• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “중국, 소스 코드 제출 요구” 外 2015.01.30

오늘의 키워드 : 중국의 사이버 보안 정책, MS, 내부의 적, 진화

중국은 새로운 정책 내세워 외국 업체에 소스 코드 공개 요구

자동화 정보 공유 플랫폼 시장, 누가 선점할까?


[보안뉴스 문가용] 중국이 거침없습니다. 여러 나라들에서 분명 정보를 공개해야 안전해진다는 이유로 암호화를 폐지하려거나 30일 안에 정보를 공개해야 한다는 법까지 만들고 있는데, 중국은 이 움직임을 묘하게 타고 있습니다. 자국에 진출하려면 ‘보안 검사’를 통과해야 하므로 소스 코드까지 전부 정부에 제출하라고 한 것입니다. 게다가 하드웨어 소프트웨어에 모두 백도어도 심어야 한다고 하니, 기사를 읽다가 몇 번씩 오독한 건 아닐까 의심이 들게 합니다.

 


미국 업체들은 당연히 반발하고 있고요, 그러나 달러 최고 보유국인 중국 시장에서 쉽게 발을 빼기란 어렵겠죠. 한편 오바마 대통령은 정보 공유법 전도사가 된 듯 합니다. 이번엔 인도로 날아가서 정보 공유에 대한 이야기를 나눴다고 합니다. 물론 주요 아젠다가 정보 공유는 아니었지만요. 아직 이에 대한 찬반 여론은 팽팽하지만 대통령이 굳건하니 빠른 시일 안에 뭔가 변화가 있을 듯 합니다.


대통령의 움직임만이 이런 생각의 근거가 되는 건 아닙니다. 지금 정보 공유의 자동화 플랫폼 개발이 한창 뜨거운 이슈이기 때문입니다. 시장이 그쪽에 이미 관심을 두고 있습니다. MS는 심지어 정보 공유 가이드라인까지 발표했습니다. MS도 여기에 착수한 듯이 보이는 움직임이죠. 시장의 움직임이 늘 성공한 건 아니지만 미래에 대한 지표가 되어왔다는 걸 봤을 때 이쪽 분야의 개발에 참여해봐도 좋은 기회가 될 것으로 보입니다.


그러나 너희가 한 발 앞서가면 우리는 두 발 뛰어간다는 듯이 범죄는 다양한 진화의 모습을 보이고 있습니다. 랜섬웨어는 이제 랜섬웹이 되었고, 작년 대량으로 유출된 정보들은 이제 다른 모양으로 범죄에 응용되고 있다고 합니다. 청부 해킹에 이어 청부 디도스 시장도 커지고 있다는 기분 찜찜한 소식도 있네요.


1. 중국, 강력한 사이버 보안 법 적용할 듯

미국 기업단체, 중국 정부에 새 사이버 보안법 미뤄달라 요청(Wall Street Journal)

중국의 새로운 정책으로 서양의 기술 업체들 긴장(New York Times)

중국, 미국 기술 업체들 검사 위해 소스 코드 제출 요구할 예정(Infosecurity Magazine)

중국의 새 사이버 보안 정책에 미국 업체들 소스 코드 내주나(SC Magazine)

중국이 사이버 보안을 강화하겠다고 나섰습니다. 정책까지 마련해서 정보의 자유로운 유통을 압박하겠다는 의지를 보였는데요, 일단 중국에 진출한(그리고 진출할) 기술 기업들은 보안 검사를 위해 소스 코드까지 전부 중국 정부에 제출해야 한다고 합니다. 또한 중국의 암호화 알고리즘을 사용해야 한다고 하네요. 뿐만 아니라 정보가 국경을 넘나드는 것에도 제동을 걸 예정이라고 합니다. 이를 위해 중국으로 들어오는 모든 하드웨어와 소프트웨어에 백도어를 설치할 것도 강제하려고 한다니, 정말 세상은 다양합니다. 이에 미국 상공회의소는 중국 정부에 이 정책의 적용을 일단 연기해달라는 서신을 보냈으며, 정책이 장기적으로 봤을 때 중국에 절대 좋은 영향을 미치지 않을 것이라는 언급도 한 것으로 보입니다.


2. 테러 이후, 미국

오바마 인도 방문해서 정보 공유의 중요성 언급해(CU Infosecurity)

미군, 인지 가능한 지문으로 암호 대체할 듯 보여(Infosecurity Magazine)

MS, 정보 공유 가이드라인 발표(Threat Post)

인도의 공화국선포일을 맞아 오바마 대통령이 인도를 방문했는데요, 거기서 두 수장들은 사이버 위협에 대한 정보 공유에 대해 이야기를 나눈 것으로 드러났습니다. 하지만 전문가들은 인도와 미국이 정보 공유에 상호 동의했다 한들, 활성화시킬 수 있는 플랫폼을 만들기는 불가능할 거라는 의견입니다. 다만 이는 앞으로 그려갈 큰 그림을 염두에 둔 언급이었고 기술 강국으로 급부상하고 있는 인도에서 이런 일이 있었다는 건 크고 작은 여파가 추가로 발생할 가능성을 높입니다.


한편 MS에서 발 빠르게 정보 공유에 관한 보고서를 발표했습니다. 어떤 정보가 어떤 방식으로 공유되어야 하는지가 25페이지에 걸쳐 설명되어 있다고 합니다. 특히 정보를 공유할 때는 위협이 무엇인지, 취약점은 무엇인지, 어떻게 해야 피해를 줄일 수 있을 것인지에 초점이 맞춰진 정보만 취급되어야 하며, 이런 공유 플랫폼은 프라이버시 보호 옵션이 기본을 장착되어 있어야 함을 강조했다고 합니다. 또한 정보 공유에 동참해야만 하는 그룹을 크게 여섯 가지로 나눴다고 하는데, 이는 정부, 주요 인프라 사설업체, 기업, 정보 기술 전문가, 보안 회사, 보안 전문가입니다.


정보 공유에 대한 개념이 미래에 어떻게 발전할지, 지금 정보 혹은 보안 전문가들의 여론이 어떤지는 한 마디로 정리하기 힘들긴 합니다만, 자동으로 위협 정보가 공유되는 시스템 개발은 여러 분야에서 주목하고 또 이미 개발 중에 있다고 합니다. 이런 보고서까지 발간한 걸 보면 MS도 여기에서 사업성을 발견한 듯 하고요. 미국은 또 암호를 없애고 지문 쪽으로 간다고 하니 바이오 인증 관련 시장도 곧 활발해질 수 있겠습니다.


3. 보안 강화 방법 : 아웃소싱과 내부의 적

기업들, 내부 전문가 충원 대신 IT 보안 전문업체에 더 관심(ZDNet)

TPG, 회사를 망하게 하겠다는 전 백악관 직원 고소(Bloomberg Business)

내부 직원 협박 및 비밀 도난 행위로 ‘내부의 적’ 심각성 대두(Infosecurity Magazine)

전 직원이 회사 자료를 가지고 문 밖으로 나서지 못하게 하라(CSOOnline)

새해에 터진 테러 사건으로 보안과 안전이 화두가 되었습니다. 그리고 그 여파가 꽤나 오래 가고 있습니다. 정계가 보안에 집중을 하다보니 자연히 업계도 그런 쪽으로 흘러가는데요, 사실 급하게 보안 전문가를 고용해서 충당할 수 있는 회사는 그리 많지 않죠. 인재를 찾는 것도 문제, 적당한 월급을 주는 것도 문제이기 때문입니다. 그래서 많은 업체들이 보안 전문 업체와 파트너십을 맺고 외주를 주는 편을 택하고 있다고 합니다.


또한 TPG라는 글로벌 업체에서 근무했던 전 백악관 공보관인 아담 리바인(부시 대통령 시절 공보관)이 진급에서 누락되자 앙심을 품고 회사의 기밀 등을 가지고 자취를 감춘 일이 발생했습니다. 게다가 회사를 망하게 하겠다는 협박을 남기기도 했다고 합니다. 사건 자체는 12월에 발생했고 지금은 형사 고발이 들어가 있는 상태입니다. 아직도 TPG는 리바인에게서부터 어떤 정보를 누구에게 어떤 목적으로 발설했는지 실토 받은 적이 없다고 합니다. 이 과정 중에 리바인이 또 다른 회사를 언급하며 그 회사도 망하게 한 것처럼 너희도 망하게 해주겠다는 식의 발언을 한 것으로 보아 또 다른 사건의 정보 유출과 연결되어 있을 가능성도 제기되었습니다.


이 사건 때문에 보안을 강화하는 데 있어서 내부 직원 관리에 대한 중요성이 대두되고 있습니다. 정부 공보관까지 지낸 인물께서 자기 명성과 업적을 비롯한 인생을 바쳐 위대한 가르침을 주고 계시는 듯한 모양새입니다.


4. 범죄의 진화

개인정보 짜깁기한 범죄, 은행가의 보안 시스템을 무용지물로 만들어(American Banker)

범죄자들, 웹사이트 자체를 인질로 잡아 보석금 요구(CSOOnline)

드론의 공격!(CU Infosecurity)

디도스 청구 서비스 시장, 갈수록 규모가 늘어(Security Week)

2014년에 엄청난 건수의 개인정보 유출이 있었죠. 그걸 사들이거나 구한 범죄자들이 여러 정보들을 짜깁기 하고 있습니다. 이 사이트에서 주민번호를 훔치고, 저 사이트에서 사용자 이름이나 전화번호를 훔쳐서 대조하고 이어 맞추다보면 한 사람의 완벽한 신상정보가 나온다는 것이죠. 그리고 이걸 가지고 은행에 전화를 겁니다. 당연히 이름, 전화번호, 주민번호를 다 댈 수 있습니다. 무사통과죠. 2014년에 있었던 정보 유출이 이제 이런 식으로 기존의 보안 시스템을 무용지물화시키면서 새로운 문제로 떠오르고 있습니다.


또한 데이터를 잠가놓고 마치 인질극을 벌이듯 협박을 하던 범죄자들이 이제는 아예 사이트 자체를 닫아놓고 협박을 한다고 합니다. 하나의 PC, 한 대의 모바일만 노리던 랜섬웨어가 랜섬웹(RansomWeb)으로 진화한 것입니다. 개인보다 업체를 노린 것이므로 성공 가능성도 높고 부르는 금액도 높아진다고 합니다.


또한 얼마 전에 백악관 잔디밭에서 무인정찰기로 보이는 드론이 발견된 적이 있었죠. 사물인터넷이다, 그에 따른 정보 통제다, 정보 공유에 테러 방지다 해서 시끌시끌한 현장의 한 복판에 웬 괴물체가 뚝 떨어진 것입니다. 물론 이걸로 난리가 나긴 했었는데 알고 보니 국립지리정보국에서 사용하는 기기였다고 합니다. 하지만 공중에 날아다니고 원격에서 조정이 가능한 사물인터넷 기기에 대한 주제가 보안과 안전의 주제 속에 논의되고 있다고 합니다.


또한 돈을 받아 해킹해주는 사람들이 구직 사이트를 만들어 놓은 것이 얼마 전에 논란이 되었는데, 이번엔 암시장에서 디도스를 청구 받아 해주는 서비스가 급속도로 성장하고 있다는 소식이 있습니다. 아카마이는 2015년의 디도스 공격은 대부분 여기서 시작할 거라고 전망하고 있습니다. 범죄는 참 빠르게도 변합니다.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>