줌 클라이언트를 활용한 보안 강화

   줌 클라우드 관리자 페이지에서 보안 설정을 하더라도 한 가지 문제가 있습니다. 줌 클라이언트가 다른 줌 클라이언트에 접속할 경우 보안 설정을 따르지 않는다는 것입니다. 예를 들면, abc.zoom.us에 속한 직원이 abc.zoom.us 에서 개최한 줌 미팅에서는 회사의 보안 설정이 적용되지만, another.zoom.us에서 개최한 줌 미팅에서는 회사의 보안 설정이 적용되지 않습니다. 

 

  IT 관리자는 모든 줌 미팅에서 동일하게 회사 보안 정책을 적용하길 바라기 때문에 클라우드가 아닌 클라이언트에서 보안 설정이 이루어져야 합니다. 줌 클라이언트에서 보안 설정을 하는 방법을 설명합니다. 

   

Windows 운영체제에서 줌 클라이언트를 배포하는 3 가지 방법

   Windows 운영체제에서 줌 클라이언트를 다수의 직원에게 배포할 때 일반적으로 다음의 세 가지 중에 하나를 사용합니다. 

 

• MSI Installer 활용하기
     msi 파일은 Windows Installer Package 파일을 의미하고, 파일 설치 위치 및 파일 속성과 관련된 정보를 포함합니다. 따라서, 파일 설치 시에 몇몇 정보를 변경할 수 있습니다. 

 

• 그룹 정책 (Group Policy) 활용하기
     Active Directory의 그룹 정책을 사용하여 컴퓨터 및 사용자에게 동일한 소프트웨어 및 동일한 환경 설정을 제공할 수 있습니다. 보안 강화를 위한 작업이나 업무 환경을 동일하게 유지하기 위해 사용합니다. 

 

• 레지스트리 키 (Registry Key) 활용하기
     레지스트리는 Windows 운영체제에서 동작하는 서비스, 컴포넌트, 각종 프로그램에서 사용하는 설정 정보를 포함하는 데이터베이스입니다. 컴퓨터의 폴더와 같은 구조를 가지고 있으며, 폴더에 레지스트리 값이 들어 있습니다. 레지스트리 편집기로 값을 변경할 수 있습니다. 
  
     줌의 레지스트리 키는 아래 폴더에 있습니다.  
  
  Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Zoom\Zoom Meetings\Meeting

 

   위의 방식 중에 어느 것을 사용하더라도 아래와 같은 방식으로 줌 미팅 보안을 강화할 수 있습니다. 

 

줌 클라이언트를 활용한 보안 강화 - Windows 

 

   줌 클라이언트는 여기 사이트에서 최신 파일을 다운로드 받을 수 있지만, 최신 msi 파일은 아래 사이트에서 다운로드할 수 있습니다. 

 

   https://zoom.us/client/latest/ZoomInstallerFull.msi

 

   윈도우즈 운영체제의 CLI (Command Line Interface) 창에서 다음과 같이 테스트할 수 있습니다. 

 

 

1. 클라이언트 업그레이드 방식 제어

    IT 관리자들은 사용자들이 최신 버전으로  바로 업그레이드 하기보다는 사전에 테스트를 거쳐 진행하기를 원합니다. 줌 클라이언트 또는 사용자가 직접 업데이트하는 것을 비활성화합니다.

    

msiexec /package ZoomInstallerFull. msi /lex zoommsi.log ZoomAutoUpdate="false"

 

  사용자는 더 이상 줌 클라이언트에서 "업데이트 확인(Check for Update)" 메뉴를 볼 수 없습니다. 

 

 

2. 로그인 방식 제어 - 특정 도메인만 로그인 

   줌 클라이언트에 불필요한 로그인 옵션을 제거하고 기업의 SSO 옵션만을 남깁니다. 아래 그림은 줌 클라이언트의 기본 로그인 페이지입니다. 

 

 

     아래 명령어는 SSO 로그인 외에 나머지 방식을 모두 제거합니다

msiexec /package ZoomInstallerFull. msi /lex zoommsi.log ZSSOHOST=”your_company” 
ZConfig="nogoogle=1;nofacebook=1;DisableLoginWithEmail=1;ForceSSOUrl=your_company”

 

      아래 그림과 같이 변경합니다. 

 

 

   SSO를 사용하지 않더라도 특정 도메인으로 로그인할 수 있도록 할 수 있습니다. 

msiexec /package ZoomInstallerFull. msi /lex zoommsi.log ZSSOHOST=”your_company” 
ZConfig="login_domain=YOUR DOMAIN;nogoogle=1;nofacebook=1;nosso=1"

 

 

3. 회의 참석 전에 반드시 로그인  

   관리자는 사용자가 회의 참석 전에 반드시 로그인을 하도록 설정할 수 있습니다. 

 

msiexec /package ZoomInstallerFull. msi /lex zoommsi.log ZConfig="EnforceSignInToJoin=1”

 

 

 

4. 미팅 중 파일 전송 제한

   줌 클라우드 관리자 화면에서 "관리자 >> 계정 관리 >> 계정 설정"에서 채팅창을 통한 파일 전송을 차단할 수 있습니다. 

 

   하지만, 줌 클라우드에서 설정하더라도 사용자가 다른 회사에서 호스트 한 미팅에 참석할 경우 제어할 수 없습니다. 모든 줌 미팅에서 파일 전송을 제한할 수 있습니다. 

 

msiexec /package ZoomInstallerFull. msi /lex zoommsi.log ZConfig="zDisableFT=1;DisableMeeting3rdPartyFileStorage=1"

 

   마찬가지 방식으로 채팅창도 제어할 수 있습니다. 

 

msiexec /package ZoomInstallerFull. msi /lex zoommsi.log ZConfig="zDisableChat=1"

 

 

줌 클라이언트를 활용한 보안 강화 - Mac 버전

 

 윈도우즈 운영체제에서 MSI 파일을 이용하였고, 맥 운영체제에서. plist 파일을 이용합니다. IT 관리자는 IT Admins Installer for macOS에서 파일에 대한 사전 설정을 합니다. 맥에서 설정 방식은 다음과 같습니다.

<?xml version="1.0" encoding="UTF-8"?>
http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>NoGoogle</key>
<true/>
<key>NoFacebook</key>
<true/>
<key>PackageRecommend</key>
<dict>
<key>zAutoFullScreenWhenViewShare</key>
<true/>
</dict>
</dict>
</plist>

 

 

정리

   위에 설명한 것 외에도 줌 클라이언트 구성을 상세하게 설정할 수 있습니다. 대부분의 설정은 줌 관리자 화면에서 가능하지만, 모든 줌 미팅에 동일하게 적용해야 할 때 클라이언트를 제어합니다.

 

<Winows>

https://support.zoom.us/hc/en-us/articles/201362163-Mass-Installation-and-Configuration-for-Windows

 

<macOS>

https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-with-preconfigured-settings-for-macOS