미국 국가안전보장국(NSA)이 마이크로소프트 '팀즈', 시스코 '웹엑스' 등 대표적인 영상회의 서비스들에 대한 보안 평가 지침을 발표했다.
최근 미국 지디넷에 따르면, NSA는 정부 기관이나 기업이 업무 환경에 협업툴이나 화상회의 서비스 도입시 고려해야 할 사항들을 담은 가이드라인을 공개했다.
정부 기관, 국방 분야뿐 아니라 사기업의 업무 환경 보안을 위해 제작했다.
NSA는 8가지 문항을 기준으로 화상회의 및 협업툴 13개 제품에 대해 평가했다.
1. 종단간 암호화 방식을 채택했는지
2. 해당 암호화 방식이 강력하고, 잘 알려진 방식인지
3. 다중인증체계(MFA)를 갖췄는지
4. 화상회의 채팅방 운영 및 참석자 초대를 관리할 수 있는지
5. 화상회의 서비스 벤더가 데이터를 제3자나 지사에 공유하는지
6. 이용자가 서비스 또는 저장소의 데이터를 필요에 의해 안전하게 삭제할 수 있는지
7. 오픈소스 코드를 사용하는지
8. 정부기관 사용시 'FedRAMP' 클라우드 보안 인증 제품인지
평가 대상 서비스는 시스코 웹엑스, 더스트, 구글 G스위트, 고투미팅, 매터모스트, 마이크로스프트 팀즈, 시그널, 비즈니스용 스카이프, 슬랙, SMS 텍스트, 왓츠앱, 위커, 줌 등이다.
평가표에 따르면 MS 팀즈의 경우 종단간 암호화 방식을 적용하지 않았고, 이외 다중인증 체계는 갖췄다. 채팅방 초대 관리가 가능하고, 제3자 데이터 공유를 최소화 했다. 안전한 데이터 삭제는 클라이언트와 서버 단에서 모두 가능한 것으로 평가됐다.
관련기사
- 화상회의 '줌' 오라클 클라우드 도입2020.05.04
- 구글 화상회의 서비스 미트, 하루 이용자 300만명씩 증가2020.05.04
- 구글, 지메일에 화상회의 솔루션 '미트' 탑재2020.05.04
- 산업부, 화상회의로 FTA 대응전략 모색한다2020.05.04
줌의 경우 부분적인 종단간 암호화 방식, 채팅방 초대 관리, 제한적인 데이터 제3자 공유 등이 이뤄졌으나, 다중인증 체계는 적용하지 않았다. 안전한 데이터 삭제는 클라이언트 단에선 가능하나, 서버 단에서 가능한지 알려지지 않았다고 NSA는 밝혔다.
앞서 미국 국토안보부 산하 사이버보안 및 인프라 안보국(CISA)은 기업들이 마이크로소프트 오피스365와 팀즈 설치시 필요한 중요 보안 설정이 미비하다며 우려를 표한 바 있다.
