<p>경고 : Zoom에서 암호화 키를 중국에 보냅니다 (때로는)</p><p>연구자들에 따르면, 재택 근무 코로나 바이러스 시대에 큰 인기를 얻은 화상 회의 거인 Zoom 은 중국에 사용자 데이터를 보낸다. 이 정보에는 경우에 따라 참가자가 중국에 기반하지 않은 경우에도 소프트웨어의 테스트에서 발견 된 학계 인 암호화 키, 대화 잠금을 해제 할 수있는 데이터 덩어리가 포함됩니다.</p><p>금요일에 출판물보다 앞서 포브스 에게 건네진 이 연구 는 줌의 어려운 일주일이 지난 후 프라이버시와 보안의 다양한 단점에 대해 사과 해야했다 . 토론토 대학의 시티즌 랩 (Citizen Lab)에있는이 보고서의 저자 인 빌 마크 자크 (Bill Marczak)와 존 스캇-레일 턴 (John Scott-Railton)은 이번 발견으로 미국 정부 기관이이 보고서를 전혀 사용해야하는지에 대한 문제를 제기했다고 밝혔다. </p><p>어제 Forbes 는 코로나 바이러스 대응을 처리하는 미국 기관 이 3 월 말 며칠 만에 Zoom 기술 에 총 130 만 달러를 지출했다고 밝혔다 . 뿐만 아니라 있었다 , 너무 기술에 구입했다 질병 통제 및 예방 (CDC)와 COVID-19 관련 웹 세미나 및 호출하지만, 다른 정부 기관 확대에 수백 수천의 지출 연방 비상 관리기구 (FEMA)에 대한 센터. 여기에는 미 국무부와 주요 중국 해킹의 희생자 인 인사 관리 부서 (Office of Personnel Management )가 2 천 2 백만 미국인의 개인 데이터 유출을 목격 한 것으로 밝혀졌다. 영국 정부는 또한이 툴의 유명한 사용자이며 Zoom을 통해 중요한 캐비닛 회의를 주최합니다.</p><p>“이 연구는 많은 질문을 제기하는 것으로 보이며 Zoom은 모호한 약속이나 거부가 아니라 세부적으로 답변해야합니다. 사람들이 귀하의 제품을 신뢰하게하려면 투명성을 유지하십시오.”라고 Surrey 대학의 암호 전문가 인 Alan Woodward 교수는 말했습니다 .</p><p>확대 / 축소가 댓글 요청에 응답하지 않았습니다. 그러나 에릭 위안 (Eric Yuan) 대변인은 금요일 포브스 (Forbes) 에 발표 된 인터뷰 에서 중국과의 대화가 어떻게 진행되고 있는지 확인할 것이라고 밝혔지만, 데이터가 보호되고 있다고 강조했다. Citizen Lab이 조사 결과를 Zoom에 보내지 않았기 때문에 가능한 빨리 정보를 공개하는 것이 대중의 이익이라고 말하면서 화상 회의 회사는 그 결과를 알지 못했을 것입니다. 그러나 위안은 사용자가 중국에 기반을 두지 않았을 때 사용자 데이터가 중국으로 이전 될 경우“우리는 기꺼이이를 해결할 것”이라고 확신했다.</p><p>Marczak은 Forbes 에 정부 별 Zoom 앱 (팀이 연구하지 않은)을 사용하는 미국 기관은 대화가 중국을 통해 전달되고 있는지 여부를“ 세심히 살펴 봐야한다”고 말했다. 다른 많은 사용자들에게 줌은 유용한 도구로 남아 있다고 덧붙였다. </p><p>"우리의 연구 결과에 비추어 미국 정부 기관에 Zoom Gov 앱을 조사한 미국 정부 사람들은 미국 정부 기관이 앱을 사용하는 방식에 보안 속성이 적합한 지 다시 확인해야합니다." 말했다. "다른 사람들에게 : i 줌을 사용하여 술집에서와 같이 동료와 음료를 마시면, 진정하고 확대하십시오."</p><p>줌의 중국 연결<br>Zoom은 중국과 수많은 연결을 가지고 있습니다. Yuan CEO는 산 동성에서 태어나 1990 년대 미국에 와서 현재 캘리포니아에 살고 있지만 대학에 다녔습니다.</p><p>Zoom의 연구 및 개발의 많은 부분이 중국에서 이루어지고 있으며,이 회사는 SEC 제출 에 대해 개방되어있다 . SEC 문서 에 따르면 작년 한 해 동안 500 명에서 700 명으로 늘어난 중국에서 회사가 확장하고있다 . Citizen Lab의 연구원들은 더 깊이 파고 들면서 Ruanshi Software라는 이름으로 Zoom이 소유 한 소수의 회사를 발견했습니다.</p><p>Citizen Lab은 미국과 캐나다에 기반을 둔 Zoom 대화가 어디로 라우팅되는지 살펴 보았을 때 다른 국가의 서버에서도 처리 할 수 ​​있지만 암호화 키가 베이징으로 전송되는 것을 발견했습니다. SEC의 자료에 따르면 Zoom은 중국을 통해 데이터를 전송하는 것이 아니라 호주, 브라질, 캐나다, 독일, 인도, 일본, 네덜란드 및 미국에 13 개의 공동 데이터 센터가 있지만 데이터 전송 문제, 특히 암호화 문제 Citizen Lab은“중국의 열쇠는“줌은 중국의 당국에이 열쇠를 공개해야 할 법적 의무가있다”고 지적했다.</p><p>Zoom이 중국과의 링크에 대한 우려를 인식하지는 않습니다. 최근 SEC 출원에 따르면 : "우리는 중국에 연구 및 개발 인력이 집중되어있어 솔루션 또는 데이터 보안 기능의 무결성과 관련하여 시장 조사에 노출 될 수 있습니다." 중국 통신 거대 기업인 화웨이 (Huawei)는 미국 정부와의 협력이 금지되고 스마트 폰 판매가 미국에서 줄어들고있는 시점까지 미국에서 그러한 조사에 직면했다. </p><p>Zoom은 이번 주 블로그 게시물에서 "합법적 인 가로 채기 목적으로 실시간 회의를 해독하는 메커니즘을 구축 한 적이 없으며, 직원 목록에 반영되지 않은 채 직원이나 다른 사람을 회의에 삽입 할 수단이 없습니다"라고 말했습니다. 그러나 Zoom은 아직 정부 요청을 처리하는 방법을 보여주는 투명성 보고서를 발표하지 않았습니다. 구글, 마이크로 소프트, 페이스 북과 같은 다른 웹 거대 기업들은 정보를 다른 기관에 포기할 때이를 공개한다.</p><p>줌 암호화는 어떻게 되나요?<br>Zoom은 이미 The Intercept에 의해 발견 된 엔드 투 엔드 암호화를 제공했다는 오해의 소지가있는 주장에 대해 사과해야했습니다 . </p><p>엔드-투-엔드 암호화를 사용하면 사용자 데이터를 잠그고 여는 디지털 키가 생성되어 사용자의 컴퓨터 나 스마트 폰에 저장됩니다. Zoom의 시스템에서 자체 서버는 키를 생성하므로 액세스 할 수 있으므로 각 통화의 오디오 및 비디오가 실제로 보호되지 않습니다.</p><p>Marczak과 Scott-Railton은 Zoom이 고유 키를 생성하기 위해 AES-256이 아닌 AES-128 알고리즘 인 약한 암호화를 사용하고 있음을 발견했습니다. 키는 전자 코드북 (ECB) 모드에서 공유되고있었습니다. ECB 모드가 켜져 있으면 키를 크랙하지 않고도 보호 된 데이터 내에서 정보를 수집 할 수 있습니다. Woodward 교수는 “ 이것은 암호 분석가들에게 선물입니다. Woodward와 Marczak은 Zoom이 키를 생성하는 방법과 그 방법이 안전한지 확실하지 않다고 지적 했다.</p><p>그러나 결정적으로, 회의 미팅 암호를 가진 사용자 만 키를 받고 AES-128 키를 추측하는 것은 여전히 ​​매우 어렵습니다. 새로운 대화마다 키가 바뀌면 거의 모든 시나리오에서 시간 내에 키를 해독하는 것이 불가능합니다.</p><p>그리고 Marczak은 Zoom이 최소한 보안 문제를 해결하는 것으로 보인다고 말했다. Yuan은 이번 주 블로그 게시물에서 Zoom은 모든 기능 개발을 일시 중지하여 개인 정보 보호 및 보안에 중점을 두었다고 밝혔다. “최근에 Zoom이 자발적으로 엔드 투 엔드 암호화를 사용하지 않는다는 사실을 인정하고 앱에서 보안 및 개인 정보 보호 기능을 향상시키기 위해 노력했다는 사실은 고무적인 신호입니다.</p><p>따라서 민감한 대화를하는 사람이라면 누구나 Zoom이 적합한 지 고려해야합니다. Marczak은“Zoom을 사용하여 기밀 정보, 영업 비밀 또는 기밀 의료 데이터를 전달하기 전에 매우 신중하게 생각할 것입니다. “당신이 인권 변호인, 변호사, 언론인, 또는 국가 국가 나 다른 강력한 적들이 관심이 있다고 생각하는 민감한 주제를 다루는 사람이라면 Zoom이 보안 개선을 위해 기다릴 것을 권합니다. 앱을 사용하기 전에</p><p>또한 Zoom 채팅과 마찬가지로“Zoom Bomber”가 자체 격리 된 재미를 망치지 않도록 암호를 추가하는 것이 좋습니다.</p><p><br><br></p>
<!-- -->
