ÁÜ(Zoom Video Communications)ÀÌ Ãֱ٠ȹµæÇÑ ¿©·¯ ¼µåÆÄƼ º¸¾È ÀÎÁõ ¹× Áõ¸í, Çõ½ÅÀûÀÎ Á¦Ç° ±â´ÉÀ» °ø°³Çß´Ù. ¶ÇÇÑ, Ç÷§Æû Àü¹Ý¿¡ °ÉÃÄ º¸¾È Çõ½ÅÀ» ¾Ë¸®°í ÀáÀçÀûÀÎ À§ÇùÀ» ½Äº°ÇÏ´Â ÇÁ·Î±×·¥À» ±¸ÃàÇß´Ù°í ¹àÇû´Ù. ÁÜÀÌ »ç¿ëÀÚÀÇ º¸¾È°ú °³ÀÎÁ¤º¸º¸È£¿¡ Àü³äÇÏ°í ÀÖÀ½À» º¸¿©ÁØ´Ù.
ÁÜÀÇ Á¤º¸º¸¾ÈÃÖ°íÃ¥ÀÓÀÚ(Chief Information Security Officer, CISO) Á¦À̽¼ ¸®(Jason Lee)´Â “¾ÈÀü, º¸¾È, °³ÀÎÁ¤º¸º¸È£´Â ÁÜ¿¡¼ ÀÇ»ç°áÁ¤À» ³»¸®°í Ç÷§ÆûÀ» Çâ»óÇÏ´Â µ¥ ÇÙ½ÉÀûÀÎ ¿ªÇÒÀ» ÇÑ´Ù. ÁÜÀº ¸ðµç ¿Â¶óÀÎ »óÈ£ÀÛ¿ë, Á¤º¸ ±³·ù ¹× ºñÁî´Ï½º¸¦ ÁÜ¿¡¼ ¾ÈÀüÇÏ°Ô ÁøÇàÇÒ ¼ö ÀÖµµ·Ï »ç¿ëÀÚ°¡ ½Å·ÚÇÒ ¼ö ÀÖ´Â Ç÷§ÆûÀÌ µÇ±â À§ÇØ Áö¼ÓÇؼ ³ë·ÂÇÏ°í ÀÖ´Ù”°í ¹àÇû´Ù.
¼µåÆÄƼ ÀÎÁõ ¹× Áõ¸í È®ÀåÇÏ¸ç º¸¾È ¿ª·® ÀÔÁõ
ÁÜÀº ¼µåÆÄƼ ÀÎÁõ°ú Ç¥ÁØÀ» º¸¾È ÇÁ·Î±×·¥ ±â¹ÝÀÇ ÇʼöÀûÀÎ ¿ä¼Ò·Î ¿©±ä´Ù. ÃÖ±Ù ÁÜÀÌ Ãß°¡·Î ȹµæÇÑ ÁÖ¿ä ÀÎÁõ ¹× Áõ¸íÀº ´ÙÀ½°ú °°´Ù.
CCÀÎÁõ(Common Criteria Certification) ȹµæ: ÁÜ È¸ÀÇ Å¬¶óÀ̾ðÆ®°¡ È»ó Ä¿¹Â´ÏÄÉÀÌ¼Ç ¼ÒÇÁÆ®¿þ¾î ÃÖÃÊ·Î µ¶ÀÏ ¿¬¹æÁ¤º¸±â¼úº¸¾Èû(BSI)ÀÌ ¹ß±ÞÇÏ´ÂCCÀÎÁõ EAL2(Evaluation Assurance Level 2; v3.1 rev.5)À» ȹµæÇß´Ù. ÀÚ¼¼ÇÑ »çÇ×Àº À¥ÆäÀÌÁö¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
ISO/IEC 27001:2013 ÀÎÁõ ¹× °Ç°Á¤º¸½Å·Ú¿¬ÇÕ(HITRUST) SOC 2+ ±ÔÁ¦ Áؼö: ÁÜ È¸ÀÇ(Zoom Meetings), ÁÜ Æù(Zoom Phone), ÁÜ Ãª(Zoom Chat), ÁÜ ¿þºñ³ª(Zoom Webinar), ÁÜ ·ë(Zoom Rooms)ÀÌ ISO/IEC 27001:2013ÀÎÁõÀ» ȹµæÇß´Ù. ¶ÇÇÑ ÁÜÀº HITRUST CSF ±ÔÁ¦¸¦ ÁؼöÇϱâ À§ÇØ Ãß°¡ÀûÀÎ ±âÁØÀ» Æ÷ÇÔÇØ SOC Type II °¨»ç ¹üÀ§¸¦ È®´ëÇß´Ù. ÀÚ¼¼ÇÑ »çÇ×Àº À¥ÆäÀÌÁö¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
SURF¿¡¼ ÁÜ È¸ÀÇ, ÁÜ ¿þºñ³ª, ÁÜ Ãª¿¡ ´ëÇÑ Á¤º¸º¸È£¿µÇâÆò°¡(Data Protection Impact Assessment, DPIA) ¹ßÇ¥: ÁÜÀº ³×´ú¶õµå ±³À° ¹× ¿¬±¸ °ü·Ã IT Çù·Â ±â±¸ SURFÀÇ DPIA °úÁ¤À» °ÅÄ¡¸é¼ ½Å±Ô ±â´É °³¹ß, Åõ¸í¼º Á¦°í ¹× ¹®¼È, Æò°¡ °èȹ ¼ö¸³ µî¿¡ ´ëÇØ µ¿ÀÇÇß´Ù. ÀÚ¼¼ÇÑ »çÇ×Àº À¥ÆäÀÌÁö¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
»çÀ̹ö ¿¡¼¾¼È Ç÷¯½º(Cyber Essentials Plus) ÀÎÁõ ȹµæ: ÁÜÀÌ ¿µ±¹ º¸¾È ÀÎÁõÀÎ »çÀ̹ö ¿¡¼¾¼È Ç÷¯½º ÀÎÁõÀ» ȹµæÇÔÀ¸·Î½á ¿µ±¹ ÇöÁö °í°´ÀÌ ÁÜÀÇ IT ½Ã½ºÅÛÀ» ´õ¿í ½±°Ô Æò°¡ÇÒ ¼ö ÀÖ°Ô µÇ¾ú´Ù. ÀÚ¼¼ÇÑ »çÇ×Àº À¥ÆäÀÌÁö¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
ÁÜ Æ÷ °Å¹ö¸ÕÆ®(Zoom for Government) ±¹¹æÁ¤º¸½Ã½ºÅÛ¿¬±¸¿ø(Defense Information Systems Agency, DISA) IL4 ÀáÁ¤ ½ÂÀÎ(Provisional Authorization, PA): ÁÜÀº PA ȹµæÀ¸·Î IL4 ÀÎÁõ ¼Ö·ç¼ÇÀ» ÇÊ¿ä·Î ±â°ü¿¡ ÁÜ Æ÷ °Å¹ö¸ÕÆ® Ç÷§ÆûÀ» °ø±ÞÇÒ ¼ö ÀÖ°Ô µÇ¾ú´Ù. ÀÚ¼¼ÇÑ »çÇ×Àº À¥ÆäÀÌÁö¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
°³ÀÎÁ¤º¸º¸È£¸¦ À§ÇØ ¼³°èÇÑ ±â´É
ÁÜÀº ÁÜ Å¬¶óÀ̾ðÆ®ÀÇ ÀÚµ¿ ¾÷µ¥ÀÌÆ® Áö¿ø µî Çõ½ÅÀûÀ¸·Î ¸ðµç »ç¿ëÀÚ¸¦ À§ÇØ º¸¾È ±â´ÉÀ» °íµµÈÇÏ°í ÀÖ´Ù. ÁÜÀº ÀÚµ¿ ¾÷µ¥ÀÌÆ®¸¦ Áö¿øÇÔÀ¸·Î½á »ç¿ëÀÚ°¡ ÁÖ¿ä º¸¾È ¹× ±âŸ ±â´É ¾÷µ¥ÀÌÆ®¸¦ È®ÀÎÇϵµ·Ï ÇØ Àü¹ÝÀûÀÎ ÁÜ Ç÷§Æû °æÇèÀ» ÇÑÃþ ³ô¿´´Ù.
ÁÜÀº º¸¾È °È¸¦ À§ÇÑ Çõ½ÅÀûÀÎ ±â´ÉÀ» ¼±º¸ÀÏ °èȹÀÌ´Ù. ¿ÃÇØ Áß BYOK(Bring Your Own Key) ±â´ÉÀ» Ãâ½ÃÇÏ°í, ¿ÃÇØ ¸» ÁÜÀÇ Á¾´Ü°£ ¾ÏÈ£È(E2EE)¸¦ ÁÜ ÆùÀ¸·Î È®ÀåÇØ »ç¿ëÀÚ°¡ ÁÜ Å¬¶óÀ̾ðÆ®·Î ÀÏ´ëÀÏ ¹× ÀÎÆ®¶ó³Ý °èÁ¤ °£ ÅëÈ ½Ã ÇØ´ç ±â´ÉÀÌ Àû¿ëµÇµµ·Ï Áö¿øÇÒ ¿¹Á¤ÀÌ´Ù.
´õ ¾ÈÀüÇÑ ¹Ì·¡¸¦ À§ÇÑ ¾÷°è Çù·Â
ÁÜÀº Áõ°¡ÇÏ´Â ±Û·Î¹ú °í°´ ±â¹ÝÀÇ ¿ä±¸»çÇ×À» ÃæÁ·Çϱâ À§ÇØ Àü ¼¼°è Àü¹® Áö½Ä°ú ±â¼úÀ» È°¿ëÇØ º¸¾È Çõ½ÅÀ» ¾Ë¸®°í ÀáÀçÀûÀÎ À§ÇùÀ» ½Äº°ÇÏ´Â ÇÁ·Î±×·¥À» ±¸ÃàÇß´Ù. ÀÏ·Ê·Î, ÁÜÀº ÇâÈÄ º¸¾È ¹× °³ÀÎÁ¤º¸º¸¾È Çõ½Å¿¡ Àü·«Àû ÀÚ¹® ±â±¸¸¦ ¾ç¼ºÇϱâ À§ÇØ CISO ÇùÀÇȸ¸¦ ½Å¼³ÇÏ°í, ¿µ±¹ ±¹¹Îº¸°Ç¼ºñ½º(NHS)¸¦ Áö¿øÇϱâ À§ÇØ DSP(Data Security and Protection) ÅøŶÀ» °³¹ßÇß´Ù.
³ª¾Æ°¡ ÁÜÀº ´Ù¾çÇÑ ¾÷°è¿Í Áö¿ª Àü¹Ý¿¡ °ÉÃÄ Æ¯Á¤ ºÐ¾ß »ç¿ëÀÚ¸¦ À§ÇÑ ¸ÂÃãÇü ¼Ö·ç¼ÇÀ» Á¦°øÇÑ´Ù. ¸ÕÀú, ÁÜÀº µµÀÌÄ¡ ÅÚ·¹ÄÞ(Deutsche Telekom)°ú Çù¾÷ÇØ µ¶ÀÏ ½ÃÀå¿¡ Æ¯ÈµÈ °øµ¿ ¼Ö·ç¼ÇÀÎ ÁÜ X ÆÄ¿öµå ¹ÙÀÌ ÅÚ·¹ÄÞ(Zoom X powered by Telekom)À» ¼±º¸¿´´Ù. °í°´ÀÌ ÁÁ¾ÆÇÏ´Â ÁÜ °æÇè°ú µµÀÌÄ¡ ÅÚ·¹ÄÞÀÇ ½Å·ÚÇÒ ¼ö ÀÖ´Â ³×Æ®¿öÅ©¿Í ¼ºñ½º¸¦ °áÇÕÇÑ °ÍÀÌ´Ù. ÁÜÀÇ ¿øÈ°ÇÑ ºñµð¿À Ä¿¹Â´ÏÄÉÀÌ¼Ç Ç÷§ÆûÀ» È°¿ëÇÏ¸é °í°´Àº ¸ðµç ÃÖÁ¾ µð¹ÙÀ̽º¿¡¼ ȸÀǸ¦ ´õ¿í Á÷°üÀûÀ¸·Î ¼³Á¤ÇÏ°í °ü¸®ÇÒ ¼ö ÀÖ´Ù.
ÁÜ Æ÷ °Å¹ö¸ÕÆ® ¿ª½Ã ÁÜÀÌ ¹Ì±¹ ¿¬¹æ Á¤ºÎ ±â°üÀ» À§ÇØ ¼³°èÇÑ ¼Ö·ç¼ÇÀÌ´Ù. ÁÜ Æ÷ °Å¹ö¸ÕÆ®´Â ¹Ì±¹ ÁÖ ¹× Áö¹æ Á¤ºÎ °í°´Àº ¹°·Ð ¹Ì±¹ Á¤ºÎ¿Í Çù¾÷ÇÏ´Â ¿©Å¸ ÀÎÁõ ±â¾÷ ¹× ´Üüµµ ÀÌ¿ëÇÒ ¼ö ÀÖ´Ù. ÁÜ Æ÷ °Å¹ö¸ÕÆ®¿¡´Â 256ºñÆ® AES-GCM ¾ÏÈ£È¿Í ÁÜ È¸ÀǸ¦ À§ÇÑ Á¾´Ü°£ ¾ÏÈ£È(E2EE)°¡ Á¦°øµÈ´Ù. ÁÜ È¸ÀÇ, ÁÜ ¿þºñ³ª, ÁÜ Ãª ¹× ÁÜ ÆùÀ» Æ÷ÇÔÇÏ´Â ÁÜ Æ÷ °Å¹ö¸ÕÆ® Ç÷§ÆûÀº 2019³â 2¿ù FedRAMP(Federal Risk and Authorization Management Program, ¹Ì ¿¬¹æÁ¤ºÎ À§Çè ¹× ÀÎÁõ °ü¸® ÇÁ·Î±×·¥) Moderate µî±Þ ÀÎÁõ, 2021³â 6¿ù ¹Ì °ø±ºÀ¸·ÎºÎÅÍ ¹Ì ±¹¹æºÎ IL4(Department of Defense Impact Level 4, DoD IL4)¿¡ ´ëÇÑ Á¶°ÇºÎ ¿î¿ë Çã°¡(Authorization to Operate with Conditions, ATO-C) ȹµæ, 2022³â 3¿ù ¹Ì DISAÀ¸·ÎºÎÅÍ DoD IL4 ÀáÁ¤ ½ÂÀÎ(PA) ȹµæ, 2022³â 1¿ù Çü»ç»ç¹ýÁ¤º¸¼ºñ½º(Criminal Justice Information Services, CJIS) Áõ¸í, 2021³â 3¿ù ¹Ì±¹ ÀÇ·áÁ¤º¸º¸È£¹ý(HIPAA) ÀûÇÕ¼º ÀÎÁõ µî Áß¿äÇÑ ÀÌÁ¤Ç¥¸¦ ´Þ¼ºÇß´Ù.
º¸¾È Ä¿¹Â´ÏƼ¿ÍÀÇ Çù·Â °È
ÁÜÀº ÀÚ»ç ¼Ö·ç¼Ç°ú ÀÎÇÁ¶ó¿¡ ´ëÇÑ ÀÏÀÏ Å×½ºÆ® ¿Ü¿¡µµ ÇÁ¶óÀ̺ø ¹ö±× ¹Ù¿îƼ ÇÁ·Î±×·¥À» ÁøÇàÇÏ¿© ¼÷·ÃµÈ Àü ¼¼°è º¸¾È ¿¬±¸ÀÚ ÆÀ¿¡ ÅõÀÚÇß´Ù. ÁÜÀÇ ¹ö±× ¹Ù¿îƼ ÇÁ·Î±×·¥Àº ¼¼°è¿¡¼ °¡Àå ½Å·ÚÇÒ ¼ö ÀÖ´Â À±¸®Àû ÇØÅ· ¼Ö·ç¼Ç Á¦°ø¾÷üÀÎ ÇØÄ¿¿ø(HackerOne) Ç÷§Æû¿¡¼ ÁøÇàµÆÀ¸¸ç 800¸í ÀÌ»óÀÇ º¸¾È ¿¬±¸ÀÚ¸¦ ¸ðÁýÇÏ°í ¼ö¸¹Àº ¹ö±× ¸®Æ÷Æ®°¡ Á¦ÃâµÆ´Ù. ±× °á°ú, ÁÜÀº ¹ö±× ¹Ù¿îƼ ÇÁ·Î±×·¥À» ½ÃÀÛÇÑ ÀÌ·¡ ¹ö±× ¸®Æ÷Æ®¿¡ ´ëÇÑ º¸»óÀ¸·Î 240¸¸ ´Þ·¯ ÀÌ»óÀÇ Æ÷»ó±ÝÀ» Áö±ÞÇßÀ¸¸ç, 2021³â¿¡¸¸ 401°ÇÀÇ ¹ö±× ¸®Æ÷Æ®·Î 180¸¸ ´Þ·¯ ÀÌ»óÀÇ Æ÷»ó±ÝÀ» Áö±ÞÇß´Ù.
º¸¾È ¹× °³ÀÎÁ¤º¸º¸È£ ±â´É ±³À° °È
ÁÜÀº ¸ðµç ÃÖÁ¾ »ç¿ëÀÚÀÇ °³ÀÎÁ¤º¸º¸È£¿Í º¸¾ÈÀ» ÃÖ¿ì¼±À¸·Î »ï´Â´Ù. ÁÜÀº ÁÜ ÄÄÇöóÀ̾ð½º, °³ÀÎÁ¤º¸º¸È£, ¾ÈÀü ¹× º¸¾È¿¡ ´ëÇÑ ÀÚ»ê°ú Á¤º¸¸¦ ¿ø½ºÅéÀ¸·Î Á¦°øÇÏ´Â ½Å·Ú ¼¾ÅÍ(Trust Center)¸¦ ½Å¼³Çß´Ù. ½Å·Ú ¼¾ÅÍ¿¡´Â ÄÄÇöóÀ̾𽺠¹× ±â¾÷ °Å¹ö³Í½º ¸®¼Ò½º, »ó¼¼ÇÑ °³ÀÎÁ¤º¸º¸È£ °³¿ä, º¸¾È ¸®¼Ò½º ¹× ÀÎÁõ, »ó¼¼ÇÑ ½Å·Ú ¹× ¾ÈÀü °³¿ä°¡ Æ÷ÇԵȴÙ. ÁÜÀº ¿©·¯ ¹«·á °Á¸¦ Á¦°øÇÏ´Â ·¯´× ¼¾ÅÍ(Learning Center)¸¦ ¼±º¸¿© »ç¿ëÀÚ°¡ ÁÜ ±â´ÉÀ» ÃÖ´ëÇÑ È°¿ëÇÒ ¼ö ÀÖµµ·Ï Çß´Ù. ÁÜ º¸¾È ±âÃÊ(Zoom Security Basics)¿¡ ´ëÇÑ ±³À°À» ¿Ï·áÇÑ »ç¿ëÀÚ´Â º¸¾È èÇǾð(Security Champion) ¹èÁö¸¦ ȹµæÇÏ°Ô µÈ´Ù. ÁÜ ½Å·Ú ¼¾ÅÍ¿Í ·¯´× ¼¾ÅÍ´Â ÁÜÀÇ º¸¾È ±â´É°ú ȸÀǸ¦ ¾ÈÀüÇÏ°Ô ¿î¿µÇÏ´Â ¹æ¹ý¿¡ ´ëÇÑ Á¤º¸µµ Á¦°øÇÑ´Ù. ÁÜ ½Å·Ú ¼¾ÅÍ¿Í ·¯´× ¼¾ÅÍ´Â ÁÜÀÇ º¸¾È ±â´É°ú ȸÀǸ¦ ¾ÈÀüÇÏ°Ô ¿î¿µÇÏ´Â ¹æ¹ý¿¡ ´ëÇÑ Á¤º¸µµ Á¦°øÇÑ´Ù. ¿©±â¿¡´Â °³º° ȸÀÇ, »ç¿ëÀÚ, ±×·ì ¶Ç´Â °èÁ¤ ¼öÁØ¿¡¼ ¼³Á¤µÈ ¾ÏÈ£, ´ë±â½Ç, ȸÀÇ Àá±Ý, Âü°¡ÀÚ Á¦°Å, Âü°¡ÀÚ À½¼Ò°Å, Âü°¡ÀÚ Çൿ ¸ØÃß±â¿Í °°Àº ȸÀÇ Àü ¹× ȸÀÇ Áß ¼³Á¤ÀÌ Æ÷ÇԵȴÙ.
|