[Web/Mobile] 코로나19관련 화상회의 시 보안 고려사항(금융보안원 기준)

[Web/Mobile] 코로나19관련 화상회의 시 보안 고려사항

: 심심해서 뉴스 기사 읽다가 접하게 되어 언급해봅니다.
코로나 19 확산으로 불가피한 접촉을 피하기 위해 화상회의 솔루션의 수요가 급증하고 있습니다만,
그에 따른 보안이슈 또한 급증하고 있습니다.

이에따라, 금융보안원에서 화상회의 시 보안 고려사항을 10일에 발표하였습니다.
최근 많이 사용되고 있는 화상회의 솔루션으로는 구글의 행아웃/ MS의 팀즈, 줌/ CISCO의 웹엑스가 있습니다.

줌의 경우에는 줌바밍이 발생했다고 합니다.
// 줌바밍 : 공격자가 회의방에 무단 침입하는 공격

https://www.dailysecu.com/news/articleView.html?idxno=107699

화상회의 안전하게 이용하기 위한 보안 고려사항 - 데일리시큐

 

<화상 회의 전> - 공통사항. ➀ 회사 내부의 화상회의 보안정책 마련 및 준수 ➁ 화상회의 참여 접근코드 재사용 제한(화상회의 참여시 필요한 코드) ➂ 회의 논의 내용이 민감한 사항인 경우, 일회용 PIN 혹은 회의 식별코드를 사용하고, 다중요소인증 적용도 고려 - 중요 회의 시 추가 보안 대책. ➃ 회사가 승인한 화상회의 솔루션만 사용하고,  개별 회의 참여자에게 고유한 PIN 혹은 패스워드를 부여 후 이를 타인에게 공유하지 않도록 관리 ➄ 회사가 제공한 단말기를 이용하여 화상회의에 참여

<화상 회의 중, 후> - 공통사항. ➀ “대기방” 기능을 사용하고, 회의 주최자 참여 전까지 회의시작 금지 ➁ 회의 참여자가 회의방에 참여시 알람기능(특정 소리 혹은 참여자 이름 등을 재생)을 사용하고,  화상회의 솔루션이 동 기능 미지원시, 회의 주최자가 참여자의 신원을 확인 ➂ 대시보드 사용이 가능한 경우, 이를 활용하여 참여자를 모니터링하고, 익명의 청중도 확인 ➃ 필요한 경우가 아니면 회의 내용을 녹화하지 말 것 ➄ 화면상에 민감한 문서 혹은 정보가 노출되지 않도록 할 것 ➅ 웹 기반의 화상회의인 경우 아래 사항 준수 - 불필요한 기능(채팅, 파일 공유, PC화면 공유 등) 비활성화 - 공격자가 회의방 URL 혹은 회의 식별자(ID)를 추측하여 회의방에 무단침입할 수 없도록 PIN사용 - PC화면을 공유할 수 있는 참여자를 제한하고, 참여자가 PC화면을 공유하기 전 민감한 정보가 부적절하게 공유되지 않도록 상기 - 중요 회의 시 추가 보안 대책. ➆ 회의 주최자는 대시보드 기능을 사용해 모든 참여자의 상태를 항상 모니터링 ➇ 모든 참여자가 회의방 입장 후에는 회의방 잠금(locking) ➈ 오직 회의 주최자만 PC화면을 공유할 수 있도록 제한 ➉ 회의 녹화 내용은 암호화하고, 복호화를 위해서는 암호구문을 사용하여야 하며, 화상회의 플랫폼 내 저장되는 녹화내용은 모두 삭제