본문 바로가기
줌 보안

줌 미팅을 위한 방화벽 설정하기

by 라인하트 2021. 12. 23.

   기업에서 줌 미팅 접속에 어려움을 겪는다면 십중팔구 방화벽 설정이 잘못된 것입니다. 모든 기업은 인터넷의 위협으로부터 사내망을 보호하기 위해 다양한 종류의 방화벽을 설치합니다. 방화벽은 내부의 트래픽을 외부로 전달하고 외부의 트래픽을 차단하고, 사내망의 IP 주소 체계를 외부에 노출하지 않기 위해 주소 번역(NA, Network Address Translation) 기능도 사용합니다. NAT는 음성과 영상을 실시간으로 전달해야 하는 웹미팅, 인터넷 전화, 영상회의 등의 솔루션에 많은 문제를 일으키기도 합니다. 

 

   좀 더 엄격한 망 보호 정책을 구사하는 기업은 특정  IP 대역 또는 특정 웹주소만 접속할 수 있도록 합니다. 따라서, 줌 클라우드에서 사용하는 IP 대역과 포트 정보를 방화벽에 설정할 필요가 있습니다. 

 

 

줌 미팅 클라이언트의 동작 방식 

   줌  미팅 클라이언트는 부팅하면 줌 클라우드의 웹 서버에 접속합니다. 사용자는 줌 미팅 계정있다면 로그인을 시도할 것입니다. 

 

 

  사용자가 개최된 줌 미팅에 접속할 때 줌 클라이언트의 동작 방식은 다음과 같습니다.

  1. 제일 먼저 웹 서버에 접속합니다. (줌 사용자 계정이 있다면 로그인)
  2. 웹 서버는 미팅 토큰과 줌 클라이언트의 IP 주소에 기반하여 가까운 멀티미디어 존의 존 컨트롤러 리스트를 전달합니다.
  3. 줌 클라이언트는 멀티미디어 존의 존 컨트롤러 리스트에서 ZC Ping으로 가장 가까운 응답시간을 가진 존 컨트롤러를 선택합니다.
  4. 존 컨트롤러는 가용한 멀티미디어 라우터를 알려주고, 줌 미팅 클라이언트는 멀티미디어 라우터와 연결합니다. 
  5. 줌 미팅 클라이언트는 멀티미디어 라우터와 시그널링 세션과 미디어 세션을 설립합니다.  

   시그널링은 회의 정보, 참가자 정보, 미팅 설정 정보 등을 주고 받는 세션이고, 미디어는 실제 음성과 영상, 그리고 화면 공유 등과 같은 컨텐츠를 주고 받는 세션입니다.

 

 

줌 미팅 클라이언트가 사용하는 포트 번호

   줌 미팅 클라이언트가 각 통신하는 구간에 사용하는 포트는 다음과 같습니다.  보안 통신은 SSL 및 TLS 를 사용하므로 TCP 443을 사용합니다. 

  • 웹 서버와 통신 : HTTPS 프로토콜을 사용하므로 TCP 443 포트
  • 존 컨트롤러와 통신 : TCP 443 및 TCP 8802
  • 멀티미디어 라우터와 통신 :
    - 시그널링 : TCP 443  또는 TCP 8801 
    - 미디어 : UCP 8801 또는 TCP 443 

   보통 TCP 443 포트는 보안 통신을 위해 사용하기 때문에 제한하지 않는 경우가 많습니다. 사용자들은 별도의 방화벽 설정없이 줌 미팅에 접속할 수 있습니다.  그러나, TCP 세션의 특성으로 재전송 및 체크섬 과정으로 음성 및 영상 품질이 현저히 떨어집니다. 만일, 줌 미팅을 할 때 품질이 많이 떨어진다면 UDP 8801가 열려 있는 지를 확인할 필요가 있습니다.

 

   그리고 일대일 미팅을 할 때  줌 클라이언트는 클라우드를 경유하지 않고 직접 미디어를 전달합니다.  두 PC 간에 줌 미팅을 할 경우에 음성이나 영상 믹싱이 필요하지 않기 때문입니다. 즉,  두 줌 클라이언트가 서로 핑이 되는 환경에 있다면 클라우드를 경유하지 않기 때문에 훨씬 더 좋은 품질을 경험할 수 있습니다. 위의 그림에서 P2P 환경은 모든 UDP 포트를 사용합니다.

 

   음성, 영상 및 콘텐츠를 각각 서로 다른 UDP 포트로 전달하는 것도 가능합니다. 예를 들면, 음성은 UDP 8801, 영상은 UDP 8802, 콘텐츠는 UDP 8803으로 전달할 수 있습니다. 

 

줌 미팅 클라이언트가 사용하는 IP 주소 범위

   마지막으로 방화벽을 설정할 때 포트 번호와 IP 주소 범위를 함께 적습니다. IP 주소 범위는 아래 URL을 참조합니다. 

 

https://support.zoom.us/hc/en-us/articles/201362683-Network-Firewall-or-Proxy-Server-Settings-for-Zoom%EF%BB%BF

 

   새로운 데이터센터가 구축될 때마다 IP주소 범위는 바뀝니다.  줌 클라우드가 사용하는 IP 주소 범위를 실시간으로 업데이트 받기 위해서는 아래 사이트에 접속하여 "SUBSCRIBE TO UPDATES" 버튼을 클릭한 후 이메일을 입력합니다. 변경정보를 실시간으로 받아 볼 수 있습니다. 

 

https://status.zoom.us/

 

Zoom Status

 

status.zoom.us

 

 

 

웹 보안 방화벽 설정

   웹 보안 방화벽을 사용하는 기업은 zoom.us 도메인과 *.zoom.us 를 적용해야 합니다. 또한, 줌 룸 설정을 하지 않은 영상회의 장비를 줌 클라우드에 연결할 때  회의실 커넥터(CRC, Conference Room Connector)를 사용합니다. 원활한 연결을 위해 zoomcrc.comzmau.us를 적용할 것도 추천합니다. 

저작자표시 비영리

'줌 보안' 카테고리의 다른 글

줌 클라이언트를 활용한 보안 강화  (0) 2022.04.19
줌 미팅에서 워터마크 사용하기  (0) 2022.04.18
줌 미팅에서 대기실 (Waiting Room) 활용하기  (0) 2022.02.08
줌 미팅 중 보안 사고 발생 시 '보안' 버튼 활용하기  (0) 2022.02.07
서울대 온라인 포럼 중 보안 사고, 미숙한 사용법과 해킹 사이  (0) 2022.01.22

관련글

티스토리툴바