[글로벌 뉴스 클리핑] “IT 거인들, 정보공유법 반대” 外

트위터, 구글, 페이스북, 아마존 등 정보 공유법에 반대 나서
보안이 강점인 하드드라이브에서 보안 취약점 다수 발견

[보안뉴스 문가용] 오바마법이라고도 불리는 사이버 정보 공유법에 영향력 막강한 기업들이 반대하고 나섰습니다. 데이터를 저절로 암호화시키는 걸로 유명한 하드드라이브에서는 그 기능이 그냥 ‘눈 가리고 아웅’ 수준의 것이라는 게 드러났고, 암호화 전도 단체인 렛츠인크립트는 이제 공식 인증서를 발급하는 기관이 되었습니다. 가짜 인증서가 요즘 기업들을 많이 괴롭히고 있는데, 그런 때에 이들이 만드는 인증서가 어떤 변화를 가져다줄까 기대됩니다.

1. 정보공유법, 반대에 부딪혀
트위터, 정보 공유 법안에 반대(Infosecurity Magazine)
사이버 정보 공유법에 반대하는 IT 기업들(SC Magazine)
사이버 보안 정보 공유법(Cybersecurity Information Sharing Act, CISA)이 미국에서 발효되기 직전입니다. 이는 첩보 혹은 정보를 강제적으로 공유해야 한다는 내용을 담고 있는데요, 물론 기밀을 공유하라는 건 아니고 주로 해킹과 관련된 위협 첩보들을 반드시 공유해서 추가 피해를 막자는 것이지요. 하지만 악용 소지가 너무나 크고 현재 법안 내용이 너무 모호해서 IT 기업들은 격렬히 반대하고 있습니다. 트위터, 구글, 페이스북, 아마존 등이 손을 잡아 반대에 동참하고 있습니다.

2. 유명 하드드라이브, 알고 보니 취약
시게이트와 웨스턴 디지털 하드드라이브에 오류 다수(Security Week)
자기 암호화 기능 가진 하드드라이브에서 보안 오류 발견(Threat Post)
웨스턴 디지털이 자랑하는 암호화 하드드라이브, 무용지물(The Register)
하드드라이브 제작업체 중 가장 유명한 곳에 속하는 시게이트와 웨스턴 디지털에서 개발한 자체 암호화 기능을 가진 하드드라이브에서 취약점이 다수 발견되었습니다. 강력한 보안성을 자랑으로 한 제품이 사실상 구멍 투성이라는 게 발견되었다는 건데요, 브루트포스 공격에 취약하다는 것, 펌웨어 조작이 너무나 간편하다는 것 등이 바로 그겁니다.

3. 구글과 MS
구글과 센트리파이, 협력 체계 구축해 안드로이드 포 워크 보강(Infosecurity Magazine)
MS, .NET Core, ASP.NET 관련 버그바운티 신설(Threat Post)
구글은 자사 서비스인 안드로이드 포 워크(Android for Work)를 보강하기 위해 센트리파이(Centrify)라는 아이덴티티 관리 전문업체와 손을 잡았습니다. 인수합병, 그런 건 아닙니다. 안드로이드 포 워크의 사용자들이 계정 관리를 보다 원활하고 안전하게 할 수 있게 될 것이라고 합니다. 또한 MS에서는 비주얼 스튜디오(Visual Studio)의 개발 스위트의 일부인 .NET Core와 ASP.NET 베타에 대한 버그바운티를 발표했습니다. 1월 20일까지 진행되며 500달러에서 1만 5천 달러까지 수여할 예정이라고 합니다.

4. 암호화 관련
렛츠인크립트, 아이덴트러스트와 한 단계 앞으로 전진(Threat Post)
암호화 전문가들, 1024 비트 암호화 기술 이상이 필요하다(CSOOnline)
모든 통신을 암호화시키자는 목표로 창설된 비영리 단체 렛츠인크립트(Let’s Encrypt)에서 얼마 전 자기들이 개발한 디지털 인증서를 발표한데 이어, 이번엔 아이덴트러스트(Identrust)와 손을 잡아 무료로 배포할 수 있게 되었습니다. 즉 렛츠인크립트가 공식 인증서 발급 단체가 된 것이라고 볼 수 있습니다.

한편 암호화 전문가들은 현재 사용되고 있는 1024 비트 암호화 기술로는 이제 부족하다는 의견을 내놓았습니다. 거대 기업 및 조직들로서는 현대의 암호화 기술을 쉽게 뚫을 수 있다는 게 그 이유입니다. 암호화에 대한 고민이 계속 이어지고 있습니다.

5. 해킹 사건
EMV 카드에 중간자 공격으로 6십 8만 달러 사기(Security Week)
미국 고등학생들, 학교 시스템 해킹해 체포돼(SC Magazine)
소니 해킹 사태, 법적으로 결론 나나(Security Week)
어나니머스, 일본 공항 두 곳 공격(SC Magazine)
미국이 자기띠 방식의 카드를 전부 EMV로 교체하고 있지요. 안전을 위해서라고 하는데요, 바로 그 안전하다던 EMV 카드 시스템에서 6십 8만 달러 사기범죄가 발생했습니다. POS 단말과 서버 사이에서 중간자 공격을 했다고 하는데요, 아무리 완전히 안전하다는 건 없다지만 도입 시작하고 한 달도 되지 않은 시점에서 이런 일이 발생하면 정부가 머쓱해지죠.

작년에 대규모 해킹 사건을 겪은 소니는 직원들의 집단소송도 처리해야 했었는데요, 그에 대한 결과가 나왔습니다. 소니가 피해를 입은 직원들 전부에게 800만 달러를 배상하는 것으로요. 물론 최종 판결은 아닙니다. 한편 일본의 돌고래 사냥 산업을 반대해 어나니머스가 나리타 공항과 추부 공항의 웹 사이트에 디도스 공격을 실시했습니다.

6. 취약점, 혐의 등
기업들이 사용하는 가짜 디지털 인증서, 수백만(Infosecurity Magazine)
HP 아크사이트 제품에서 취약점 발견(Security Week)
아일랜드의 정보기관, 스파잉 혐의뢰 페이스북 수사(CSOOnline)
디지털 인증서가 확실히 요즘 한계에 다다른 듯 합니다. 기업들이 가짜인줄도 모르고 사용하고 있는 디지털 인증서가 수백만 개가 넘는다는 보고서가 발견되었습니다. HP의 아크사이트(ArcSight)라는 제품에서 취약점들이 발견되었습니다. CVE-2015-2136, CVE-2015-6029, CVE-2015-6030 등입니다. HP는 이에 대한 업데이트를 배포하고 있습니다.

페이스북이 아일랜드 사용자의 개인정보를 미국에 넘겼다는 주장이 제기되었습니다. 이에 대해 아일랜드 정부기관이 수사에 들어갔다는 소식입니다. 유럽과 미국은 최근 세이프 하버 조약과 관련하여 그리 좋은 관계를 유지하고 있지 못하고 있는데, 이 사건도 영향을 줄 확률이 높습니다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)