[글로벌 뉴스 클리핑] “오바마 대통령 보안문제 직접 개입” 外

매일 아침 업데이트 되는 해외 소식 모음

키워드 : 오바마 대통령, 핀앤칩, 프라이버시, FIRST와 국제 표준

[보안뉴스 문가용] 미국에서 PoS가 자꾸만 문제를 일으킨다 했더니 오바마 대통령이 나섰습니다. 결제 시스템 자체를 바꾸라는 것인데 애플 페이와 맞물리는 시점이라 흥미롭습니다. 그러나 오늘의 가장 큰 화두는 프라이버시 문제네요. 애플에서부터 위스퍼, 잊혀질 권리까지 다양한 사고가 터지고 여러 가지 이야기가 오가고 있습니다. 마치 한국이 요즘 카톡으로 시끄러운 걸 해외 기자들이 아는 것 같은 절묘한 타이밍입니다.

1. 산업 제어 시스템을 관리하는 FDT / DTM에서 치명적인 취약점 발견(Security Week)

http://www.securityweek.com/dtm-component-vulnerabilities-expose-critical-control-systems-cyberattacks

산업 현장에서 사용되는 수많은 기기들을 통제하기 위해 고안된 FDT와 DTM에서 DoS, XML 인젝션, 원격 코드 실행 등의 치명적인 취약점이 발견되었다고 합니다.

2. EFF와 스노우든, FBI의 ‘강력한 암호화 반대’ 입장 공격(Threat Post)

http://threatpost.com/eff-snowden-dispute-fbi-claims-on-device-encryption/108931

FBI는 개인의 프라이버시를 존중하고 지켜야 한다는 데에 동의하지만 강력한 암호화 소프트웨어는 범죄자들의 검거를 방해한다는 주장을 계속해서 해왔습니다. 이에 대해 전자프런티어재단과 스노우든이 반박에 나섰는데요, 요즘 한국의 카톡 사태와 맞물려서인지 흥미롭습니다. 프라이버시 논쟁은 언제나 답을 찾을 수 있을까요?

3. 오바마 대통령 칩앤핀 결제 방식 도입 명령(Threat Post)

http://threatpost.com/obama-executive-order-forces-chip-pin-payment-on-government/108936

미국에서는 최근 POS 시스템이 자꾸만 공격을 받았습니다. 타깃, 홈데포 등 잘 알려진 대규모 유출 사고를 비롯해서 한국인들은 접하기 힘든 업체에서도 상당 수 공격이 있었지요. 이에 대한 대책으로 오바마 대통령이 드디어 명령을 띄웠네요. 칩 앤 핀, 혹은 EMV라고 해서 컴퓨터 칩을 카드에 삽입하여 사용자가 결제 시 식별 코드를 직접 입력하는 시스템을 도입하라는 내용입니다. 애플 결제의 시작이 코앞인데, 어떤 결과가 나올지 궁금합니다.

4. 새로운 OS X 운영체제인 요세미티, 프라이버시 문제 심각(Threat Post)

http://threatpost.com/privacy-criticism-hits-osx-yosemite-over-location-data/108928

애플의 최근 운영체제인 요세미티가 위치 정보를 애플에 전송한다는 게 밝혀지면서 사용자들의 항의가 거세게 일고 있습니다. 기자도 마침 어제 집에서 쓰는 낡은 맥북에 요세미티를 깔려다가 애플 암호가 기억나지 않아서 실패했는데, 좀 더 지켜봐야겠습니다.

5. FIRST, CERT의 각종 표준 정리에 나서(The Register)

http://www.theregister.co.uk/2014/10/20/first_standards_to_clean_up_messy_certs/

사건 대응 및 보안 팀 포럼(Forum of Incident Response and Security Teams, FIRST)이 세계 표준을 모아서 정리하고 혁신하겠다고 나섰고, 여러 국가의 CERT에서 이를 지원하겠다고 했습니다. 또한 5십만 달러나 여기에 투자된다고 하네요. 글쎄요, 정보 보안이란 게 각 국가의 사정에 따라 민감하게 달라지는 건데 이걸 하나로 표준화시키는 게 얼마나 유용할 지 모르겠습니다.

6. 대통령이 EMV를 지지하고 나서(CU Info Security)

http://www.cuinfosecurity.com/whats-presidents-influence-on-emv-a-7454

3번 기사와 비슷한 내용입니다. 다만 여기에서는 오바마 대통령의 명령 이후 EMV 이주 포럼(EMV Migration Forum)이라는 게 생겼고, 여기서 또 문제들이 활발히 논의되고 있다는 소식도 있습니다. 전문가들은 대통령의 명령에도 불구하고 시장 전체에 칩앤핀 시스템을 도입하는 것에는 상당한 시간이 걸릴 것으로 보고 있습니다.

7. 소셜 미디어 ‘위스퍼’, 사용자 감시 및 추적 기능 있는 것으로 밝혀져 논란(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/anonymous-app-whisper-hits-back-at/

나름 ‘무명성’이 강조되는 소셜 미디어인데 가디언지에서 보도한 바에 따르면 IP 주소를 통한 GPS 추적 기능이 있고 사용자가 지운 데이터가 여전히 위시퍼의 데이터베이스에는 남아있다고 합니다. 위스퍼는 이를 부정하고 있는 상태입니다. 프라이버시 문제는 끝이 없습니다.

8. 잊혀질 권리와 인터넷 검열(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/will-the-right-to-be-forgotten/

잊혀질 권리가 유럽에서 통과된 바 있습니다. 당사자가 노출하기 싫은 검색 결과라면, 그것이 오래되었거나 사실에 근거하지 않은 경우, 검색 엔진이 이를 지워야 한다는 내용입니다. 이를 두고 한쪽에선 프라이버시의 위대한 승리라고 평하고 있는데, 또 다른 편에선 위대한 검열의 시대가 열린 것이라고도 합니다.

9. 중국, 중간자 공격 통해 아이클라우드 노려(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/china-accused-mitm-attacks-against/

애플의 아이클라우드 사용자를 대상으로 한 중간자 공격을 중국 정부에서 감행한 것으로 밝혀졌습니다. 특히 로그인 정보와 민감한 데이터로의 접근 권한을 노린 것으로 드러났습니다.

10. 샌드웜, SCADA 시스템 주로 노린 것으로 드러나(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/sandworm-team-went-after-firms/

지난 주 윈도우의 제로데이 취약점을 노린 러시아의 샌드웜 팀이 산업용 SCADA 시스템을 사용하는 기업들을 주로 노린 것으로 드러났습니다.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)