각종 사건사고들로부터 추려보는 정보보안의 교훈
프라이버시와 보안이 상충한다는 건 창의력 및 성의 부족
.jpg)
▲ 이제 싸우지 말자!
[보안뉴스 문가용] 웨어러블 건강 스마트 애플리케이션의 대표주자인 핏비트(FitBit)는 미국 앱 스토어에서 게임과 음악 스트리밍 서비스를 제치고 가장 많은 다운로드를 기록하고 있다. 말 그대로 열풍인 상황. 그 열풍을 타고 핏비트가 선두에 서있는 피트니스 트래커(Fitness Tracker) 시장이 확장하고 있으며, 이미 수백 만의 웨어러블 피트니스 앱들이 등장했다.
그러는 사이 일부 십대 해커들은 헬로 바비(Hello Barbie)라는, 음성인식 기술을 탑재한 인형을 해킹해 녹음된 사용자들의 음성정보를 거래하기도 했다. 이 두 사건은 서로 상관이 없다. 하지만 그럼에도 어떤 연결고리가 있음을 부정할 수는 없다. 핵심 키워드는 ‘사물인터넷’과 ‘바이오 정보’.
이는 무슨 말인가? 이제 고객의 정보를 보호하는 데에 있어서 전혀 다른 각도로 노력을 기울여야 한다는 의미다. 또, 우리의 음성, 행동 패턴, 눈동자, 지문... 셀 수 없는 정보들이 상상도 못한 경로로 빠져나갈 수 있는 시대가 열렸다는 의미다.
여태까지는 정보보호에 있어 업체들이 그리 성공적이진 못했다. 하지만 이제 고객들의 정보를 보호하는 게 기업들의 기본 의무가 되어가고 있고 고객사의 보안 사고에 대해 보안업체가 고소를 당하는 때다. 그러므로 이제 정보보안에 접근하는 기본 체질부터 바뀌어야 한다. 어떻게 바뀌어야 할까? 현재 가장 급박한 부분부터 몇 가지 짚어보자.
1. 능동적인 프라이버시 : 예방과 탐지 모두 아울러야
능동적인 프라이버시 보호란 기업이 프라이버시 침해 문제를 사전에 예측하고 대응책을 마련한다는 것이다. 이건 기업의 문화 문제이기도 하지만, 그 전에 가장 높은 운영진들이 발 벗고 나서야 한다. 그래서 기업 내 프라이버시의 범위를 결정하고 표준을 정확히 규정화해야 한다. 이는 사내 직원들을 위한 것뿐만이 아니라, (이 글의 주제가 그렇듯) 고객의 프라이버시를 위해서도 마찬가지다. 브랜드의 진정한 가치는 신뢰가 쌓이면서부터 빛을 내기 시작한다고 하지 않는가.
최근 택시 유사 서비스 회사인 우버(Uber)에서는 임원들이 주최한 파티에서 운영진들이 ‘갓 뷰(God View)’ 모드를 자랑하다가 물의를 빚은 바 있다. 우버 사용자들이 현재 어디에 있는지 정확히 드러나는 서비스인데, 이를 파티에 참석한 모든 사람이 보게끔 한 것이다. 그게 무슨 대수냐, 라고 생각할 수 있다. 실제 물의를 빚기는 했어도 큰 소송이나 싸움으로 번지지도 않았다. 하지만 기업의 임원진들이 고객의 프라이버시에 대해 어떤 식으로 생각하는지는 적나라하게 알려졌다. 이런 태도를 버리는 게 바로 능동적인 프라이버시 보호로의 첫 걸음이다.
2. 프라이버시는 디폴트다
이는 “자기 프라이버시를 보호하기 위해 고객이 직접 추가 조치를 취해야 할 필요가 없는 상태”를 말한다. 고객이 회사와 거래를 하면서 추가로 프라이버시 보호를 위해 애써야 한다면, 그 거래가 얼마나 지속되겠는가? 윤리성 차원에서도 당연한 말이지만, 편의성 차원에서도 반드시 이뤄져야 할 부분이다. 그러나 이 부분은 1번 내용이 성립되면 자연히 해결된다. 그만큼 마음만 먹으면 해결하기 쉬운 문제이지만, 사실 대부분 기업들이 어기고 있는 문제들이기도 하다.
2011년 핏비트의 디폴트 세팅에는 사용자 프로파일이 ‘전체 공개’로 되어 있었다. 핏비트에 입력된 사용자의 정보(민감한 정보 포함)가 죄다 노출되었다. 구글 검색만으로도 특정 사용자의 ‘성적 기호’까지도 알 수 있을 정도였고, 당연히 큰 파장을 일으켰다. 사용자가 일일이 환경설정을 할 줄 알면 좋겠지만, 실제로 그러한 수고를 아끼지 않는 사용자는 드물다. 환경설정을 어떻게 하는지 모르는 소비자들도 수두룩하고 말이다.
3. 프라이버시가 장착된 설계
프라이버시는 기술을 개발하는 단계, 사업을 구상하는 단계에서부터 이미 장착되어 있어야 한다. 신제품을 개발할 때도 당연히 그것을 사용하는 소비자들의 프라이버시를 보호할 생각을 해야 하고, 새로운 서비스를 시작할 때도 사용자가 프라이버시 걱정을 하지 않도록 해야 한다.
작년, 삼성의 스마트TV는 여러 민감한 정보가 포함되어 있을 수 있는 사용자 음성정보를 거르지 않고 제3자에게 전송하는 것 때문에 커다란 지탄을 받았다. 그러한 설정의 오류가 있던 것도 심각한데, 이를 버젓이 경고문으로 내놓는 바람에 “제품을 사기만 한다면 프라이버시를 지키는 건 고객의 몫이고, 자신들은 책임을 지지 않겠다는 것인가?”하는 비판에서 자유로울 수가 없었다.
4. 프라이버시와 기능성은 상충할 필요가 없다
파리 테러 사건 이후 ‘프라이버시 vs. 안전’에 대한 논쟁에 불이 붙었다. 하지만 이는 주제부터 잘못되었다. 안전의 목적에 프라이버시가 포함되고, 프라이버시를 지킨다는 건 안전을 말하기 때문이다. 기술이나 서비스를 새롭게 개발하거나 시작할 때도 마찬가지다. 고객의 안전을 위한답시고 기술을 일부 숨기거나 희생할 필요가 없다. 둘은 같이 가야 한다.
이는 개발자(기술이든 서비스든)의 창의적인 사고를 요한다. 프라이버시와 안전이 ‘상충하는 것’처럼 느껴지고 받아들여진다는 건 기존의 방법으로는 둘을 다 만족시킬 수 없다는 것이다. 그러나 여기엔 반드시 보상이 뒤따른다. 애플의 팀 쿡(Tim Cook)도 최근 “프라이버시는 기본적인 인권”이며 “프라이버시와 안전이 상충한다는 것 잘못된 생각”이라고 목소리를 낸바 있다.
5. 종단간 보안 - 생애주기의 보호
앞서도 말했지만 보안이 없이는 프라이버시도 없다. 프라이버시는 보안의 목적 중 하나이며, 지속적인 보호가 데이터의 전 생애에 걸쳐 필요하다. 하지만 작년 한해만 해도 엄청난 정보유출 사고가 있었다. 특히 홍콩에 위치한 사물인터넷 장난감 회사인 브이텍(VTech) 정보유출 사건은 아동들의 민감한 정보가 유출되었던 사건이라 충격이 컸다.
또한 수사를 계속하다보니 브이텍은 고객들의 민감한 정보를 서버에 그대로 방치해두었다는 사실도 드러났다. 고객의 얼굴이 담긴 사진과 아동과 부모들이 제품을 통해 채팅한 로그까지 전부 말이다. 브이텍은 고객들에게 제품을 통해 행한 채팅의 로그를 어디에 저장할 건지 묻지도 않았고, 서버를 따로 보관하는 옵션도 마련하지 않았다. 엔드유저, 최종 사용자를 위한 보안, 통신의 보안, 암호화의 사용이 전부 무시된 사건이었다.
6. 가시성과 투명성
기업과 고객이 신뢰를 구축하는 데에 있어 가시성과 투명성이 중요하게 대두되고 있다. 2011년, GM은 온스타(OnStar)라는 차량 통신 서비스를 시작했다. 이 서비스를 위해 온스타는 사용자의 허락 없이 정보를 수집했다. 나쁜 목적이 있는 건 아니었다. 서비스의 품질 개선을 위한 것이 다였다(고 GM은 밝혔다). 그런데 더 큰 문제는 GM이 온스타를 직접 개발하지 않았다는 것이었다. 즉, 허가 없이 모은 개인정보를 온스타의 개발사인 제3자와 공유하기까지 했다는 것이다.
이러면 어떤 고객이 GM을 신뢰할 수 있겠는가? 미리 허락을 구하자. 그게 도의상으로도 맞는 일이다. 물론 합법적인 절차이기도 하지만.
7. 사용자 프라이버시는 소중하다
포드(Ford)는 최근 운전자들에게 간단하고 유용한 기능을 제공했다. 포드 싱크(Ford SYNC)라는 기술을 통해 음성만으로 이메일을 보낼 수 있게 해준 것이다. 그런데 그러려면 위치정보와 통화정보가 필요했고, 사용약관에도 이를 명시해두었다. 그런데 조금만 생각해보면 조금 이상하다는 걸 알 수 있다. 음성인식 기능과 위치정보, 통화정보는 무슨 상관인가? 게다가 사용약관을 꼼꼼히 다 읽어보는 사람은 매우 드문 상황에서, 불필요한 정보수집을 포드는 왜 감행한 것일까?
기업이 프라이버시 관련 정보를 수집해야 할 때, 과연 그것이 꼭 필요한가, 그 정보가 없으면 서비스나 제품 개발이 불가능한가, 깊이 고민해볼 필요가 있다. 또한 꼼수를 쓰는 것도 나중을 위해서 권장할 바가 못 된다. 사용약관에 민감한 항목을 숨겨두는 건 오래된 수법이면서 누군가에 의해 반드시 드러나게 되어 있는, 한계가 있는 방법이다. 사용자 프라이버시가 우리 회사가 개발한 신기술보다 더 중요하다는 인식이 있다면 이런 얕은 수를 쓰지 않게 될 것이다.
글 : 제임스 케인(James Kanes)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
프라이버시와 보안이 상충한다는 건 창의력 및 성의 부족
▲ 이제 싸우지 말자!
[보안뉴스 문가용] 웨어러블 건강 스마트 애플리케이션의 대표주자인 핏비트(FitBit)는 미국 앱 스토어에서 게임과 음악 스트리밍 서비스를 제치고 가장 많은 다운로드를 기록하고 있다. 말 그대로 열풍인 상황. 그 열풍을 타고 핏비트가 선두에 서있는 피트니스 트래커(Fitness Tracker) 시장이 확장하고 있으며, 이미 수백 만의 웨어러블 피트니스 앱들이 등장했다.
그러는 사이 일부 십대 해커들은 헬로 바비(Hello Barbie)라는, 음성인식 기술을 탑재한 인형을 해킹해 녹음된 사용자들의 음성정보를 거래하기도 했다. 이 두 사건은 서로 상관이 없다. 하지만 그럼에도 어떤 연결고리가 있음을 부정할 수는 없다. 핵심 키워드는 ‘사물인터넷’과 ‘바이오 정보’.
이는 무슨 말인가? 이제 고객의 정보를 보호하는 데에 있어서 전혀 다른 각도로 노력을 기울여야 한다는 의미다. 또, 우리의 음성, 행동 패턴, 눈동자, 지문... 셀 수 없는 정보들이 상상도 못한 경로로 빠져나갈 수 있는 시대가 열렸다는 의미다.
여태까지는 정보보호에 있어 업체들이 그리 성공적이진 못했다. 하지만 이제 고객들의 정보를 보호하는 게 기업들의 기본 의무가 되어가고 있고 고객사의 보안 사고에 대해 보안업체가 고소를 당하는 때다. 그러므로 이제 정보보안에 접근하는 기본 체질부터 바뀌어야 한다. 어떻게 바뀌어야 할까? 현재 가장 급박한 부분부터 몇 가지 짚어보자.
1. 능동적인 프라이버시 : 예방과 탐지 모두 아울러야
능동적인 프라이버시 보호란 기업이 프라이버시 침해 문제를 사전에 예측하고 대응책을 마련한다는 것이다. 이건 기업의 문화 문제이기도 하지만, 그 전에 가장 높은 운영진들이 발 벗고 나서야 한다. 그래서 기업 내 프라이버시의 범위를 결정하고 표준을 정확히 규정화해야 한다. 이는 사내 직원들을 위한 것뿐만이 아니라, (이 글의 주제가 그렇듯) 고객의 프라이버시를 위해서도 마찬가지다. 브랜드의 진정한 가치는 신뢰가 쌓이면서부터 빛을 내기 시작한다고 하지 않는가.
최근 택시 유사 서비스 회사인 우버(Uber)에서는 임원들이 주최한 파티에서 운영진들이 ‘갓 뷰(God View)’ 모드를 자랑하다가 물의를 빚은 바 있다. 우버 사용자들이 현재 어디에 있는지 정확히 드러나는 서비스인데, 이를 파티에 참석한 모든 사람이 보게끔 한 것이다. 그게 무슨 대수냐, 라고 생각할 수 있다. 실제 물의를 빚기는 했어도 큰 소송이나 싸움으로 번지지도 않았다. 하지만 기업의 임원진들이 고객의 프라이버시에 대해 어떤 식으로 생각하는지는 적나라하게 알려졌다. 이런 태도를 버리는 게 바로 능동적인 프라이버시 보호로의 첫 걸음이다.
2. 프라이버시는 디폴트다
이는 “자기 프라이버시를 보호하기 위해 고객이 직접 추가 조치를 취해야 할 필요가 없는 상태”를 말한다. 고객이 회사와 거래를 하면서 추가로 프라이버시 보호를 위해 애써야 한다면, 그 거래가 얼마나 지속되겠는가? 윤리성 차원에서도 당연한 말이지만, 편의성 차원에서도 반드시 이뤄져야 할 부분이다. 그러나 이 부분은 1번 내용이 성립되면 자연히 해결된다. 그만큼 마음만 먹으면 해결하기 쉬운 문제이지만, 사실 대부분 기업들이 어기고 있는 문제들이기도 하다.
2011년 핏비트의 디폴트 세팅에는 사용자 프로파일이 ‘전체 공개’로 되어 있었다. 핏비트에 입력된 사용자의 정보(민감한 정보 포함)가 죄다 노출되었다. 구글 검색만으로도 특정 사용자의 ‘성적 기호’까지도 알 수 있을 정도였고, 당연히 큰 파장을 일으켰다. 사용자가 일일이 환경설정을 할 줄 알면 좋겠지만, 실제로 그러한 수고를 아끼지 않는 사용자는 드물다. 환경설정을 어떻게 하는지 모르는 소비자들도 수두룩하고 말이다.
3. 프라이버시가 장착된 설계
프라이버시는 기술을 개발하는 단계, 사업을 구상하는 단계에서부터 이미 장착되어 있어야 한다. 신제품을 개발할 때도 당연히 그것을 사용하는 소비자들의 프라이버시를 보호할 생각을 해야 하고, 새로운 서비스를 시작할 때도 사용자가 프라이버시 걱정을 하지 않도록 해야 한다.
작년, 삼성의 스마트TV는 여러 민감한 정보가 포함되어 있을 수 있는 사용자 음성정보를 거르지 않고 제3자에게 전송하는 것 때문에 커다란 지탄을 받았다. 그러한 설정의 오류가 있던 것도 심각한데, 이를 버젓이 경고문으로 내놓는 바람에 “제품을 사기만 한다면 프라이버시를 지키는 건 고객의 몫이고, 자신들은 책임을 지지 않겠다는 것인가?”하는 비판에서 자유로울 수가 없었다.
4. 프라이버시와 기능성은 상충할 필요가 없다
파리 테러 사건 이후 ‘프라이버시 vs. 안전’에 대한 논쟁에 불이 붙었다. 하지만 이는 주제부터 잘못되었다. 안전의 목적에 프라이버시가 포함되고, 프라이버시를 지킨다는 건 안전을 말하기 때문이다. 기술이나 서비스를 새롭게 개발하거나 시작할 때도 마찬가지다. 고객의 안전을 위한답시고 기술을 일부 숨기거나 희생할 필요가 없다. 둘은 같이 가야 한다.
이는 개발자(기술이든 서비스든)의 창의적인 사고를 요한다. 프라이버시와 안전이 ‘상충하는 것’처럼 느껴지고 받아들여진다는 건 기존의 방법으로는 둘을 다 만족시킬 수 없다는 것이다. 그러나 여기엔 반드시 보상이 뒤따른다. 애플의 팀 쿡(Tim Cook)도 최근 “프라이버시는 기본적인 인권”이며 “프라이버시와 안전이 상충한다는 것 잘못된 생각”이라고 목소리를 낸바 있다.
5. 종단간 보안 - 생애주기의 보호
앞서도 말했지만 보안이 없이는 프라이버시도 없다. 프라이버시는 보안의 목적 중 하나이며, 지속적인 보호가 데이터의 전 생애에 걸쳐 필요하다. 하지만 작년 한해만 해도 엄청난 정보유출 사고가 있었다. 특히 홍콩에 위치한 사물인터넷 장난감 회사인 브이텍(VTech) 정보유출 사건은 아동들의 민감한 정보가 유출되었던 사건이라 충격이 컸다.
또한 수사를 계속하다보니 브이텍은 고객들의 민감한 정보를 서버에 그대로 방치해두었다는 사실도 드러났다. 고객의 얼굴이 담긴 사진과 아동과 부모들이 제품을 통해 채팅한 로그까지 전부 말이다. 브이텍은 고객들에게 제품을 통해 행한 채팅의 로그를 어디에 저장할 건지 묻지도 않았고, 서버를 따로 보관하는 옵션도 마련하지 않았다. 엔드유저, 최종 사용자를 위한 보안, 통신의 보안, 암호화의 사용이 전부 무시된 사건이었다.
6. 가시성과 투명성
기업과 고객이 신뢰를 구축하는 데에 있어 가시성과 투명성이 중요하게 대두되고 있다. 2011년, GM은 온스타(OnStar)라는 차량 통신 서비스를 시작했다. 이 서비스를 위해 온스타는 사용자의 허락 없이 정보를 수집했다. 나쁜 목적이 있는 건 아니었다. 서비스의 품질 개선을 위한 것이 다였다(고 GM은 밝혔다). 그런데 더 큰 문제는 GM이 온스타를 직접 개발하지 않았다는 것이었다. 즉, 허가 없이 모은 개인정보를 온스타의 개발사인 제3자와 공유하기까지 했다는 것이다.
이러면 어떤 고객이 GM을 신뢰할 수 있겠는가? 미리 허락을 구하자. 그게 도의상으로도 맞는 일이다. 물론 합법적인 절차이기도 하지만.
7. 사용자 프라이버시는 소중하다
포드(Ford)는 최근 운전자들에게 간단하고 유용한 기능을 제공했다. 포드 싱크(Ford SYNC)라는 기술을 통해 음성만으로 이메일을 보낼 수 있게 해준 것이다. 그런데 그러려면 위치정보와 통화정보가 필요했고, 사용약관에도 이를 명시해두었다. 그런데 조금만 생각해보면 조금 이상하다는 걸 알 수 있다. 음성인식 기능과 위치정보, 통화정보는 무슨 상관인가? 게다가 사용약관을 꼼꼼히 다 읽어보는 사람은 매우 드문 상황에서, 불필요한 정보수집을 포드는 왜 감행한 것일까?
기업이 프라이버시 관련 정보를 수집해야 할 때, 과연 그것이 꼭 필요한가, 그 정보가 없으면 서비스나 제품 개발이 불가능한가, 깊이 고민해볼 필요가 있다. 또한 꼼수를 쓰는 것도 나중을 위해서 권장할 바가 못 된다. 사용약관에 민감한 항목을 숨겨두는 건 오래된 수법이면서 누군가에 의해 반드시 드러나게 되어 있는, 한계가 있는 방법이다. 사용자 프라이버시가 우리 회사가 개발한 신기술보다 더 중요하다는 인식이 있다면 이런 얕은 수를 쓰지 않게 될 것이다.
글 : 제임스 케인(James Kanes)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
