Zoom은 안전할까요? 2026년 암호화, 개인정보 보호, 보안 솔직 분석

이 글은 독립적인 가이드입니다. Zoom Communications, Inc.와 제휴 관계가 아니며, 해당 기업의 보증을 받지 않았습니다.

IT 부서에서 Zoom을 전사적으로 승인했지만, 검색하면 데이터 유출, "줌바밍(Zoombombing)", 개인정보 소송 관련 기사가 쏟아져요. 그래서 진실은 뭘까요? Zoom이 팀의 기밀 대화에 충분히 안전한 건지, 아니면 "회의 참가"를 클릭할 때마다 위험을 감수하는 건지 궁금하시죠.

짧은 답변: 2026년 3월 기준 Zoom은 2020년 팬데믹 초기보다 훨씬 안전해졌어요. 엔드투엔드 암호화를 추가하고, 데이터 처리 방식을 전면 개편했으며, 5년 전에는 없던 보안 인증도 취득했어요. 하지만 "더 안전해졌다"가 "완벽하다"는 아니에요. 설정, 사용 습관, 요금제에 따라 회의의 실제 안전 수준이 달라져요.

이 가이드에서는 Zoom이 정확히 무엇을 보호하는지, 어디에 취약점이 남아 있는지, 그리고 보안을 강화하기 위한 구체적인 방법을 알려드릴게요.

Zoom 암호화, 실제로 어떻게 작동하나요?

Zoom은 회의를 암호화하지만, 암호화 방식에 따라 보안 수준이 달라요. 차이점을 이해하면 Zoom이 내 상황에 충분히 안전한지 판단할 수 있어요.

기본 암호화 (AES 256비트 GCM): 2026년 3월 현재 모든 Zoom 회의는 AES 256비트 GCM 암호화를 사용해요. 내 기기와 Zoom 서버 사이의 데이터가 암호화되며, 이는 은행과 정부 기관이 사용하는 것과 동일한 수준이에요. 데이터를 가로채도 해독할 수 없어요.

주의점: Zoom 서버가 암호화 키를 보유하고 있어서 기술적으로는 데이터를 복호화할 수 있어요. 이를 "전송 중 암호화"라고 해요. 대부분의 팀 스탠드업이나 프로젝트 체크인에는 이 수준이면 충분해요.

엔드투엔드 암호화 (E2EE): Zoom은 2020년 말 선택적 E2EE를 도입하고 이후 확대해왔어요. E2EE가 활성화되면 회의 참가자만 복호화 키를 보유해요. Zoom 서버조차 내용을 확인할 수 없어요. 2026년 3월 기준 E2EE는 모든 유료 요금제와 무료 요금제(최대 200명)에서 사용 가능해요.

트레이드오프: E2EE를 켜면 클라우드 녹화, 실시간 자막, 투표, 소회의실이 비활성화돼요. 편의성 대신 최대 보안을 선택하는 거예요.

Zoom Phone과 Zoom Mail: Zoom Phone 통화도 동일한 AES 256비트 GCM 암호화를 사용해요. Zoom Mail(2023년 출시)은 Zoom Mail 사용자 간 메시지에 기본적으로 E2EE를 적용하며, 키는 사용자 기기에만 저장돼요.

예를 들어 법무팀이 Zoom에서 합병 문서를 검토한다고 해보세요. 기본 암호화에서는 외부 도청으로부터 보호되지만, 이론적으로 Zoom이 접근할 수 있어요. E2EE를 활성화하면 Zoom 직원조차 들을 수 없어요. 이런 법률 검토에는 E2EE의 기능 제한을 감수할 가치가 있어요.

Zoom은 어떤 데이터를 수집하나요?

암호화는 전송 중 데이터를 보호해요. 하지만 Zoom 서버에 저장되는 데이터는 어떨까요? 개인정보 보호 측면에서는 좀 더 복잡해요.

2026년 3월 기준 Zoom이 수집하는 데이터:

• 계정 정보 (이름, 이메일, 전화번호, 직함)
• 회의 메타데이터 (날짜, 시간, 소요 시간, 참가자 목록, IP 주소)
• 기기 정보 (OS 버전, 기기 유형, 고유 식별자)
• 사용자가 저장한 콘텐츠 (클라우드 녹화, 채팅 메시지, 화이트보드)
• 사용 데이터 (사용한 기능, 빈도, 성능 지표)

Zoom이 판매하지 않는다고 밝힌 데이터: 2026년 1월 개정 개인정보 처리방침에서 Zoom은 개인 데이터를 제3자에게 판매하지 않으며, 고객 동의 없이 회의 오디오, 비디오, 채팅 콘텐츠를 AI 모델 학습에 사용하지 않는다고 명시했어요.

"동의"라는 표현이 중요해요. 2023년 8월 Zoom은 개인정보 처리방침 업데이트에서 AI 학습을 위해 고객 데이터를 사용할 수 있는 것처럼 보이는 문구로 큰 비판을 받았어요. Zoom은 여론의 반발 이후 즉시 수정하고, 명시적 동의 문구를 추가했어요. 2026년 3월 현재 AI Companion 기능은 계정 관리자 승인을 받아야 회의 데이터를 AI 요약에 활용할 수 있어요.

데이터 상주 지역 제어: 유료 계정 관리자는 회의 데이터를 처리하는 데이터 센터 지역을 선택할 수 있어요. 미국, 유럽, 아시아 태평양 등의 옵션이 있어요. 무료 계정은 가장 가까운 데이터 센터로 자동 라우팅돼요.

서드파티 연동: Zoom 앱 마켓플레이스에는 수백 개의 연동 앱이 있어요. 각 서드파티 앱은 자체 개인정보 처리방침을 갖고 있어요. Zoom 앱을 설치하면 해당 개발자에게 특정 회의 데이터 접근 권한을 부여하게 돼요. 권한을 꼼꼼히 확인하세요. 일정 관리 도구 연동이 필요 이상의 데이터를 요청할 수도 있어요.

Zoom 보안 이력: 과거 사건과 대응

오늘날 Zoom이 안전한지 평가하려면 과거에 무엇이 잘못되었는지 이해해야 해요. 주요 사건과 Zoom의 대응을 시간순으로 정리했어요.

2020년 4월: 줌바밍 대유행. 팬데믹으로 수백만 명이 하루아침에 Zoom으로 몰리면서, 초대받지 않은 사람들이 불쾌한 콘텐츠로 회의에 난입하기 시작했어요. 원인: 회의에 기본적으로 비밀번호나 대기실이 없었고, 회의 ID를 쉽게 추측할 수 있었어요. Zoom은 모든 새 회의에 비밀번호와 대기실을 기본 활성화하여 대응했어요. 이 변경으로 무단 접근이 크게 줄었다고 발표했어요.

2020년 4월: 오해를 부른 암호화 표기. 보안 연구자들이 Zoom이 "엔드투엔드 암호화"를 홍보하면서 실제로는 표준 TLS 전송 암호화를 사용하고 있음을 발견했어요. FTC가 조사에 착수했고, 2020년 11월 Zoom은 보안 프로그램 구현과 격년 제3자 감사에 합의했어요. 실제 E2EE는 2020년 10월에 출시됐어요.

2020년 4월: 중국 경유 데이터 라우팅. 중국 외 사용자의 일부 통화가 중국 데이터 센터를 경유했어요. Zoom은 팬데믹 급증 시 용량 오류로 인한 것이라며, 관리자가 데이터 처리 지역을 선택할 수 있는 라우팅 제어를 신속히 추가했어요.

2020년: Facebook SDK 기기 데이터 공유. Zoom iOS 앱이 Facebook 계정이 없는 사용자의 기기 분석 데이터까지 Facebook에 전송하고 있었어요. Zoom은 보고 후 며칠 내에 Facebook SDK를 제거했어요. 이 사건은 2021년 8월 8,500만 달러 합의로 마무리된 집단 소송으로 이어졌어요.

2023년 3월: Google Project Zero 취약점. 원격 코드 실행이 가능한 심각한 제로클릭 취약점(CVE-2023-28597)이 발견됐어요. Zoom은 책임 있는 공개 후 신속히 패치를 배포하고, 영향받는 클라이언트를 자동 업데이트했어요.

최근 몇 년. Zoom의 보안 공지 페이지는 지속적인 취약점 패치를 보여주며, 이는 주요 소프트웨어 플랫폼의 표준 관행이에요. 2020년 사건 이후 대규모 보안 침해나 데이터 유출은 보고되지 않았어요.

패턴은 명확해요: 2020년의 Zoom은 폭발적 성장이 보안 인프라를 앞지르면서 혼란스러웠어요. 이후 Zoom은 보안에 대규모 투자를 하고 CISO 팀을 확대했다고 밝히고 있어요. 핵심은 Zoom에 문제가 있었는지가 아니라, 그 문제를 해결했는지예요. 적어도 알려진 문제에 대해서는 해결한 것으로 보여요.

기업, 의료, 상담에서 Zoom은 안전한가요?

업종마다 필요한 보안 수준이 달라요. Zoom의 인증 현황을 정리했어요.

SOC 2 Type II: Zoom은 현재 유효한 SOC 2 Type II 보고서를 보유하고 있어요. 독립 감사인이 일정 기간 동안 보안 통제를 검증했다는 의미예요. 대부분의 기업이 SaaS 공급업체에 요구하는 기본 인증이에요.

ISO 27001: 2026년 3월 기준 Zoom의 정보보안 관리체계는 ISO 27001 인증을 받았어요. 민감한 데이터 관리를 위한 국제 표준이에요.

HIPAA 준수: Zoom은 유료 요금제(Business 이상)에서 의료 기관을 위한 HIPAA 준수 설정을 제공해요. BAA(Business Associate Agreement) 체결, 기본 클라우드 녹화 비활성화, E2EE 사용 가능이 포함돼요. 수천 개 의료 기관이 원격 진료에 이 플랫폼을 사용한다고 Zoom은 밝히고 있어요(Zoom 의료 페이지 참조).

상담 치료에 Zoom이 안전한가요? 네, 올바르게 설정하면요. 상담사는 BAA가 포함된 유료 요금제를 사용하고, 대기실을 켜고, 파일 전송을 끄고, 가능하면 E2EE를 활성화해야 해요. 자세한 내용은 Zoom HIPAA 준수 가이드를 참조하세요.

GDPR: Zoom은 EU 고객을 위한 데이터 처리 계약(DPA)을 제공하며, 유럽 데이터 센터에서의 데이터 상주를 지원해요. 표준 계약 조항(SCC)이 국제 데이터 이전을 규율해요.

FedRAMP: Zoom for Government는 FedRAMP Moderate 인증을 받았으며, 미국 연방 보안 기준을 충족해요. 일반 Zoom과 별도의 인프라에서 운영돼요.

교육 (FERPA/COPPA): Zoom for Education은 FERPA 요건을 충족하도록 설계되었으며, 학생 데이터를 광고에 사용하지 않아요. 학교는 개인 계정이 아닌 Zoom for Education 계정을 사용해야 해요.

의료 기관은 PHI(보호 대상 건강 정보)에 비디오 플랫폼을 사용하기 전에 자격을 갖춘 HIPAA 준수 전문가와 상담해야 해요. 무료 요금제는 BAA 대상이 아니며, 기본 설정만으로는 HIPAA 요건을 충족하지 못해요.

오늘 바로 변경해야 할 Zoom 보안 설정 8가지

Zoom의 기본 설정은 어느 정도 안전하지만, 민감한 회의에는 부족해요. 이 8가지 변경은 약 5분이면 되고, 가장 흔한 보안 허점을 막아줘요.

1. 회의 비밀번호 필수 설정. Zoom 웹 포털에서 설정 > 보안으로 이동하세요. "새 회의 예약 시 비밀번호 필수"를 켜세요. 2026년 대부분의 계정에서 기본 활성화되어 있지만, 꺼져 있지 않은지 확인하세요.

2. 대기실 활성화. 설정 > 보안에서 "대기실"을 켜세요. 모든 참가자가 호스트 승인을 받아야 입장할 수 있어요. 초대받지 않은 참가자를 막는 가장 효과적인 방법이에요.

3. 전원 입장 후 회의 잠금. 모든 참가자가 입장한 후 회의 툴바에서 보안을 클릭하고 "회의 잠금"을 선택하세요. 올바른 링크와 비밀번호가 있어도 아무도 더 이상 참가할 수 없어요.

4. 채팅 파일 전송 비활성화. 설정 > 회의 중 (기본)에서 "파일 전송"을 끄세요. 참가자가 Zoom 채팅을 통해 악성 파일을 보내는 것을 방지해요.

5. 화면 공유 제어. 설정 > 회의 중 (기본)에서 "공유할 수 있는 사람"을 민감한 회의에서는 "호스트만"으로 설정하세요. 통화 중 특정 참가자에게 공유 권한을 부여할 수 있어요.

6. 기밀 회의에 E2EE 활성화. 설정 > 보안에서 "엔드투엔드 암호화 사용 허용"을 켜세요. 그런 다음 회의 설정 시 보안 섹션에서 "엔드투엔드 암호화"를 선택하세요. 참고: 클라우드 녹화와 일부 협업 기능이 비활성화돼요.

7. 호스트 전 참가 비활성화. 설정 > 회의 중 (고급)에서 "참가자가 호스트보다 먼저 참가하도록 허용"을 끄세요. 호스트 없이 참가자가 회의실에 있는 것을 방지해요.

8. 인증된 프로필 필수. 설정 > 보안에서 "인증된 사용자만 회의에 참가할 수 있음"을 켜세요. Zoom 계정에 로그인해야 참가할 수 있어, 익명 접근을 차단해요.

이 설정이 대부분의 팀이 직면하는 보안 상황의 90%를 커버해요. 나머지 10%의 가장 큰 위험 요소는 Zoom의 기술이 아니라 사람의 행동이에요: 회의 링크를 공개적으로 공유하거나, 매번 같은 회의 ID를 재사용하거나, Zoom 채팅의 의심스러운 링크를 클릭하는 것이요.

Zoom은 해커로부터 안전한가요?

어떤 소프트웨어도 해커로부터 완벽하게 안전하지 않아요. 그렇다고 말하는 사람은 뭔가 팔려는 거예요. 더 나은 질문은: Zoom이 일반적인 공격 벡터에 얼마나 잘 대응하느냐예요.

크리덴셜 스터핑: 해커들이 다른 서비스에서 유출된 비밀번호로 Zoom 계정 로그인을 시도해요. 2020년 4월 보안 연구자들은 다크웹 포럼에 대량의 Zoom 자격 증명이 나타났다고 보고했어요. Zoom이 해킹된 게 아니라, 여러 서비스에서 같은 비밀번호를 쓴 사용자들의 정보였어요. Zoom의 방어책: 2020년 9월부터 모든 계정에 제공되는 이중 인증(2FA). Zoom 계정에 2FA를 아직 설정하지 않았다면, 오늘 바로 하세요.

줌바밍: 기본 비밀번호, 대기실, 회의 잠금으로 해결됐어요(위 설정 섹션 참조).

제로데이 익스플로잇: Zoom은 HackerOne을 통해 버그 바운티 프로그램을 운영하며, 취약점을 보고하는 연구자에게 보상해요. 또한 보안 기업과 협력하여 정기적인 침투 테스트를 진행해요.

중간자 공격: AES 256비트 GCM 암호화가 가로채기를 방지해요. E2EE는 Zoom 측 가로채기의 이론적 위험도 제거해요.

소셜 엔지니어링: 모든 보안 체계에서 가장 약한 고리예요. Zoom 회의 초대를 사칭한 피싱 이메일이 여전히 많아요. 사용자가 자격 증명 탈취 페이지로 연결되는 가짜 "회의 참가" 링크를 클릭하는 것을 Zoom이 막을 수는 없어요. 팀원들에게 회의 링크를 확인하고, 알 수 없는 이메일의 링크 대신 캘린더 연동을 사용하도록 교육하세요.

Zoom은 해커로부터 안전한가요? 2FA, 고유한 비밀번호, 위에서 설명한 보안 설정을 사용하면 다른 주요 클라우드 플랫폼만큼 안전해요. 가장 큰 위험은 Zoom의 코드가 아니라 비밀번호 관리 습관이에요.

Zoom 보안, 다른 플랫폼과 비교하면?

Zoom만이 유일한 화상회의 옵션은 아니에요. 2026년 3월 기준 주요 대안과 보안을 비교했어요.

Microsoft Teams: 마찬가지로 AES 256비트 암호화를 사용하며, 1:1 통화에 E2EE를 제공해요(2025년 말 그룹 통화로 확대). Teams는 Azure Active Directory 및 Microsoft Defender와의 통합을 포함한 Microsoft의 광범위한 보안 생태계의 이점을 누려요. 규정 준수 인증은 Zoom과 비슷한 수준이에요. 이미 Microsoft 365를 사용하는 조직에서는 Teams의 보안이 기존 ID 관리와 긴밀히 통합돼요. Microsoft Teams 대안 가이드를 참조하세요.

Google Meet: 모든 통화에 AES 256비트 암호화를 사용해요. Google은 표준 Meet 통화에서 사용자가 선택할 수 있는 E2EE를 제공하지 않아요(클라이언트 측 암호화는 Workspace Enterprise Plus 요금제에서만 사용 가능). Google의 데이터 관행은 서비스 개선을 위한 데이터 사용을 포함하는 전반적인 개인정보 처리방침에 따라요.

WebRTC 기반 플랫폼 (Flat.social 포함): WebRTC 기반 플랫폼은 기본적으로 DTLS 키 교환과 함께 SRTP(Secure Real-time Transport Protocol)를 사용해요. 가능한 경우 오디오와 비디오가 피어 투 피어로 전송되어 중앙 서버를 거치지 않아요. 서버 측에 저장되는 것이 없으므로 클라우드 녹화 걱정도 없어요. 정책이 아닌 아키텍처 차원에서 프라이버시를 원하는 팀에게 WebRTC 플랫폼은 고려할 만해요.

하나의 플랫폼이 "가장 안전한" 것은 아니에요. 보안은 위협 모델에 따라 달라요. Zoom은 규정 준수 인증, 관리자 통제, 기업 기능이 필요한 조직에게 좋은 선택이에요. 최소한의 데이터 수집과 피어 투 피어 아키텍처를 우선시하는 팀에게는 공간형 회의 플랫폼이 근본적으로 다른 접근 방식을 제공해요.

Zoom은 Zoom Communications, Inc.의 상표입니다. 이 기사는 독립적인 게시물이며, Zoom Communications, Inc.와 제휴하거나, 보증 또는 후원을 받지 않았습니다.

결론: Zoom은 우리 팀에 충분히 안전한가요?

2026년의 Zoom은 2020년 보안 관련 뉴스를 장식했던 제품과는 근본적으로 달라요. AES 256비트 암호화가 모든 통화를 보호해요. 선택적 E2EE가 모든 요금제에서 사용 가능해요. SOC 2, ISO 27001, HIPAA, FedRAMP 인증이 대부분 조직의 규정 준수 요건을 커버해요.

하지만 보안은 플랫폼만의 문제가 아니에요. 사용 방법도 중요해요. 실행 목록을 정리했어요:

1. 이중 인증 활성화 — 조직 내 모든 Zoom 계정에 적용하세요.
2. 대기실과 비밀번호 활성화 — 모든 예약된 회의에 설정하세요.
3. E2EE 사용 — 기밀 정보(법률, 재무, 의료, HR)가 포함된 회의에 적용하세요.
4. 서드파티 앱 권한 검토 — Zoom 마켓플레이스 연동을 분기별로 점검하세요.
5. Zoom 최신 버전 유지 — 모든 기기에서 최신 버전으로 업데이트하세요.

이 다섯 가지만 실행해도 보안 면에서 95%의 Zoom 사용자를 앞서게 돼요. 위협 모델이 더 높은 수준을 요구한다면(기밀 정보 취급, 엄격한 데이터 주권법 적용, 또는 설계부터 데이터를 적게 수집하는 플랫폼 선호) 오디오가 피어 투 피어로 전송되고 중앙 서버에 아무것도 저장되지 않는 WebRTC 기반 대안을 고려해 보세요.

회의에는 팀의 아이디어, 전략, 솔직한 대화가 담겨 있어요. 보호받을 자격이 있어요.