[글로벌 뉴스 클리핑] “CISO 처음 채용” 外

오늘의 키워드 : CISO, 니먼마커스, 정보 공유, MS, 어도비, 모질라

보안 패치 꾸준히 이루어지고 프라이버시는 점점 더 굳건해지고

[보안뉴스 문가용] 사실 오늘 가장 뜨거운 이슈는 iOS에서 발견된 마스크(Masque) 취약점과 미국 우체국 털린 사건, CEO들이 투숙한 호텔이 해킹당한 사건입니다. 어제 자 글로벌 뉴스 클리핑에서 언급된 것들이죠. 그걸 제외한 소식들을 모았습니다. 아무래도 사용자들에게 제일 와 닿는 건 어도비와 MS의 패치 소식이 아닐까 합니다. 저는 오늘 CISO 연재 프로젝트가 진행되는 수요일이라, 니먼마커스에서 처음 CISO를 고용한 사건을 1번으로 꼽았고요.

가장 눈에 띄는 건 정보 공유의 평등화를 법제화시켜 달라는 상인들의 연합된 목소리였습니다. 그러면서 사용자 측면에서의 인터넷 환경은 현재 프라이버시를 강조하는 움직임이 너무나 뚜렷한 게 아이러니 했습니다. 어디서부터 어디까지가 프라이버시인지, 어느 선까지는 정보를 공유할 수 있게 되는 건지를 정하지 않고 있으면서 정보 공유를 평등하게 하도록 규제를 만든다는 게 가능할까 하는 생각이 들었거든요. 물론 표면상 급한 문제들은 해결할 수는 있겠습니다만, 분명 법을 해석하는 부분에 있어서나 새로운 범죄 방법이 개발되면 결국 정보를 공유한다는 것과 프라이버시를 지킨다는 것의 경계선을 다시 한 번 시끄럽게 논의해야 할 때가 올 겁니다. 그 경계선을 사이에 두고 두 현상이 각기 불거지고 있는 모양새가 재미있습니다.

1. 니먼마커스 백화점, 사상 첫 CISO 채용(CU Infosecurity)

http://www.cuinfosecurity.com/neiman-marcus-hires-first-ciso-a-7554

럭셔리 백화점으로 유명하고 지난 해 3십 5만 건의 카드 정보유출 사고를 겪었던 니먼마커스(Nieman Marcus)가 기업 역사상 처음으로 CISO를 채용했습니다. 이름은 사라 헨드릭슨(Sarah Hendrickson)이며 CIO에게 직속으로 보고하도록 되어 있습니다. CISO가 CEO에게 직속으로 보고하느냐 CIO에게 하느냐 문제가 아직 정리되지 않은 시점이라 기업마다 다르게 행하고 있는데, 니먼마커스는 CIO 밑에 CISO를 두기로 한 모양입니다. 그러고 보니 오늘 CISO되기 프로젝트 2편이 나가는 날이군요.

2. 미국소매협회, 공평한 정보 공유 요청해(Threat Post)

http://threatpost.com/retail-trade-groups-want-fair-data-breach-reporting-rules/109305

소매상 및 신용카드 단말기에서의 사이버 범죄가 빈번하게 발생하고, 그에 따른 여러 해결책이 쏟아져 나오고 있습니다. 그 중 핵심은 서로서로 정보 공유를 해서 추가 피해를 막는 건데, 솔직히 이게 너무 막연한 감이 있었습니다. 같은 산업 내에 있다면 서로 경쟁상대인데, 서로 밟고 올라가는 경쟁사회에서 남에게 유익이 되는 정보를 공유한다? 저도 이걸 기사로 여러 차례 내보내긴 했지만 의심스러웠거든요. 잘 되긴 할까, 하는 생각이 있었어요. 그런데 그게 역시나 잘 되지 않고 있었나봐요. 이걸 좀 공평하게 조정해달라는 요청이 정식으로 미국 정부에 들어갔다고 합니다. ‘정보 공유’가 법적으로 효력을 갖게 된다면, 다양한 법 해석이 파생할 것이고 그에 따른 파장이 적지 않을 것입니다. 물론 법안이 마련되고 통과되고 적용되는 데까지 상당 기간이 걸리긴 하겠지만요.

3. MS, 패치통해 OLE 제로데이 취약점 수정(Threat Post)

http://threatpost.com/microsoft-patches-ole-zero-day-recommends-emet-5-1-before-applying-ie-patches/109302

지난 밤 MS가 패치를 했습니다. OLE 제로데이 취약점이 가장 중요한 수정 사항이었고, 그 외에 13개의 취약점이 수정되었다고 합니다. OLE 제로데이 취약점은 샌드웜 APT 그룹과 긴밀히 연결된 치명적인 것으로 얼마 전 보안 업계를 시끌시끌하게 만들었던 주범입니다.

4. 어도비도 플래시의 취약점 18개 패치(Threat Post)

http://threatpost.com/adobe-patches-18-vulnerabilities-in-flash/109300

어도비도 패치를 했네요. 15.0.0.189보다 이전 버전을 사용하거나 13.0.0.250 이전 버전을 사용하는 사용자, 리눅스의 경우 11.2.202.411 이전 버전의 플래시 플레이어 사용자들과 오래된 AIR(15.0.0.293 이전, SDK 15.0.0.302 이전, SDK&Compiler 15.0.0.302 이전, 안드로이드는 15.0.0.293이전) 사용자들은 꼭 패치가 필요하다고 합니다.

5. 파이어폭스 10주년, 프라이버시에 초점 더 맞추기로(Security Week)

http://www.securityweek.com/firefox-10-year-anniversary-release-focuses-privacy

2004년 11월 9일, 파이어폭스 1.0이 무료로 공개된 지 10년이 되었습니다. 10년 동안 인터넷 브라우저 시장에서 3위를 차지하기까지에 이르렀네요. 모질라는 파이어폭스 10주년을 맞아 기능 향상은 물론 프라이버시 보호에 더 초점을 맞춘 제품을 제공하기로 발표했습니다. 그중 하나는 검색 엔진인 덕덕고(DuckDuckGo)로 당신이 누구인지, 무엇을 검색하는지 추적하지 않으면서 검색 결과를 출력하는 기능을 가졌고, 포겟(Forget)은 새로 추가될 버튼으로 브라우저에서 최근 활동 내역을 자동으로 지워낸다고 합니다.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)