Offcanvas

������������ ������ ������������

강은성의 보안 아키텍트ㅣ10만 사이버보안 인재 양성? 이젠 ‘질’을 따져야 할 때!

‘10만 양병설’이 처음 나온 건 율곡 이이가 병조판서였던 1583년으로 알려져 있다. ‘설’의 진위부터, 시기, 실현 가능성 등 여러 논란이 있으나 당시 북방 여진족의 움직임이나 약 10년 뒤인 1592년 임진왜란이 터진 상황을 미뤄 짐작해 보면, 국방 책임자였던 이이가 국제 정세를 분석하고 제안했을 법하다. 더욱이 1584년에 이이가 사망했으니, 그의 마지막 유작과 같은 제안으로 안타까운 마음마저 든다.  보안 분야에서 ‘10만 양병’ 주장이 언제 처음 나왔는지는 찾아보다가 1999년 10월 국정감사에서 정호선 의원이 보안 인력 ‘10만 양병설’의 원조 격이 되는 말을 했다는 기사를 발견했다.   “(정호선 의원은) 21세기 사이버 전쟁에 대비하기 위해 ‘신 10만 사이버 양병 정책'을 수립하고, 국무총리 산하에 `사이버 테러 대책위'를 설치할 것 등을 촉구했다.” (“과기정위, 컴퓨터 해킹대책 추궁”, 연합뉴스 1999.10.11.)  개별적인 기사나 주장으로 나왔던 이 주제가 공영방송의 토론 자리로 나온 것은 2008년의 일이다. 교육방송의 프로그램인 ‘미래포험 2050’에서 ‘10만 해커 양병해야 하나’라는 주제로 당시 쟁쟁했던 보안 분야 인사들의 토론을 진행한 것이다. 먼저 ‘10만 (화이트) 해커’와 ‘10만 보안 인력’은 매우 다른 내용임을 짚어야겠다. 보안에서 말하는 ‘해커’는 기본적으로 공격자로서 ‘병사’를 양성하겠다는 ‘10만 양병론’에 닿아있다. 사이버 전쟁이란 표현 역시 사이버 공간을 전쟁터로 인식하고, 거기서 벌어지는 보안 활동을 ‘전투’로 이해한다는 면에서 그리 다르지 않다.  보안 현업에서 ‘화이트 해커’는 주로 모의해킹 분야에서 일한다. 하지만 모의해킹 외에도 보안 정책 및 관리, 보안시스템 운영, 보안사고 대응, 보안솔루션 개발 등 보안의 여러 분야에서 많은 보안 인력이 일한다(강은성, “이제 수비 전문가가 필요하다”, 2017.1.16).    [표 ...

강은성 강은성의 보안 아키텍트 사이버보안 인재 화이트 해커

2022.05.13

‘10만 양병설’이 처음 나온 건 율곡 이이가 병조판서였던 1583년으로 알려져 있다. ‘설’의 진위부터, 시기, 실현 가능성 등 여러 논란이 있으나 당시 북방 여진족의 움직임이나 약 10년 뒤인 1592년 임진왜란이 터진 상황을 미뤄 짐작해 보면, 국방 책임자였던 이이가 국제 정세를 분석하고 제안했을 법하다. 더욱이 1584년에 이이가 사망했으니, 그의 마지막 유작과 같은 제안으로 안타까운 마음마저 든다.  보안 분야에서 ‘10만 양병’ 주장이 언제 처음 나왔는지는 찾아보다가 1999년 10월 국정감사에서 정호선 의원이 보안 인력 ‘10만 양병설’의 원조 격이 되는 말을 했다는 기사를 발견했다.   “(정호선 의원은) 21세기 사이버 전쟁에 대비하기 위해 ‘신 10만 사이버 양병 정책'을 수립하고, 국무총리 산하에 `사이버 테러 대책위'를 설치할 것 등을 촉구했다.” (“과기정위, 컴퓨터 해킹대책 추궁”, 연합뉴스 1999.10.11.)  개별적인 기사나 주장으로 나왔던 이 주제가 공영방송의 토론 자리로 나온 것은 2008년의 일이다. 교육방송의 프로그램인 ‘미래포험 2050’에서 ‘10만 해커 양병해야 하나’라는 주제로 당시 쟁쟁했던 보안 분야 인사들의 토론을 진행한 것이다. 먼저 ‘10만 (화이트) 해커’와 ‘10만 보안 인력’은 매우 다른 내용임을 짚어야겠다. 보안에서 말하는 ‘해커’는 기본적으로 공격자로서 ‘병사’를 양성하겠다는 ‘10만 양병론’에 닿아있다. 사이버 전쟁이란 표현 역시 사이버 공간을 전쟁터로 인식하고, 거기서 벌어지는 보안 활동을 ‘전투’로 이해한다는 면에서 그리 다르지 않다.  보안 현업에서 ‘화이트 해커’는 주로 모의해킹 분야에서 일한다. 하지만 모의해킹 외에도 보안 정책 및 관리, 보안시스템 운영, 보안사고 대응, 보안솔루션 개발 등 보안의 여러 분야에서 많은 보안 인력이 일한다(강은성, “이제 수비 전문가가 필요하다”, 2017.1.16).    [표 ...

2022.05.13

강은성의 보안 아키텍트ㅣ이루다 2.0, 개인정보, 인공지능

2020년 12월 22일 출시됐다가 여러 사회적 문제를 일으키고 2021년 1월 11일, 21일 만에 중단됐던 챗봇 ‘이루다’ 서비스가 지난 3월 17일부터 공식 베타 서비스를 재개했다. 성이 ‘이'씨이고 이름이 ‘‘루다'인 20살 여대생으로 설정됐던 이 챗봇은, 우려됐던 성희롱뿐 아니라 약자-소수자에 대한 혐오·차별로 물의가 빚어지고, 개인정보보호 법규 위반 행위까지 불거지면서 서비스가 중단됐었다(강은성, “이루다, 인공지능, 개인정보”, 2021.2.23). ‘이루다’ 서비스가 중단된 지 세 달가량 뒤인 지난해 4월에 개인정보보호위원회에서는 ‘이루다’의 개인정보보호법 위반 행위에 대해 행정처분을 내렸다. 그중 ‘이루다’ 개발사 스캐터랩이 함께 운영하던 ‘텍스트앳’과 ‘연애의과학’ 서비스에 카카오톡 이용자가 제공한 대화 내용과 관련, 개인정보위가 개인정보보호법을 위반했다고 지목한 주요 내용은 다음과 같다.  (1) ‘연애의과학’과 ‘텍스트앳’에서 개인정보 수집 시 명시적 동의를 받지 않은 행위(제22조(동의를 받는 방법) 제1항 및 제39조의3(개인정보의 수집·이용 동의 등에 대한 특례) 제1항 위반)  (2) ‘연애의과학’과 ‘텍스트앳’에서 수집한 목적 외로 ‘이루다’의 학습과 운영에 카톡 대화 문장을 이용한 행위(제18조(개인정보의 목적 외 이용·제공 제한) 제1항 위반) (3) github에 이용자의 카톡 대화 문장(가명정보)을 공유한 행위(제28조의2(가명정보의 처리 등) 제2항 위반) 이루다2.0에서는 그동안 지적됐던 개인정보 문제가 어느 정도 개선된 것으로 보인다. 먼저 개인정보위에서 지적한 개인정보 처리방침이 개선됐다. ‘연애의과학’과 ‘텍스트앳’ 개인정보 처리방침의 ‘개인정보의 수집 및 이용 목적’에 “챗봇 알고리즘 개발을 포함한 언어 기반 인공지능 분야 기술의 연구 개발 등 신규 서비스 개발”이라고 하여 개인정보를 이용할 신규 서비스 개발을 일부 한정하였다. 스캐터랩이 홈페이지에 ‘AI 챗봇 윤리’ 아래에...

강은성 강은성의 보안 아키텍트 이루다2.0 챗봇

2022.04.15

2020년 12월 22일 출시됐다가 여러 사회적 문제를 일으키고 2021년 1월 11일, 21일 만에 중단됐던 챗봇 ‘이루다’ 서비스가 지난 3월 17일부터 공식 베타 서비스를 재개했다. 성이 ‘이'씨이고 이름이 ‘‘루다'인 20살 여대생으로 설정됐던 이 챗봇은, 우려됐던 성희롱뿐 아니라 약자-소수자에 대한 혐오·차별로 물의가 빚어지고, 개인정보보호 법규 위반 행위까지 불거지면서 서비스가 중단됐었다(강은성, “이루다, 인공지능, 개인정보”, 2021.2.23). ‘이루다’ 서비스가 중단된 지 세 달가량 뒤인 지난해 4월에 개인정보보호위원회에서는 ‘이루다’의 개인정보보호법 위반 행위에 대해 행정처분을 내렸다. 그중 ‘이루다’ 개발사 스캐터랩이 함께 운영하던 ‘텍스트앳’과 ‘연애의과학’ 서비스에 카카오톡 이용자가 제공한 대화 내용과 관련, 개인정보위가 개인정보보호법을 위반했다고 지목한 주요 내용은 다음과 같다.  (1) ‘연애의과학’과 ‘텍스트앳’에서 개인정보 수집 시 명시적 동의를 받지 않은 행위(제22조(동의를 받는 방법) 제1항 및 제39조의3(개인정보의 수집·이용 동의 등에 대한 특례) 제1항 위반)  (2) ‘연애의과학’과 ‘텍스트앳’에서 수집한 목적 외로 ‘이루다’의 학습과 운영에 카톡 대화 문장을 이용한 행위(제18조(개인정보의 목적 외 이용·제공 제한) 제1항 위반) (3) github에 이용자의 카톡 대화 문장(가명정보)을 공유한 행위(제28조의2(가명정보의 처리 등) 제2항 위반) 이루다2.0에서는 그동안 지적됐던 개인정보 문제가 어느 정도 개선된 것으로 보인다. 먼저 개인정보위에서 지적한 개인정보 처리방침이 개선됐다. ‘연애의과학’과 ‘텍스트앳’ 개인정보 처리방침의 ‘개인정보의 수집 및 이용 목적’에 “챗봇 알고리즘 개발을 포함한 언어 기반 인공지능 분야 기술의 연구 개발 등 신규 서비스 개발”이라고 하여 개인정보를 이용할 신규 서비스 개발을 일부 한정하였다. 스캐터랩이 홈페이지에 ‘AI 챗봇 윤리’ 아래에...

2022.04.15

강은성의 보안 아키텍트ㅣ체크리스트가 보안을 망친다? 형식만 남은 보안 위험 관리

지난 2월 오징어 게임의 주연 이정재, 정호연 배우가 비영어권 드라마 최초로 미국 배우조합(SAG)에서 주는 남녀 주연 배우상을 받은 것이 세계적인 화제다. 15만 명의 미국 배우 중 다수가 한국 드라마의 한국 주연 배우에 투표한 것은 정말 놀라운 일이 아닐 수 없다.  로마가 하루아침에 이뤄지지 않았듯 우리나라 영화와 문화의 세계적 위상 변화 역시 기생충, BTS 등 오랫동안 쌓여온 노력과 성과가 전 세계가 맞이한 코로나19 위기에서 세계적 모범이 된 K-방역, 한국 경제의 탁월한 회복, 세계에 대한 인류애적 지원으로 한국에 대한 글로벌 인식이 근본적으로 바뀌면서 발생하고 있는 것이 아닐까 싶다(강은성,  “코로나19, 국가브랜드, 기업활동”, 2020.4.7).   특히 코로나19 초기에 질병관리본부의 ‘위험 평가'는 인상적이었다. 2020년 2월 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한 주장에 대해 정부에서는 질병관리본부와 감염병 전문가들이 ‘위험 평가'를 하고 있다고 설명하면서 기업의 임직원 등 ‘필수 인력’의 왕래를 허용하면서도 입국장부터 숙소까지 철저한 방역 관리로 초기 코로나19 대응의 세계적인 모범 사례를 만들었다(강은성, “코로나19와 개인정보 위기관리", 2020.3.16). 보안에서는 ‘보안 위험 평가’를 한다. ‘보안 위험 관리'는 보안 위험 식별(자산 식별 → 보안위협 식별 → 보안취약점 식별) → 보안 위험 분석 및 평가 → 보안대책 수립 → 보안대책 이행 관리로 이뤄진다. 보안 위험 평가는 보안 위험 관리의 일부로서 보안 위협에 대응하기 위한 전사 보안정책의 수립, 보안솔루션의 도입과 운영, 보안관제 등 각종 보안대책의 토대가 된다.  정부에서 시행하는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이나 국제 표준인 정보보안 경영시스템(ISO27001) 인증 역시 이러한 위험 관리가 중심에 있다. 코로나19 초기에 질병관리본부에...

강은성 강은성의 보안 아키텍트 보안 체크리스트 보안 위험 관리 보안 위험 평가

2022.03.11

지난 2월 오징어 게임의 주연 이정재, 정호연 배우가 비영어권 드라마 최초로 미국 배우조합(SAG)에서 주는 남녀 주연 배우상을 받은 것이 세계적인 화제다. 15만 명의 미국 배우 중 다수가 한국 드라마의 한국 주연 배우에 투표한 것은 정말 놀라운 일이 아닐 수 없다.  로마가 하루아침에 이뤄지지 않았듯 우리나라 영화와 문화의 세계적 위상 변화 역시 기생충, BTS 등 오랫동안 쌓여온 노력과 성과가 전 세계가 맞이한 코로나19 위기에서 세계적 모범이 된 K-방역, 한국 경제의 탁월한 회복, 세계에 대한 인류애적 지원으로 한국에 대한 글로벌 인식이 근본적으로 바뀌면서 발생하고 있는 것이 아닐까 싶다(강은성,  “코로나19, 국가브랜드, 기업활동”, 2020.4.7).   특히 코로나19 초기에 질병관리본부의 ‘위험 평가'는 인상적이었다. 2020년 2월 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한 주장에 대해 정부에서는 질병관리본부와 감염병 전문가들이 ‘위험 평가'를 하고 있다고 설명하면서 기업의 임직원 등 ‘필수 인력’의 왕래를 허용하면서도 입국장부터 숙소까지 철저한 방역 관리로 초기 코로나19 대응의 세계적인 모범 사례를 만들었다(강은성, “코로나19와 개인정보 위기관리", 2020.3.16). 보안에서는 ‘보안 위험 평가’를 한다. ‘보안 위험 관리'는 보안 위험 식별(자산 식별 → 보안위협 식별 → 보안취약점 식별) → 보안 위험 분석 및 평가 → 보안대책 수립 → 보안대책 이행 관리로 이뤄진다. 보안 위험 평가는 보안 위험 관리의 일부로서 보안 위협에 대응하기 위한 전사 보안정책의 수립, 보안솔루션의 도입과 운영, 보안관제 등 각종 보안대책의 토대가 된다.  정부에서 시행하는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이나 국제 표준인 정보보안 경영시스템(ISO27001) 인증 역시 이러한 위험 관리가 중심에 있다. 코로나19 초기에 질병관리본부에...

2022.03.11

강은성의 보안 아키텍트ㅣ정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)의 자격 요건

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

강은성 강은성의 보안 아키텍트 정보보호최고책임자 개인정보보호책임자 CISO CPO 정보통신망법 정보보호 개인정보보호

2022.02.14

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

2022.02.14

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (2)

지난 9월 개인정보보호위원회는 개인정보보호법 개정안(이하 ‘2차 개정안’)을 국회에 제출했다. 지난달 칼럼(개인정보보호법 2차 개정에서 개정할 것들(1))에 이어 2차 개정에 포함됐으면 하는 사항을 검토한다. 셋째, CEO 및 CPO의 징계 규정(개인정보보호법 제65조 제2항) 개정 개인정보보호법에는 개인정보보호 관련 법규 위반으로 개인정보 유출 사고가 발생했을 때 CEO와 개인정보보호책임자(CPO)를 징계할 수 있는 규정이 있다.   ② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때는 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다. 개인정보보호법 제65조(고발 및 징계권고) 제2항 개인정보보호법으로 통합되면서 없어졌지만, 정보통신망법에도 이와 비슷한 규정이 있었다.   ② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자 등에게 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다. 정보통신망법 제69조의2(고발) 제2항 2017년 3월 발생한 W사의 개인정보 유출 사고에 대해 방송통신위원회가 정보통신망법의 위 조문을 근거로 최초로 ‘CEO와 책임 있는 임원’의 징계를 권고하였고, 같은 해 10월 발생한 H사의 개인정보 유출 사고에 대해 행정안전부도 CEO와 CPO에 대해 징계를 권고하였다.  비슷한 목적으로 만들어졌고, 비슷한 상황에 적용된 두 조문은 겉으로 보기에는 별 차이가 없어 보이지만, 실제 내용은 상당히 다르다. 정보통신망법에서는 징계 기준 법규를 정보통신망법으로 한정하...

강은성 강은성의 보안 아키텍트 개인정보보호 개인정보보호법 보안 사이버보안 프라이버시

2021.11.11

지난 9월 개인정보보호위원회는 개인정보보호법 개정안(이하 ‘2차 개정안’)을 국회에 제출했다. 지난달 칼럼(개인정보보호법 2차 개정에서 개정할 것들(1))에 이어 2차 개정에 포함됐으면 하는 사항을 검토한다. 셋째, CEO 및 CPO의 징계 규정(개인정보보호법 제65조 제2항) 개정 개인정보보호법에는 개인정보보호 관련 법규 위반으로 개인정보 유출 사고가 발생했을 때 CEO와 개인정보보호책임자(CPO)를 징계할 수 있는 규정이 있다.   ② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때는 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다. 개인정보보호법 제65조(고발 및 징계권고) 제2항 개인정보보호법으로 통합되면서 없어졌지만, 정보통신망법에도 이와 비슷한 규정이 있었다.   ② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자 등에게 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다. 정보통신망법 제69조의2(고발) 제2항 2017년 3월 발생한 W사의 개인정보 유출 사고에 대해 방송통신위원회가 정보통신망법의 위 조문을 근거로 최초로 ‘CEO와 책임 있는 임원’의 징계를 권고하였고, 같은 해 10월 발생한 H사의 개인정보 유출 사고에 대해 행정안전부도 CEO와 CPO에 대해 징계를 권고하였다.  비슷한 목적으로 만들어졌고, 비슷한 상황에 적용된 두 조문은 겉으로 보기에는 별 차이가 없어 보이지만, 실제 내용은 상당히 다르다. 정보통신망법에서는 징계 기준 법규를 정보통신망법으로 한정하...

2021.11.11

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (1)

2019년 하반기, 국회에서 정보통신망법의 개인정보보호 관련 조문을 개인정보보호법으로 통합하는 개인정보보호 관련 법규의 통합이 데이터 3법 개정의 주요 내용으로 논의되고 있을 때 ‘물리적 통합’의 한계를 지적하며 정보통신망법과 개인정보보호법 개정의 의미를 평가절하하는 분위기도 일부 있었다. 필자가 법률 전문가도 아닌 주제에 굳이 “정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대”(CIO-KR, 2019.12.23)에서 ‘물리적 통합’ 자체가 상당히 의미 있는 일임을 적극적으로 설명한 이유다.    ‘통합’ 개인정보보호법이 시행된 지 1년이 좀 더 지난 지금, 가명정보 등 개인정보 활용을 중시하는 관점에서 개정의 의미를 부여하기도 하지만(“우려와 기대 ‘데이터 3법’ 시행 1년…변화는?”, KBS, 2021.7.28), 우리 사회에서 ‘실질적인’ 개인정보 보호 수준의 향상을 바라는 관점에서도 그 의미는 작지 않다.  기업 등 수범자 쪽에서 보면, 개인정보보호 법령 및 규제기관의 일원화는 개인정보보호 업무를 수행하는 데 상당한 도움이 됐다(2019년부터 논의되었던 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 ‘개인정보의 안전성 확보조치 기준’ 고시가 아직도 통합되지 않은 분명 아쉬운 일이다).  또한 개인정보보호위원회가 다른 부처의 소관 법령과 정부 정책에 대해서 개인정보보호 측면에서 의견을 제시함으로써 우리 사회 전반적인 개인정보보호 수준을 높이는 데 역할을 하는 것 역시 2020년 개정의 의미 있는 성과다.  작년 '통합’ 개인정보보호법 개정에 이어 9월 말에 개인정보보호위원회가 개인정보보호법 ‘2차 개정안’을 국회에 제출했다.  기업 관점에서 이번 개정안의 가장 큰 특징은 개인정보보호법에 있던 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’ 규정을 모두 삭제하고, 정보통신서비스 제공자와 개인정보처리자 사이에 혼재되어 있던 규정을 모두 개인정보처리자로 일원화함으로...

강은성 강은성의 보안 아키텍트 개인정보보호 프라이버시 개인정보보호법

2021.10.25

2019년 하반기, 국회에서 정보통신망법의 개인정보보호 관련 조문을 개인정보보호법으로 통합하는 개인정보보호 관련 법규의 통합이 데이터 3법 개정의 주요 내용으로 논의되고 있을 때 ‘물리적 통합’의 한계를 지적하며 정보통신망법과 개인정보보호법 개정의 의미를 평가절하하는 분위기도 일부 있었다. 필자가 법률 전문가도 아닌 주제에 굳이 “정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대”(CIO-KR, 2019.12.23)에서 ‘물리적 통합’ 자체가 상당히 의미 있는 일임을 적극적으로 설명한 이유다.    ‘통합’ 개인정보보호법이 시행된 지 1년이 좀 더 지난 지금, 가명정보 등 개인정보 활용을 중시하는 관점에서 개정의 의미를 부여하기도 하지만(“우려와 기대 ‘데이터 3법’ 시행 1년…변화는?”, KBS, 2021.7.28), 우리 사회에서 ‘실질적인’ 개인정보 보호 수준의 향상을 바라는 관점에서도 그 의미는 작지 않다.  기업 등 수범자 쪽에서 보면, 개인정보보호 법령 및 규제기관의 일원화는 개인정보보호 업무를 수행하는 데 상당한 도움이 됐다(2019년부터 논의되었던 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 ‘개인정보의 안전성 확보조치 기준’ 고시가 아직도 통합되지 않은 분명 아쉬운 일이다).  또한 개인정보보호위원회가 다른 부처의 소관 법령과 정부 정책에 대해서 개인정보보호 측면에서 의견을 제시함으로써 우리 사회 전반적인 개인정보보호 수준을 높이는 데 역할을 하는 것 역시 2020년 개정의 의미 있는 성과다.  작년 '통합’ 개인정보보호법 개정에 이어 9월 말에 개인정보보호위원회가 개인정보보호법 ‘2차 개정안’을 국회에 제출했다.  기업 관점에서 이번 개정안의 가장 큰 특징은 개인정보보호법에 있던 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’ 규정을 모두 삭제하고, 정보통신서비스 제공자와 개인정보처리자 사이에 혼재되어 있던 규정을 모두 개인정보처리자로 일원화함으로...

2021.10.25

강은성의 보안 아키텍트ㅣ비밀번호를 없애자!

보안은 원래 보수적이다. 새로운 악성코드가 나왔다고 해서 10년 전 악성코드를 탐지, 제거하지 못하는 안티바이러스 제품이 있다면 시장에서 살아남을 수 없다. 보안정책을 개정할 때에도 기존 보안 위험을 빠뜨리지 않는지 꼼꼼히 살펴본다. 개인적으로도 나이도 좀 들어서 그런지 점점 더 보수적이 되는 것 같다.   그런데 문득 은행 거래를 하면서 비밀번호(Password)를 쓰지 않은 지 몇 년이 지났다는 걸 깨닫게 됐다. ‘공인’(공동) 인증서와 일회용 비밀번호(OTP) 단말기를 사용했기 때문이다. 심지어 은행 거래 안전성의 상징인 OTP 단말도 사용하지 않은 지 꽤 됐다. 은행 모바일 앱에서 지문 인증을 사용하면서부터다. 우리 사회 ‘보수성’의 상징인 은행이 혁명적 변화의 최첨단에 서 있는 셈이다. 사실 비밀번호는 사용자 인증(Authentication)의 오래된 수단이다. ID가 비대면 환경에서 사람을 구별(Identification)하기 위한 수단이라면, 비밀번호는 현재 로그인하는 사람이 바로 ‘나’임을 증명하는 사용자 인증의 한 수단이다.  다들 알다시피 비밀번호 인증은 ‘지식 기반’(What you know) 인증인데, 사실은 ‘기억 기반’(What you remember) 인증이라는 말이 더 적합하다. 하지만 사람의 기억력은 한계가 있고, 요즘처럼 복잡하고 변화가 많은 환경에서 뭔가를 기억하기는 더 어려우며, 나이가 든 사람에게 기억하기는 정말 ‘고난도 기술’이다.  사람의 기억력을 대신하는 다른 인증 방법이 있다. 스마트폰의 소유 여부를 확인하는 문자메시지나 구글 Authenticator 같은 OTP가 있고, 비밀번호 재설정에서는 등록된 계정으로 메일을 보내기도 한다. 출입 시 많이 쓰는 스마트카드 인증도 있다. 모두 해당 수단을 소유(What you have)하고 있는지 인증하는 것이다.  스마트폰에서는 지문 인증을 비롯한 생체 인증, 즉 ‘존재 기반’(What you are) 인증이 많이 쓰인다. 생체인...

강은성 강은성의 보안 아키텍트 보안 비밀번호 암호 안티 바이러스 사용자 인증 생체인증

2021.09.17

보안은 원래 보수적이다. 새로운 악성코드가 나왔다고 해서 10년 전 악성코드를 탐지, 제거하지 못하는 안티바이러스 제품이 있다면 시장에서 살아남을 수 없다. 보안정책을 개정할 때에도 기존 보안 위험을 빠뜨리지 않는지 꼼꼼히 살펴본다. 개인적으로도 나이도 좀 들어서 그런지 점점 더 보수적이 되는 것 같다.   그런데 문득 은행 거래를 하면서 비밀번호(Password)를 쓰지 않은 지 몇 년이 지났다는 걸 깨닫게 됐다. ‘공인’(공동) 인증서와 일회용 비밀번호(OTP) 단말기를 사용했기 때문이다. 심지어 은행 거래 안전성의 상징인 OTP 단말도 사용하지 않은 지 꽤 됐다. 은행 모바일 앱에서 지문 인증을 사용하면서부터다. 우리 사회 ‘보수성’의 상징인 은행이 혁명적 변화의 최첨단에 서 있는 셈이다. 사실 비밀번호는 사용자 인증(Authentication)의 오래된 수단이다. ID가 비대면 환경에서 사람을 구별(Identification)하기 위한 수단이라면, 비밀번호는 현재 로그인하는 사람이 바로 ‘나’임을 증명하는 사용자 인증의 한 수단이다.  다들 알다시피 비밀번호 인증은 ‘지식 기반’(What you know) 인증인데, 사실은 ‘기억 기반’(What you remember) 인증이라는 말이 더 적합하다. 하지만 사람의 기억력은 한계가 있고, 요즘처럼 복잡하고 변화가 많은 환경에서 뭔가를 기억하기는 더 어려우며, 나이가 든 사람에게 기억하기는 정말 ‘고난도 기술’이다.  사람의 기억력을 대신하는 다른 인증 방법이 있다. 스마트폰의 소유 여부를 확인하는 문자메시지나 구글 Authenticator 같은 OTP가 있고, 비밀번호 재설정에서는 등록된 계정으로 메일을 보내기도 한다. 출입 시 많이 쓰는 스마트카드 인증도 있다. 모두 해당 수단을 소유(What you have)하고 있는지 인증하는 것이다.  스마트폰에서는 지문 인증을 비롯한 생체 인증, 즉 ‘존재 기반’(What you are) 인증이 많이 쓰인다. 생체인...

2021.09.17

강은성의 보안 아키텍트ㅣ보안 제품에 보안취약점이 있다고?

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

강은성 강은성의 보안 아키텍트 CISO 보안 보안 제품 가상사설망 해킹 VPN 랜섬웨어 보안취약점 마이크로소프트 구글 오라클 아마존 삼성전자 LG전자 네이버 SDL 보안공학 모의해킹 위협 모델링

2021.08.27

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

2021.08.27

강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

강은성 강은성의 보안 아키텍트 정보통신망법 CISO 정보보호 보안

2021.07.22

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

2021.07.22

강은성의 보안 아키텍트ㅣ과징금은 개인정보 보호의 만능열쇠인가?

2018년 5월 발효한 유럽연합의 일반 개인정보보호법(GDPR)에서 법령 위반에 따른 과징금 규모가 크다는 것은 세계적으로 잘 알려져 있다. 일례로 2019년 1월 프랑스 개인정보 감독기구 CNIL은 개인정보 유출 사고가 발생하지도 않은 구글에 개인정보 처리방침과 개인정보 수집 동의 등 구글의 개인정보 처리 프로세스의 적법성이 확보되지 않았다는 이유로 GDPR 사상 최대 금액 5천만 유로(한화 약 642억 원)의 과징금을 부과해 전 세계의 관심이 쏠렸다. 국내에서 2017년부터 GDPR에 관심이 많았던 것도 최대 2천만 유로 또는 전 세계 매출액의 4%에 이르는 엄청난 과징금의 영향이 컸던 게 사실이다. 그런데도 개인정보 관련한 세계 최고의 금전적 제재는 유럽연합이 아닌 미국에서 있었다. 2019년 7월 미국 연방거래위원회(FTC)는 2018년 3월에 드러난 ‘페이스북-케임브리지 애널리티카 개인정보 유출 사건’을 비롯해 그전부터 발생한 페이스북의 개인정보 침해 행위에 대한 벌금으로 50억 달러(약 5조 9천억 원)를 부과하기로 페이스북과 합의했다. 하지만 내용을 좀 더 살펴보면 FTC가 페이스북에 금전적 제재만 부과한 것이 아니다.    FTC는 페이스북의 오너이자 CEO인 마크 저커버그가 페이스북에서 개인정보 침해 사건이 계속 발생하는 근본적 원인이라고 보고 저커버그의 통제에서 벗어난 개인정보보호 체계를 구성했다. 즉 CEO에게서 독립한 개인정보보호위원회를 구성하고 이 위원회의 승인을 받은 준법감시인을 선임하도록 했다. CEO와 준법감시인에게는 서로 독립적으로 FTC가 명령한 개인정보보호 프로그램을 준수하고 있다는 점을 분기별로 증빙을 제출하고, 1년에 한 번은 전체적으로 FTC의 명령을 준수하고 있다는 증빙을 제출하는 의무를 부과했다.  개인정보보호 담당 조직의 관점에서 본다면 FTC의 명령을 준수하고 분기별로 그 증빙을 갖추는 일은 쉽지 않지만 오너 CEO가 법령을 위반해 개인정보 이용을 지시하는 것을 차단할 수 있고 ...

강은성 강은성의 보안 아키텍트 보안 유럽연합 개인정보보호 프라이버시 구글 GDPR 페이스북 FTC 개인정보 침해 데이터 마이데이터

2021.06.22

2018년 5월 발효한 유럽연합의 일반 개인정보보호법(GDPR)에서 법령 위반에 따른 과징금 규모가 크다는 것은 세계적으로 잘 알려져 있다. 일례로 2019년 1월 프랑스 개인정보 감독기구 CNIL은 개인정보 유출 사고가 발생하지도 않은 구글에 개인정보 처리방침과 개인정보 수집 동의 등 구글의 개인정보 처리 프로세스의 적법성이 확보되지 않았다는 이유로 GDPR 사상 최대 금액 5천만 유로(한화 약 642억 원)의 과징금을 부과해 전 세계의 관심이 쏠렸다. 국내에서 2017년부터 GDPR에 관심이 많았던 것도 최대 2천만 유로 또는 전 세계 매출액의 4%에 이르는 엄청난 과징금의 영향이 컸던 게 사실이다. 그런데도 개인정보 관련한 세계 최고의 금전적 제재는 유럽연합이 아닌 미국에서 있었다. 2019년 7월 미국 연방거래위원회(FTC)는 2018년 3월에 드러난 ‘페이스북-케임브리지 애널리티카 개인정보 유출 사건’을 비롯해 그전부터 발생한 페이스북의 개인정보 침해 행위에 대한 벌금으로 50억 달러(약 5조 9천억 원)를 부과하기로 페이스북과 합의했다. 하지만 내용을 좀 더 살펴보면 FTC가 페이스북에 금전적 제재만 부과한 것이 아니다.    FTC는 페이스북의 오너이자 CEO인 마크 저커버그가 페이스북에서 개인정보 침해 사건이 계속 발생하는 근본적 원인이라고 보고 저커버그의 통제에서 벗어난 개인정보보호 체계를 구성했다. 즉 CEO에게서 독립한 개인정보보호위원회를 구성하고 이 위원회의 승인을 받은 준법감시인을 선임하도록 했다. CEO와 준법감시인에게는 서로 독립적으로 FTC가 명령한 개인정보보호 프로그램을 준수하고 있다는 점을 분기별로 증빙을 제출하고, 1년에 한 번은 전체적으로 FTC의 명령을 준수하고 있다는 증빙을 제출하는 의무를 부과했다.  개인정보보호 담당 조직의 관점에서 본다면 FTC의 명령을 준수하고 분기별로 그 증빙을 갖추는 일은 쉽지 않지만 오너 CEO가 법령을 위반해 개인정보 이용을 지시하는 것을 차단할 수 있고 ...

2021.06.22

강은성의 보안 아키텍트ㅣ공급 사슬 보안, 어떻게 할까?

2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다.  공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다.    2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다.  국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다.  공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점...

강은성의 보안 아키텍트 공급 사슬 공급 사슬 보안 보안 파이어아이 솔라윈즈 솔라윈즈 해킹

2021.05.17

2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다.  공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다.    2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다.  국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다.  공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점...

2021.05.17

강은성의 보안 아키텍트ㅣ맥(Mac) 안전하게 사용하기

확실히 ‘맥(Mac)’ 사용자가 많이 늘었다. 테헤란로에서는 맥을 정말 많이 봤는데, 학교에 와서도 맥을 종종 보게 된다. 과거에 맥은 디자이너의 전유물이다시피 했지만 이제는 개발자도 많이 사용하고 아예 맥을 기본으로 사용하는 회사도 생겼다.  시장조사기관 스탯카운터(StatCounter)에 따르면 2020년 12월 기준으로 데스크톱 운영체제 중 맥OS가 17.1%를 차지한다. 2014년 8.7%와 비교해 6년 만에 2배 가까이 늘어난 것이다. 사용자가 늘어난 만큼 이를 노린 보안 공격이 늘어나는 것은 낯설지 않은 일이다.    맥은 안전하다는 믿음을 가진 분들이 의외로 많지만 맥용 악성코드는 꾸준히 늘어나는 추세다. 국내 악성코드 수집 사이트 멀웨어스닷컴(malwares.com)에 따르면 2020년 1월부터 10월까지 수집된 맥OS용 악성코드는 약 14만 개로 지난해 같은 기간보다 11.8배 증가했다.  그런데 맥용 악성코드가 가장 많이 발견된 때조차도 윈도우용 악성코드 수의 1/100 이하에 불과하다. 통계 주체에 따라 좀 다르긴 하지만 맥용 악성코드 통계를 두루 살펴보면 애드웨어나 PUP(Potentially Unwanted Program) 종류가 많아서 행위의 악성 수준이 좀 떨어지기도 한다.    맥의 보안 체계를 뚫기 쉽지 않아서 맥에 대한 공격은 사용자가 속아서 스스로 설치하도록 만드는 공격이 많다. 악성코드를 마치 보안 프로그램인 것처럼 보이게 해서 배포하는 방식이 그중 하나다. 아무래도 윈도우보다 맥OS에서 작동하는 소프트웨어가 훨씬 적고 애플 앱스토어라는 한정된 곳에서 제공되다 보니 인터넷 검색이나 토렌트 등을 통해 무료 소프트웨어를 찾는 사용자들도 꽤 있다.    맥용 보안 제품을 사 주지 않는 회사에서 무료 보안 프로그램을 찾는 사용자도 있어서 공격자들이 파고들기 좋다. 애플 사용자들의 애플에 대한 특수한 신뢰를 악용하여 애플 사이트로 위장한 피싱 사이트...

강은성 강은성의 보안 아키텍트 보안 윈도우 악성코드 데스크톱 운영체제 안티바이러스 엔드포인트 보안

2021.04.15

확실히 ‘맥(Mac)’ 사용자가 많이 늘었다. 테헤란로에서는 맥을 정말 많이 봤는데, 학교에 와서도 맥을 종종 보게 된다. 과거에 맥은 디자이너의 전유물이다시피 했지만 이제는 개발자도 많이 사용하고 아예 맥을 기본으로 사용하는 회사도 생겼다.  시장조사기관 스탯카운터(StatCounter)에 따르면 2020년 12월 기준으로 데스크톱 운영체제 중 맥OS가 17.1%를 차지한다. 2014년 8.7%와 비교해 6년 만에 2배 가까이 늘어난 것이다. 사용자가 늘어난 만큼 이를 노린 보안 공격이 늘어나는 것은 낯설지 않은 일이다.    맥은 안전하다는 믿음을 가진 분들이 의외로 많지만 맥용 악성코드는 꾸준히 늘어나는 추세다. 국내 악성코드 수집 사이트 멀웨어스닷컴(malwares.com)에 따르면 2020년 1월부터 10월까지 수집된 맥OS용 악성코드는 약 14만 개로 지난해 같은 기간보다 11.8배 증가했다.  그런데 맥용 악성코드가 가장 많이 발견된 때조차도 윈도우용 악성코드 수의 1/100 이하에 불과하다. 통계 주체에 따라 좀 다르긴 하지만 맥용 악성코드 통계를 두루 살펴보면 애드웨어나 PUP(Potentially Unwanted Program) 종류가 많아서 행위의 악성 수준이 좀 떨어지기도 한다.    맥의 보안 체계를 뚫기 쉽지 않아서 맥에 대한 공격은 사용자가 속아서 스스로 설치하도록 만드는 공격이 많다. 악성코드를 마치 보안 프로그램인 것처럼 보이게 해서 배포하는 방식이 그중 하나다. 아무래도 윈도우보다 맥OS에서 작동하는 소프트웨어가 훨씬 적고 애플 앱스토어라는 한정된 곳에서 제공되다 보니 인터넷 검색이나 토렌트 등을 통해 무료 소프트웨어를 찾는 사용자들도 꽤 있다.    맥용 보안 제품을 사 주지 않는 회사에서 무료 보안 프로그램을 찾는 사용자도 있어서 공격자들이 파고들기 좋다. 애플 사용자들의 애플에 대한 특수한 신뢰를 악용하여 애플 사이트로 위장한 피싱 사이트...

2021.04.15

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5