매일안전신문 - 화상회의 증가 속 보안 해킹사고 막으려면

[매일안전신문] 신종 코로나바이러스 감염증(코로나19) 팬데믹이 기업 문화를 바꿔놓았다. 재택근무가 본격적으로 도입됐고 화상회의가 일상화하고 있다.

기업 보안담당자들로선 잔뜩 긴장할 수밖에 없다. 화상회의 프로그램 해킹 등을 통한 기업 기밀 유출이 일어날 수 있기 때문이다.

금융보안원이 10일 기업들의 보안 우려를 덜어주기 위해 구글 행아웃, 줌 등 화상회의 도구를 안전하게 이용할 수 있는 보안 대책을 소개했다.

보안원에 따르면 최근 화상회의 솔루션인 구글 행아웃과 MS 팀즈, 줌, CISCO의 웹엑스 등에 대한 수요가 급증하고 있다.

화상회의가 크게 늘면서 보안문제가 끊임없이 제기되는 가운데 ‘줌’을 대상으로 공격자가 회의방에 무단 침입해 공격하는 이른바 ‘줌바밍’이 발생해 미 연방수사국(FBI)이 조사에 나선 상태다.

화상회의 보안을 위해 우선 회의 전 회사 내부 화상회의 보안정책을 마련해 준수하고 화상회의 참여 접근코드 재사용을 제한하는 한편 회의 논의 내용이 민감한 경우 일회용 PIN이나 회의 식별코드를 쓰고 다중요소인증도 적용할 것을 고려해야 한다.

중요한 회의를 할 때에는 추가적으로 회사가 승인한 화상회의 솔루션만 사용하고 개별 회의 참여자에게 고유 PIN이나 패스워드를 부여해 타인에게 공유하지 않도록 관리하면서 회사가 제공한 단말기만으로 화상회의에 참여하도록 해야 한다.

화상회의 중에는 ‘대기방’ 기능을 써서 회의 주최자 참여 전까지 회의를 시작하지 않고 회의 참여자가 회의방에 참여하면 알게끔 알람기능 쓴다. 참여현황을 한눈에 볼 수 있는 대시보드 기능이 있으면 이를 활용해 참여자를 모니터링하고 익명의 청중도 확인한다.

필요한 경우가 아니면 회의 내용을 녹화하지 말고 화면 상에 민감한 문서나 정보가 노출되지 않도록 해야 한다.

웹 기반의 화상회의라면 불필요한 채팅이나 파일 공유, PC화면 공유 등 기능을 비활성화 조치하고 공격자가 회의방 URL이나 회의 식별자(ID)를 추측해 무단침입하지 못하도록 PIN을 지정한다. PC화면 공유가 가능한 참여자를 제한하고 공유 전에는 민감한 정보가 부적절하게 공유되지 않도록 한다는 점을 반드시 주지시킨다.

또한 모든 참여자가 회의방 입장 후에는 회의방 잠금(locking)을 해 두고 회의 주최자만 PC화면을 공유할 수 있도록 제한할 필요가 있다.

회의 녹화 내용은 암호화하고 복호화를 위해서는 암호구문을 쓰며 화상회의 플랫폼 내 저장되는 녹화내용은 모두 삭제해야 한다.

김영기 원장은 “화상회의 솔루션 활용이 확대되고 있는 상황에서 취약점을 노리는 사이버 공격 또한 늘어날 것으로 본다”며 “이 보안 고려사항을 반영하여 보다 안전하게 화상회의 솔루션을 활용할 수 있기를 기대한다”고 말했다.

[저작권자ⓒ 매일안전신문. 무단전재-재배포 금지]