안전한 소통: Google Meet에 적용된 화상 회의 보안 강화 기능

전 세계 비즈니스, 학교, 사용자가 G Suite로 연락을 주고받고 업무를 처리하고 있습니다. Google은 공격을 방어하여 사용자를 안전하게 보호하는 보안 기능을 제공하기 위해 안전을 최우선으로 하여 제품을 디자인, 개발 및 운영합니다. G Suite와 Google Meet도 예외는 아닙니다.

Google Meet의 보안 관리 기능은 기본적으로 켜져 있으므로 대부분의 경우 조직 및 사용자는 적절한 보호 조치가 설정되어 있는지 별도로 확인하지 않아도 됩니다. 이 글에서는 사용자의 보안 강화에 도움이 되는 Google Meet의 주요 기능에 관해 간단히 살펴보겠습니다.

악용에 대처하고 계정 도용 시도를 차단하기 위한 선제적 보호 조치

Google Meet은 다양한 악용 방지 보호 조치를 통해 사용자의 회의를 안전하게 보호합니다. 여기에는 웹 회의 및 전화로 참여하기에 대한 계정 도용 방지 조치도 포함됩니다. 

Google Meet은 25가지 알파벳 10자로 구성된 회의 코드를 사용함으로써, 프로그램을 통한 무작위 대입으로 회의 ID를 알아내어 무단으로 참여하지 못하도록 방지합니다. 또한 외부 참여자가 회의가 시작하기 15분 전부터만 회의에 참여할 수 있도록 제한하여 무작위 대입 공격의 기회를 최소화합니다. 외부 참여자는 캘린더 초대를 받거나 도메인 내 참여자가 초대하지 않는 이상 회의에 참여할 수 없습니다. 그 이외의 경우에는 회의 참여를 요청한 후 회의를 주최한 조직의 회원이 이를 수락해야 합니다. 

더 나아가, 학교에서 회의 보안을 강화하고 교사 및 학생의 원격 학습 환경을 개선할 수 있도록 다음과 같은 몇 가지 기능을 출시할 예정입니다.

●회의 주최자 및 캘린더 소유자만 다른 참여자를 음소거하거나 퇴장시킬 수 있습니다. 이렇게 하면 학생 참여자가 교사를 퇴장시키거나 음소거하는 것을 방지할 수 있습니다.

●회의 주최자 및 캘린더 소유자만 외부 참여자의 회의 참여 요청을 승인할 수 있습니다. 즉, 학생은 화상 수업을 통해 외부 참여자를 참여하도록 할 수 없으며, 외부 참여자는 교사보다 먼저 회의에 참여할 수 없습니다.

●마지막 참여자가 회의에서 나가면 회의 참여자는 닉네임이 지정된 회의에 다시 참여할 수 없습니다. 즉, 교사가 닉네임이 지정된 회의에서 마지막으로 나가면 학생은 그 후 교사가 없는 회의에 참여할 수 없습니다.

관리자 및 최종 사용자를 위한 안전한 배포 및 액세스 권한 관리

공격에 노출될 가능성을 제한하고 보안 패치를 자주 푸시해야 할 필요성을 줄이기 위해 Google Meet은 전적으로 브라우저에서 작동합니다. Chrome, Firefox, Safari, Microsoft Edge 등의 브라우저를 사용하면 플러그인이나 소프트웨어를 설치할 필요가 없습니다. 휴대기기를 사용하는 경우 Google Meet 앱을 설치하는 것이 좋습니다. 

승인된 사용자만 Meet 서비스를 관리하고 액세스할 수 있도록, Google Meet은 계정에서 안전하고 편리하게 사용할 수 있는 여러 가지 2단계 인증 옵션을 지원합니다. 여기에는 하드웨어 및 휴대전화에서 작동하는 보안 키와 Google 메시지가 포함됩니다. 또한 Google Meet 사용자는 Google의 고급 보호 프로그램(APP)에 등록할 수 있습니다. 이 프로그램은 피싱 및 계정 도용에 대한 가장 강력한 보호 조치를 제공하며 가장 큰 위험에 노출되는 계정을 위해 특별히 설계되었습니다. 

Google에서는 G Suite Enterprise 및 G Suite for Education 고객에게 액세스 투명성을 제공하고 있습니다. 이는 드라이브에 저장된 Google Meet 녹화 파일에 대한 Google 액세스가 발생할 때마다 액세스 및 액세스 이유(예: 사용자의 요청으로 인한 지원팀 작업)를 기록하는 기능입니다. 또한 고객은 데이터 리전 기능을 사용하여 Google Meet 녹화 파일 데이터의 일부나 정책이 적용된 데이터를 특정 지역(미국이나 유럽)에 저장할 수 있습니다.  

보안성이 뛰어나고 규정을 준수하며 안정적인 회의 인프라 

Google Meet에서는 웹브라우저, Android 및 iOS 앱, Google 회의실 하드웨어를 사용하는 회의실에서 진행되는 화상 회의의 경우 고객과 Google 간에 전송되는 모든 데이터가 기본적으로 암호화됩니다. Meet은 DTLS(데이터그램 전송 계층 보안) 및 SRTP(실시간 보안 전송 프로토콜)에 대한 IETF 보안 표준을 준수합니다. Meet은 모든 사용자 및 모든 회의에 고유한 암호화 키를 생성합니다. 이 키는 회의가 진행되는 동안에만 유효하고, 디스크에 저장되지 않으며, 회의 설정 중 암호화된 상태로 안전한 RPC(원격 절차 통화)를 통해 전송됩니다.

보안은 Google의 운영에도 가장 중요한 부분입니다. 서비스 개발 및 운영에 있어 항상 보안이 기본이 될 수 있도록 Google은 소프트웨어 엔지니어링 및 운영 업무를 연중무휴로 지원하고 보안 및 개인정보 보호 전문가로 구성된 팀을 가동하고 있습니다. Google Cloud 및 G Suite의 모든 고객은 다음과 같은 기능을 유용하게 활용할 수 있습니다. 

●보안 설계 인프라: Google Cloud의 심층 방어 보안 조치가 적용되는 Google Meet은 Google의 자체 보호 기능 및 글로벌 사설 네트워크를 활용하여 사용자 데이터 및 개인정보를 보호합니다.

●규정 준수 인증서: Google Meet을 비롯한 Google Cloud 제품은 보안, 개인정보 보호, 규정 준수 관리에 대해 독립 기관으로부터 정기적인 검증을 받고 있으며, 여기에는 SOC, ISO/IEC 27001/17/18, HITRUST, FedRAMP 등의 표준에 대한 확인도 포함됩니다. 개인정보 보호법(GDPR) 건강 보험 이동성 및 책임법(HIPAA)과 더불어 Education의 경우 아동 온라인 개인정보 보호법(COPPA), 가족 교육 권리 및 개인정보 보호법(FERPA) 등의 규정과 관련된 요구사항을 준수하도록 지원합니다. 

●사고 관리: Google은 데이터 및 보안 사고를 관리하기 위한 엄격한 절차를 수립했으며 이 절차에는 고객 데이터에 영향을 줄 수 있는 사고가 발생했을 때 취해야 할 조치, 에스컬레이션, 이전, 해결책, 알림을 명시되어 있습니다.

●안정성: Google의 네트워크는 피크 수요를 처리하고 미래의 수요 증가를 감당할 수 있도록 설계되었습니다. 또한 탄력적인 네트워크로 증가세를 보이는 Google Meet 사용량을 소화할 수 있도록 설계되었습니다.

●투명성: Google Cloud에서는 고객 데이터와 관련하여 어떠한 노력을 하고 있는지 명확하게 밝힙니다. Google은 고객의 지침에 따라 고객 데이터를 처리하며 광고에 활용하지 않습니다. 또한 가용성이 우수하고, 회복력이 강하며, 안전한 Google 데이터 센터의 위치를 공개하고 있습니다.   

Google은 코로나19로 모두가 어려움을 겪는 지금은 물론 향후 이 어려움을 극복한 후에도 계속해서 Google Meet의 사용자 및 사용자 데이터를 보호하고 더욱 유용하고 안전한 도구를 제공하기 위해 새로운 기능을 선보이며 혁신을 이어나갈 것입니다.