 제이슨 리(Jason Lee)는 “안전, 보안, 개인정보보호는 줌에서 의사결정을 내리고 플랫폼을 향상하는 데 핵심적인 역할을 한다. 줌은 모든 온라인 상호작용, 정보 교류 및 비즈니스를 줌에서 안전하게 진행할 수 있도록 사용자가 신뢰할 수 있는 플랫폼이 되기 위해 지속해서 노력하고 있다”고 밝혔다.

서드파티 인증 및 증명 확장하며 보안 역량 입증
줌은 서드파티 인증과 표준을 보안 프로그램 기반의 필수적인 요소로 여긴다. 최근 줌이 추가로 획득한 주요 인증 및 증명은 다음과 같다.

 CC인증(Common Criteria Certification) 획득: 줌 회의 클라이언트가 화상 커뮤니케이션 소프트웨어 최초로 독일 연방정보기술보안청(BSI)이 발급하는CC인증 EAL2(Evaluation Assurance Level 2; v3.1 rev.5)을 획득했다. 자세한 사항은 웹페이지에서 확인할 수 있다.

 ISO/IEC 27001:2013 인증 및 건강정보신뢰연합(HITRUST) SOC 2+ 규제 준수: 줌 회의(Zoom Meetings), 줌 폰(Zoom Phone), 줌 챗(Zoom Chat), 줌 웨비나(Zoom Webinar), 줌 룸(Zoom Rooms)이 ISO/IEC 27001:2013인증을 획득했다. 또한 줌은 HITRUST CSF 규제를 준수하기 위해 추가적인 기준을 포함해 SOC Type II 감사 범위를 확대했다. 자세한 사항은 웹페이지에서 확인할 수 있다.

 SURF에서 줌 회의, 줌 웨비나, 줌 챗에 대한 정보보호영향평가(Data Protection Impact Assessment, DPIA) 발표: 줌은 네덜란드 교육 및 연구 관련 IT 협력 기구 SURF의 DPIA 과정을 거치면서 신규 기능 개발, 투명성 제고 및 문서화, 평가 계획 수립 등에 대해 동의했다. 자세한 사항은 웹페이지에서 확인할 수 있다.

 사이버 에센셜 플러스(Cyber Essentials Plus) 인증 획득: 줌이 영국 보안 인증인 사이버 에센셜 플러스 인증을 획득함으로써 영국 현지 고객이 줌의 IT 시스템을 더욱 쉽게 평가할 수 있게 되었다. 자세한 사항은 웹페이지에서 확인할 수 있다.

 줌 포 거버먼트(Zoom for Government) 국방정보시스템연구원(Defense Information Systems Agency, DISA) IL4 잠정 승인(Provisional Authorization, PA): 줌은 PA 획득으로 IL4 인증 솔루션을 필요로 기관에 줌 포 거버먼트 플랫폼을 공급할 수 있게 되었다. 자세한 사항은 웹페이지에서 확인할 수 있다.

개인정보보호를 위해 설계한 기능
줌은 줌 클라이언트의 자동 업데이트 지원 등 혁신적으로 모든 사용자를 위해 보안 기능을 고도화하고 있다. 줌은 자동 업데이트를 지원함으로써 사용자가 주요 보안 및 기타 기능 업데이트를 확인하도록 해 전반적인 줌 플랫폼 경험을 한층 높였다.

줌은 보안 강화를 위한 혁신적인 기능을 선보일 계획이다. 올해 중 BYOK(Bring Your Own Key) 기능을 출시하고, 올해 말 줌의 종단간 암호화(E2EE)를 줌 폰으로 확장해 사용자가 줌 클라이언트로 일대일 및 인트라넷 계정 간 통화 시 해당 기능이 적용되도록 지원할 예정이다.

더 안전한 미래를 위한 업계 협력
줌은 증가하는 글로벌 고객 기반의 요구사항을 충족하기 위해 전 세계 전문 지식과 기술을 활용해 보안 혁신을 알리고 잠재적인 위협을 식별하는 프로그램을 구축했다. 일례로, 줌은 향후 보안 및 개인정보보안 혁신에 전략적 자문 기구를 양성하기 위해 CISO 협의회를 신설하고, 영국 국민보건서비스(NHS)를 지원하기 위해 DSP(Data Security and Protection) 툴킷을 개발했다.

나아가 줌은 다양한 업계와 지역 전반에 걸쳐 특정 분야 사용자를 위한 맞춤형 솔루션을 제공한다. 먼저, 줌은 도이치 텔레콤(Deutsche Telekom)과 협업해 독일 시장에 특화된 공동 솔루션인 줌 X 파워드 바이 텔레콤(Zoom X powered by Telekom)을 선보였다. 고객이 좋아하는 줌 경험과 도이치 텔레콤의 신뢰할 수 있는 네트워크와 서비스를 결합한 것이다. 줌의 원활한 비디오 커뮤니케이션 플랫폼을 활용하면 고객은 모든 최종 디바이스에서 회의를 더욱 직관적으로 설정하고 관리할 수 있다.

줌 포 거버먼트 역시 줌이 미국 연방 정부 기관을 위해 설계한 솔루션이다. 줌 포 거버먼트는 미국 주 및 지방 정부 고객은 물론 미국 정부와 협업하는 여타 인증 기업 및 단체도 이용할 수 있다. 줌 포 거버먼트에는 256비트 AES-GCM 암호화와 줌 회의를 위한 종단간 암호화(E2EE)가 제공된다. 줌 회의, 줌 웨비나, 줌 챗 및 줌 폰을 포함하는 줌 포 거버먼트 플랫폼은 2019년 2월 FedRAMP(Federal Risk and Authorization Management Program, 미 연방정부 위험 및 인증 관리 프로그램) Moderate 등급 인증, 2021년 6월 미 공군으로부터 미 국방부 IL4(Department of Defense Impact Level 4, DoD IL4)에 대한 조건부 운용 허가(Authorization to Operate with Conditions, ATO-C) 획득, 2022년 3월 미 DISA으로부터 DoD IL4 잠정 승인(PA) 획득, 2022년 1월 형사사법정보서비스(Criminal Justice Information Services, CJIS) 증명, 2021년 3월 미국 의료정보보호법(HIPAA) 적합성 인증 등 중요한 이정표를 달성했다.

보안 커뮤니티와의 협력 강화
줌은 자사 솔루션과 인프라에 대한 일일 테스트 외에도 프라이빗 버그 바운티 프로그램을 진행하여 숙련된 전 세계 보안 연구자 팀에 투자했다. 줌의 버그 바운티 프로그램은 세계에서 가장 신뢰할 수 있는 윤리적 해킹 솔루션 제공업체인 해커원(HackerOne) 플랫폼에서 진행됐으며 800명 이상의 보안 연구자를 모집하고 수많은 버그 리포트가 제출됐다. 그 결과, 줌은 버그 바운티 프로그램을 시작한 이래 버그 리포트에 대한 보상으로 240만 달러 이상의 포상금을 지급했으며, 2021년에만 401건의 버그 리포트로 180만 달러 이상의 포상금을 지급했다.

보안 및 개인정보보호 기능 교육 강화
줌은 모든 최종 사용자의 개인정보보호와 보안을 최우선으로 삼는다. 줌은 줌 컴플라이언스, 개인정보보호, 안전 및 보안에 대한 자산과 정보를 원스톱으로 제공하는 신뢰 센터(Trust Center)를 신설했다. 신뢰 센터에는 컴플라이언스 및 기업 거버넌스 리소스, 상세한 개인정보보호 개요, 보안 리소스 및 인증, 상세한 신뢰 및 안전 개요가 포함된다. 줌은 여러 무료 강좌를 제공하는 러닝 센터(Learning Center)를 선보여 사용자가 줌 기능을 최대한 활용할 수 있도록 했다. 줌 보안 기초(Zoom Security Basics)에 대한 교육을 완료한 사용자는 보안 챔피언(Security Champion) 배지를 획득하게 된다. 줌 신뢰 센터와 러닝 센터는 줌의 보안 기능과 회의를 안전하게 운영하는 방법에 대한 정보도 제공한다. 줌 신뢰 센터와 러닝 센터는 줌의 보안 기능과 회의를 안전하게 운영하는 방법에 대한 정보도 제공한다. 여기에는 개별 회의, 사용자, 그룹 또는 계정 수준에서 설정된 암호, 대기실, 회의 잠금, 참가자 제거, 참가자 음소거, 참가자 행동 멈추기와 같은 회의 전 및 회의 중 설정이 포함된다.