“패치 주기에 따라 취약한 채 장기간 방치되어 있는 소비자들 있어”
너무 자세한 정보 묻는 것 아니냐... 일각에서는 우려
▲ 뭔가가 한 땀 한 땀 완성되어 가고 있는 걸까...
[보안뉴스 문가용] 미국의 연방거래위원회(이하 FTC)와 연방통신위원회(FCC)가 모바일 보안을 위해 손을 잡았다. 두 정부기관의 파트너십은 5월 9일에 공식 발표되었고, 모바일 기기들에 대한 보안 패치 실태를 집중 점검할 예정이다.
FTC는 먼저 여덟 개의 모바일 생산업체들에게 스마트폰, 태블릿 등의 모바일 기기에서 취약점이 발견되었을 때 어떤 식으로 보안 업데이트를 진행하는지에 대한 정보를 넘기라고 명령했다. FCC의 무선통신국장인 존 윌킨스(Jon Wilkins)는 통신사들에게 여러 질문들이 담긴 서신을 발송했다. 보안 업데이트를 어떤 식으로 관리하는지를 묻는 내용이었다.
FCC의 대변인인 네일 그레이스(Neil Grace)에 따르면 현재 FCC의 서신을 받은 통신업자들은 AT&T, 버라이즌 와이어리스(Verizon Wireless), 티모바일(T-Mobile), 스프린트(Sprint), 미국 셀룰라 코퍼레이션(US Cellular Corp.), 트랙폰 와이어리스(TracFone Wireless)다.
“보안 업데이트 정책에 따라 소비자들은 대단히 긴 기간 동안 취약한 채로 남겨져 있어야 할 수도 있습니다. 심지어 보안 업데이트가 영영 되지 않을 수도 있죠. 여태까지 취약점이 등장하면 원 기기 제조사나 OS 제공업체, 통신업체가 이를 처리해왔는데, 그 과정 중에 딜레이가 발생하곤 했습니다. 게다가 오래된 제품 및 서비스들에 대한 패치는 없다시피 하고요.” FCC의 설명이다.
FCC는 특히나 스테이지프라이트(Stagefright)라는 버그에 집중하고 있다고 한다. 스테이지프라이트는 안드로이드 운영 체제가 메타데이터를 처리하는 과정에서 발생하는 것으로 전 세계 10억 대 이상의 기기가 이 영향 아래에 있는 것으로 알려져 있다. 통신업체들은 FCC가 요구하는 패치 정책 관련 정보를 45일 안에 제공해야 한다.
이 서신은 20개의 질문 문항으로 구성되어 있으며 온라인으로도 공개되어 있다. 20개 문항은 다시 일반, 보안 업데이트 개발 및 발표, 소비자 관련, 스테이지프라이트 관련 항목들로 나뉘어져 있다.
통신업체가 제공해야 하는 정보들 중 일부는 다음과 같다.
1. 취약점에 대한 패치 개발 여부를 결정하는 요인들은 무엇인가?
2. 2013년 8월 이후 출시한 모바일 기기들 중 특정 모델에 대한 구체적인 데이터
3. 2013년 8월 이후 출시한 모바일 기기들에게 해당하는 취약점들의 목록
4. 위 취약점들에 대한 패치 여부 및 일시
FTC는 지난 해 윈덤 호텔과의 재판에서 승소하며 사실상 정부기관이 사기업의 보안 실태에 강제적인 영향력을 발휘할 수 있다는 판례를 만들어낸 바 있다. 그 후 치과 관련 소프트웨어 개발 업체의 보안 실태를 점검 및 고소하여 승리하기도 했다.
일각에서는 FTC 및 FCC가 너무 자세한 정보를 묻는 것 아니냐며, 안전과 보안을 빌미로 정부 기관들이 과도한 권력을 축적해 각 있다고 우려의 목소리를 내고 있다. 또한 특정 기기의 자세한 스펙을 묻는 항목에 대해서 지난 FBI와 애플의 법적 공방을 관련짓고 있기도 하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
너무 자세한 정보 묻는 것 아니냐... 일각에서는 우려
▲ 뭔가가 한 땀 한 땀 완성되어 가고 있는 걸까...
[보안뉴스 문가용] 미국의 연방거래위원회(이하 FTC)와 연방통신위원회(FCC)가 모바일 보안을 위해 손을 잡았다. 두 정부기관의 파트너십은 5월 9일에 공식 발표되었고, 모바일 기기들에 대한 보안 패치 실태를 집중 점검할 예정이다.
FTC는 먼저 여덟 개의 모바일 생산업체들에게 스마트폰, 태블릿 등의 모바일 기기에서 취약점이 발견되었을 때 어떤 식으로 보안 업데이트를 진행하는지에 대한 정보를 넘기라고 명령했다. FCC의 무선통신국장인 존 윌킨스(Jon Wilkins)는 통신사들에게 여러 질문들이 담긴 서신을 발송했다. 보안 업데이트를 어떤 식으로 관리하는지를 묻는 내용이었다.
FCC의 대변인인 네일 그레이스(Neil Grace)에 따르면 현재 FCC의 서신을 받은 통신업자들은 AT&T, 버라이즌 와이어리스(Verizon Wireless), 티모바일(T-Mobile), 스프린트(Sprint), 미국 셀룰라 코퍼레이션(US Cellular Corp.), 트랙폰 와이어리스(TracFone Wireless)다.
“보안 업데이트 정책에 따라 소비자들은 대단히 긴 기간 동안 취약한 채로 남겨져 있어야 할 수도 있습니다. 심지어 보안 업데이트가 영영 되지 않을 수도 있죠. 여태까지 취약점이 등장하면 원 기기 제조사나 OS 제공업체, 통신업체가 이를 처리해왔는데, 그 과정 중에 딜레이가 발생하곤 했습니다. 게다가 오래된 제품 및 서비스들에 대한 패치는 없다시피 하고요.” FCC의 설명이다.
FCC는 특히나 스테이지프라이트(Stagefright)라는 버그에 집중하고 있다고 한다. 스테이지프라이트는 안드로이드 운영 체제가 메타데이터를 처리하는 과정에서 발생하는 것으로 전 세계 10억 대 이상의 기기가 이 영향 아래에 있는 것으로 알려져 있다. 통신업체들은 FCC가 요구하는 패치 정책 관련 정보를 45일 안에 제공해야 한다.
이 서신은 20개의 질문 문항으로 구성되어 있으며 온라인으로도 공개되어 있다. 20개 문항은 다시 일반, 보안 업데이트 개발 및 발표, 소비자 관련, 스테이지프라이트 관련 항목들로 나뉘어져 있다.
통신업체가 제공해야 하는 정보들 중 일부는 다음과 같다.
1. 취약점에 대한 패치 개발 여부를 결정하는 요인들은 무엇인가?
2. 2013년 8월 이후 출시한 모바일 기기들 중 특정 모델에 대한 구체적인 데이터
3. 2013년 8월 이후 출시한 모바일 기기들에게 해당하는 취약점들의 목록
4. 위 취약점들에 대한 패치 여부 및 일시
FTC는 지난 해 윈덤 호텔과의 재판에서 승소하며 사실상 정부기관이 사기업의 보안 실태에 강제적인 영향력을 발휘할 수 있다는 판례를 만들어낸 바 있다. 그 후 치과 관련 소프트웨어 개발 업체의 보안 실태를 점검 및 고소하여 승리하기도 했다.
일각에서는 FTC 및 FCC가 너무 자세한 정보를 묻는 것 아니냐며, 안전과 보안을 빌미로 정부 기관들이 과도한 권력을 축적해 각 있다고 우려의 목소리를 내고 있다. 또한 특정 기기의 자세한 스펙을 묻는 항목에 대해서 지난 FBI와 애플의 법적 공방을 관련짓고 있기도 하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
