.gif)
2017년 “소비자의 민감한 정보 노출시키고 기본 보안 절차 없다”고 고소당해
제품 생산과 개발에 보안 절차 삽입하고, 서드파티 통해 검사 받기로
[보안뉴스 문가용 기자] 대만의 라우터 제조 업체인 디링크(D-Link)가 미국의 연방거래위원회(FTC)와의 소송사건 끝에 보안을 강화하기로 합의를 봤다. 사건은 2017년 연방거래위원회가 “디링크사의 라우터와 IoT 카메라가 소비자들의 민감한 정보를 제대로 보호하지 못하고 있다”고 주장하면서 시작됐다.
[이미지 = iclickart]
당시 연방거래위원회는 디링크가 “소프트웨어를 개발하는 데에 있어 지켜야 할 기본적인 보안 수칙도 지키지 않고 있다”고 강력하게 비판했다. 이미 알려진 취약점과 오류들을 실험하고, 위험요소를 완화하는 것도 제대로 하지 않는다는 것이었다. 그러면서도 고객들에게는 “고급 네트워크 보안”을 약속하고 있다는 것이 FTC의 주장이었다.
FTC가 제시한 기본적 취약점들은 1) 하드코딩 된 로그인 크리덴셜, 2) 추측하기 쉬운 사용자 이름과 비밀번호, 3) 모바일 앱 로그인 크리덴셜의 평문 저장 등이었다. “디링크에서 제조하는 라우터와 IP 카메라의 보안 상태 때문에 고소했습니다. 기본적인 부분에서 취약점들이 발견됐고, 사용자들의 민감한 정보가 유출될 가능성이 다분했기 때문입니다. FTC는 커넥티드 장비의 보안 상태에 큰 관심을 가지고 있으며, 앞으로도 강경하게 대처할 계획입니다.” FTC의 소비자 보호국장인 앤드류 스미스(Andrew Smith)의 발표 내용이다.
이에 디링크는 고소 내용을 강력하게 부인했으나, 최근 보다 통합적이고 완전한 소프트웨어 보안 프로그램을 도입하는 데에 동의했다. 특히 1) 제품들의 안전을 보다 확실하게 보장할 수 있도록 여러 가지 절차를 마련하고, 2) 당분간은 독립적인 서드파티 평가기관과 협조하여 검사를 받기로 결정했다고 한다.
디링크의 여러 제품들에서는 다양한 취약점들이 시시때때로 발견되고 있으며, 이는 각종 IT 및 보안 매체에서 지속적으로 다뤄지고 있다. 또한 다양한 해킹 단체들도 디링크의 라우터나 카메라 등을 공략해 여러 가지 캠페인을 벌이다가 발각되기도 했다. 디링크 제품이 ‘안전하다’는 느낌을 주지 못하는 건 사실이다. FTC와는 이전에도 캘리포니아 주립 재판소에서 법정 다툼을 벌이기도 했다.
보안 업체 플릭서(Plixer)의 전략 파트너십 부문 부회장인 밥 노엘(Bob Noel)은 “이런 법정 공방을 통해 FTC가 사물인터넷 장비 제조사들을 하나하나 견제하고 올바로 세우는 것도 좋지만, 사물인터넷 산업 내에서 꼭 지켜야 할 보안 표준을 제대로 규정하는 것이 먼저로 보인다”는 의견을 제시했다. 그래야 제조사들이 어느 수준까지 맞춰야 하는 걸 명확히 이해할 수 있다는 것이다.
“사실 사물인터넷 제조사들이 보안을 잘 인식하지 않고 있는 것도 맞아요. 하지만 그건 대부분 몰라서 그런 것이죠. 그러니 알려줘야 합니다. 개발 과정을 어떤 식으로 바꿔야 보안이 성립하는지, 어느 정도 수준의 보안을 추구해야 소비자들을 보호하고 FTC를 만족시킬 수 있는지 말이죠.”
그러면서 노엘은 “일각에서 자율 규제를 논하고 있기도 한데, 아직은 섣부르다”고 주장하기도 했다. “FTC나 입법 기관이 반드시 개입해야 합니다. 그래야 사람들이 명확히 인지할 수 있어요. 보안이 중요하고, 소비자의 프라이버시를 보호하는 게 중요한 요소라는 것을요. 그런 인식이 굳어진 이후에 자율 규제를 논해도 늦지 않을 겁니다.”
3줄 요약
1. 대만의 디링크, 미국 FTC와의 긴 재판 끝에 보안 강화하기로 합의.
2. 디링크, 생산과 개발에 보안 절차 수립하고, 서드파티 통해 점검 받기로 함.
3. FTC가 개입해 보안을 강화하는 것도 좋지만 산업 내 표준부터 규정해야 한다는 주장도 나옴.
[국제부 문가용 기자(globoan@boannews.com)]
제품 생산과 개발에 보안 절차 삽입하고, 서드파티 통해 검사 받기로
[보안뉴스 문가용 기자] 대만의 라우터 제조 업체인 디링크(D-Link)가 미국의 연방거래위원회(FTC)와의 소송사건 끝에 보안을 강화하기로 합의를 봤다. 사건은 2017년 연방거래위원회가 “디링크사의 라우터와 IoT 카메라가 소비자들의 민감한 정보를 제대로 보호하지 못하고 있다”고 주장하면서 시작됐다.
[이미지 = iclickart]
당시 연방거래위원회는 디링크가 “소프트웨어를 개발하는 데에 있어 지켜야 할 기본적인 보안 수칙도 지키지 않고 있다”고 강력하게 비판했다. 이미 알려진 취약점과 오류들을 실험하고, 위험요소를 완화하는 것도 제대로 하지 않는다는 것이었다. 그러면서도 고객들에게는 “고급 네트워크 보안”을 약속하고 있다는 것이 FTC의 주장이었다.
FTC가 제시한 기본적 취약점들은 1) 하드코딩 된 로그인 크리덴셜, 2) 추측하기 쉬운 사용자 이름과 비밀번호, 3) 모바일 앱 로그인 크리덴셜의 평문 저장 등이었다. “디링크에서 제조하는 라우터와 IP 카메라의 보안 상태 때문에 고소했습니다. 기본적인 부분에서 취약점들이 발견됐고, 사용자들의 민감한 정보가 유출될 가능성이 다분했기 때문입니다. FTC는 커넥티드 장비의 보안 상태에 큰 관심을 가지고 있으며, 앞으로도 강경하게 대처할 계획입니다.” FTC의 소비자 보호국장인 앤드류 스미스(Andrew Smith)의 발표 내용이다.
이에 디링크는 고소 내용을 강력하게 부인했으나, 최근 보다 통합적이고 완전한 소프트웨어 보안 프로그램을 도입하는 데에 동의했다. 특히 1) 제품들의 안전을 보다 확실하게 보장할 수 있도록 여러 가지 절차를 마련하고, 2) 당분간은 독립적인 서드파티 평가기관과 협조하여 검사를 받기로 결정했다고 한다.
디링크의 여러 제품들에서는 다양한 취약점들이 시시때때로 발견되고 있으며, 이는 각종 IT 및 보안 매체에서 지속적으로 다뤄지고 있다. 또한 다양한 해킹 단체들도 디링크의 라우터나 카메라 등을 공략해 여러 가지 캠페인을 벌이다가 발각되기도 했다. 디링크 제품이 ‘안전하다’는 느낌을 주지 못하는 건 사실이다. FTC와는 이전에도 캘리포니아 주립 재판소에서 법정 다툼을 벌이기도 했다.
보안 업체 플릭서(Plixer)의 전략 파트너십 부문 부회장인 밥 노엘(Bob Noel)은 “이런 법정 공방을 통해 FTC가 사물인터넷 장비 제조사들을 하나하나 견제하고 올바로 세우는 것도 좋지만, 사물인터넷 산업 내에서 꼭 지켜야 할 보안 표준을 제대로 규정하는 것이 먼저로 보인다”는 의견을 제시했다. 그래야 제조사들이 어느 수준까지 맞춰야 하는 걸 명확히 이해할 수 있다는 것이다.
“사실 사물인터넷 제조사들이 보안을 잘 인식하지 않고 있는 것도 맞아요. 하지만 그건 대부분 몰라서 그런 것이죠. 그러니 알려줘야 합니다. 개발 과정을 어떤 식으로 바꿔야 보안이 성립하는지, 어느 정도 수준의 보안을 추구해야 소비자들을 보호하고 FTC를 만족시킬 수 있는지 말이죠.”
그러면서 노엘은 “일각에서 자율 규제를 논하고 있기도 한데, 아직은 섣부르다”고 주장하기도 했다. “FTC나 입법 기관이 반드시 개입해야 합니다. 그래야 사람들이 명확히 인지할 수 있어요. 보안이 중요하고, 소비자의 프라이버시를 보호하는 게 중요한 요소라는 것을요. 그런 인식이 굳어진 이후에 자율 규제를 논해도 늦지 않을 겁니다.”
3줄 요약
1. 대만의 디링크, 미국 FTC와의 긴 재판 끝에 보안 강화하기로 합의.
2. 디링크, 생산과 개발에 보안 절차 수립하고, 서드파티 통해 점검 받기로 함.
3. FTC가 개입해 보안을 강화하는 것도 좋지만 산업 내 표준부터 규정해야 한다는 주장도 나옴.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
