privacy에 해당하는글 4



최근 미 연방거래위원회(Federal Trade Commission, FTC)가 사물인터넷 실태를 분석하여 6월 초 상무부에 관련 보고서를 제출했다. (연방거래위 사물인터넷 보고서 원문) 사물인터넷이란 일상 사물을 인터넷에 연결시켜 데이터를 주고받을 수 있도록 하는 체계를 의미하며 기기의 효율성과 기능성을 향상하고 사용자 편의를 개선하는 데 그 목적이 있다. 일반적인 소비자를 대상으로 하는 사물인터넷 기기에는 스마트폰, 태블릿, 카메라, 가전기기, 웨어러블 보건기기 등이 있으며 애플의 스마트워치와 TV, 구글 크롬캐스트(Chromecast) 아마존 에코(Echo) 등을 예로 들 수 있다.

 

연방거래위는 사물인터넷의 장점과 문제점을 분석하면서 수많은 사물인터넷 기기들이 사용자에게 여러 이점을 제공하지만 개인정보 탈취 및 사기행각의 새로운 기회를 유발한다고도 지적한다. 구체적으로는 스마트 미터기, 커넥티드차량, 커넥티드 보건기기 등이 편의성을 비롯한 장점을 제공하는 기기로 언급된 한편 모든 사물인터넷 기기는 프라이버시 및 보안 측면에서 위험을 안고 있다고도 한다.

 

연방거래위 보고서는 다음과 같이 설명한다. "비록 전통적인 컴퓨터 및 네트워크에도 이와 유사한 문제가 존재하기는 하지만 사물인터넷에서는 그 문제가 더욱 부각될 수 있는데 이에 대해서는 회로부품이 상대적으로 저렴하고 소모적이며 기기를 신제품으로 교체할 수 있는 주기가 짧다는 사물인터넷의 특성이 부분적인 원인이 될 수 있다. 제품교체주기가 짧기 때문에 사물인터넷기기 제조업체 측에서는 기기의 최대수명 기간 동안 소프트웨어 업데이트를 제공할 이점이 사라지게 되며 이로 인해 사용자의 기기는 위험에 노출된 상태로 방치될 수 있다. 또한 몇몇 기기의 경우 업데이트 적용이 어렵거나 불가능하기도 하다."

 

사물인터넷기기의 보안상 허점은 데스크탑 또는 노트북과 마찬가지로 해커가 기기에서 수집하거나 보관 중인 개인정보에 접근하고 이를 악용할 수 있는 기회를 유발한다. "사물인터넷기기는 사용자가 자신의 일상적인 활동을 모니터링하고 컨텐츠에 접근하는 한편 네트워크를 통해 세상과 상호작용할 수 있는 기회를 제공하지만 한편으로는 권한 없는 사람이 취약점을 악용하여 개인정보를 탈취하고 사기행각을 저지를 수 있는 기회를 만들기도 한다."

 

연방거래위는 또한 사물인터넷이 야기하는 프라이버시 문제도 언급했다. 수많은 사물인터넷기기는 기기사용, 환경, 사용자에 대한 데이터를 수집하는데 기기 제조업체들이 이 데이터를 다양한 목적으로 활용할 수 있다. "연방거래위 분석에 따르면 사물인터넷 보건 및 피트니스 웨어러블기기에 연동된 외부 앱이 아주 많다는 사실이 밝혀지기도 했다. 이들 외부앱은 사용자 개인식별정보와 더불어 사용자의 운동패턴, 식습관, 보행시간, 의료검색기록, 우편번호, 성별, 위치정보 등의 데이터를 수집한다."

 

"이 분석에서 알 수 있듯 사물인터넷기기는 사용자의 신체나 습관에 관련된 고도의 기밀정보를 수집, 전달, 공유할 수 있다. 사용자 보건패턴, 식습관, 의료검색 정보가 오프라인 출처와 그리고 기기 간에 조합된다면 이러한 프라이버시 문제가 더욱 커질 수 있다." 이러한 방대한 데이터수집은 대부분 사용자 동의 없이 이루어지며 프라이버시와 보안 측면에서 우려를 발생시키고 있는 가장 큰 문제다. 보고서는 아울러 "사물인터넷기기가 수집한 대량의 상세정보에 접근할 수 있는 사람들은 이보다 적은 데이터로는 수행하기 어려운 분석을 행할 수 있다."라고도 언급했다.

 

이는 곧 스마트기기의 편리함을 누림에 주의가 필요하며 데이터를 보호할 보안 및 프라이버시 툴이 갖춰져야 함을 의미한다. 이를 위해 안티바이러스와 안티맬웨어 솔루션을 사용하고 온라인보안을 점검해야 하겠다.

 

 


VIPRE Security News, FTC Exposes Security and Privacy Flaws of Internet of Things, 6. 24. 2016.

https://blog.vipreantivirus.com/security-news-room/ftc-exposes-security-privacy-flaws-internet-things/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 27. 15:22

 

가트너와 루카스블레이크가 작성한 인포그래픽을 통해

사물인터넷 산업의 진화를 돌아보고 가까운 미래에 사람들에게

큰 영향을 줄 수 있는 사물인터넷의 잠재력을 살펴볼 수 있다.

 

기술조사 및 자문 회사 가트너(Gartner) 그리고 영국과 유럽에서 정보기술 및 원격통신분야 세일즈전문가 채용에 특화된 루카스블레이크(Lucas Blake)가 최근 사물인터넷의 진화 그리고 다가오는 미래에 실현될 사물인터넷의 잠재력을 살펴보는 인포그래픽을 발행했다. 물리적 사물을 센서로 "보강"하고 이를 기기, 시스템, 사람 등 다른 대상과 결합하는 데 소요되는 비용이 지속적으로 하락함에 따라 사물인터넷이 소비자 삶과 기업 경영모델에 끼치는 영향이 급속히 커지고 있다.

 

가트너 부사장이자 분석가인 W. Roy Schulte는 다음과 같이 설명한다. "과거 실용성이 없었던 사물인터넷 응용방안이 가진 실용성이 나날이 커진다. 어플리케이션 측면에서는 사물인터넷이 적용되지 않는 부분도 있으나 산업적으로는 사실상 모든 업종에서 사물인터넷이 중요한 의미를 가진다. 순수하게 사물인터넷만 응용하는 경우는 나오지 않으며 대신 다양한 분야에서 사물인터넷을 크고 작은 비중으로 활용하게 될 것이다. 따라서 정보중심 프로세스의 경영분석가와 개발자들은 그러한 프로세스에 활용될 수 있는 사물인터넷을 적용하기 위한 전문성과 툴을 가져야만 한다."

 

본 인포그래픽에 따르면 2016년에는 매일 550만 대의 신규 기기가 네트워크에 연결되며 산업 간 지출액이 2천억 달러가 넘을 전망이다. 사물인터넷은 20162350억 달러의 서비스지출비용을 지원할 예정이며 이는 2015년에 비해 22% 증가한 수치다.

 

가트너는 두 종의 커넥티드 사물을 언급한다. 범용 기기는 비용절감을 위한 건물관리시스템이나 커넥티드 조명시스템처럼 다양한 업종에 활용될 수 있는 기기다. 한편 수직적 기기는 용도가 정해진 병원장비나 컨테이너선 추적장치와 같이 특정 업종에서 활용된다.

 

향후 몇 년 동안 사물인터넷이 급속도로 발전할 예정이라는 점은 놀랍지 않은 내용이다. 2020년까지 가동되는 사물인터넷 기기는 200억 대에 달하며 보건, 업무, 여행, 오락 등에 광범위하게 응용될 전망이다. 하지만 사물인터넷 솔루션의 속성, 사물인터넷의 설치과정, 생성 및 소비되는 데이터의 유형 등으로 인해 회사들이 새로이 해결해야만 하는 보안 및 프라이버시 문제가 생겨난다. 이는 대부분의 IT 및 기업 지도자에게 익숙하지 않은 복잡성을 야기하여 기업 위험을 급격히 증대시킨다.

 

가트너 부사장이며 분석가인 Ted Friedman은 다음과 같이 설명한다. "사물인터넷은 우리 환경에 대한 지속적 데이터를 수집할 수 있는 거대한 잠재력을 가지고 있다. 의료진단, 환경보호, 기계작동변경, 물리적 접근의 식별 및 승인 등 개인적 및 업무적 의사결정을 내릴 때 데이터의 무결성이 중요해진다. 허위 혹은 조작된 센서나 영상데이터에 대한 암거래시장은 데이터가 침탈되거나 아니면 부정확한 혹은 조작된 데이터로 대체될 수 있음을 의미한다. 이러한 현상으로 프라이버시 제품 및 서비스의 성장이 촉진될 수 있으며 프라이버시의 미래, 개인 프라이버시 보호수단, 프라이버시 보호에서의 정부와 기술의 역할 등에 대한 폭넓은 공공 논의가 생겨날 수 있다."


 

 


 

Zhanna Lyasota, The Evolution of the Internet of Things [Infographic], 3. 28. 2016.

http://www.coinspeaker.com/2016/03/28/the-evolution-of-the-internet-of-things-infographic/

 

번역: madfox




참고링크 


<소프트메이트 블로그: 정보기술 소식, 팁, 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

사물인터넷

날짜

2016. 4. 6. 19:08




할리우드 영화라든지 현대 범죄물이나 스파이창작물을 보면 휴대폰과 컴퓨터 해킹은 어려운 일이 아니다. 적당한 기기를 연결하고 입력 몇 번만 거치면 침투에 성공한다. 그러면 기기에 있던 모든 비밀이 드러나고 침입자의 수중에 들어간다. 이 경우 공권력의 입장에서는 "말처럼 쉽게 되는가?"라는 반응이 나올 수 있는 한편 프라이버시와 보안을 중시하는 입장에서는 "그렇게 단순하지 않아서 다행이다"는 반응이 나올 수 있다. 애플과 FBI를 비롯한 여러 입장에서 현재 무엇이 가능하고 무엇이 불가능한지가 중요한 논제가 된다.

 

201512월 부부관계인 Syed FarookTashfeen Malik은 미국 캘리포니아 샌버나디노에서 총기를 난사하여 14명을 살해하고 22명에게 중상을 입혔다. 두 명 모두 경찰과의 총격에서 사망했지만 이 사건은 미국 내 테러행위로 규정되어 수사가 계속되고 있다.

 

미 연방수사국은 현재 Farook의 고용주가 보유하면서 Farook에게 줬던 애플 아이폰을 입수했으며 여기에 보관된 데이터에 접근하려 하고 있다. 물론 이 과정 자체가 오류의 연속이었다. 연방수사국은 우선 아이클라우드(iCloud) 백업자료에 접근하기 위해 Farook의 고용주에게 아이클라우드 계정 비밀번호를 바꾸라고 요구했으나 해당 자료는 1개월 이상 지난 내용이어서 연방수사국 측에서 원하는 정보는 없었다.

 

기기의 자체 저장공간이 암호화된 상태고 연방수사국은 이를 복호화하는 데 필요한 툴을 보유하지 못했기 때문에 기기 저장공간에 접근할 수 있도록 애플에 협조를 요청했다. 애플은 고객 프라이버시에 대한 우려를 이유로 이 요청을 거절했다. 연방수사국은 비용을 들여 가능한 경우의 수를 하나씩 입력하는 대신 해당 기기에 전자적으로 비밀번호를 입력할 수 있는 수단을 마련하여 모든 경우의 수를 빠르게 시도할 수 있도록 애플의 수사협조를 강제하기 위해 1789년 포괄명령법(All Writs Act of 1789)를 근거로 연방법원에 심판을 청구했다.

 

애플 CEO 팀 쿡은 다음과 같이 밝혔다. "미국정부는 애플에 대해 고객 보안을 위협할 수 있는 사상 초유의 조치를 요구했다. 우리는 이 요청을 거절하며 이는 법적 문제 이상의 의미를 가지고 있다. 이 문제는 공공의 논의가 요구되며 우리 고객 그리고 세계인들이 현재 이 문제에 무엇이 걸려 있는지 이해하기를 바란다." 애플은 2016226일까지 연방법원에 입장을 밝혀야 하며 외부자문을 통해 항소할 준비를 하고 있다.

 

1789년 포괄명령법은 미국 연방법원이 "관할권 내에서 법의 목적과 원칙에 부합한다고 동의할 수 있는 한 필요하거나 적절한 모든 명령을 내릴 수 있는권한을 부여하고 있으며 이 내용을 보면 성급한 적용은 금물로 보인다. 한편 법원이 정의실현을 추구하고 수사를 돕기 위해 명령을 발령할 수 있음은 일견 합리적인 듯 보이지만 "법의 목적과 원칙에 부합한다고 동의할 수 있는 한"이라는 표현 때문에 문제가 복잡해진다. 도대체 누가 동의를 한단 말인가. 만약 명령을 내리는 법원이 동의의 주체가 된다면 이는 사실상 법관이 내키는 대로 할 수 있는 백지수표 발행이나 다름없다. 만약 법원이 아니라면 어떤 주체가 그러한 명령을 관장하면서 헌법적 보호를 위배하거나 권력을 남용하지 않는다고 보장할 수 있는가.


무자비한 테러공격이 저질러진 상황에서 테러범들이 단독으로 공격을 실행했는지 혹은 배후 조력자가 있는지 밝혀내기 위해 모든 필요한 조치가 정당화될 수 있어 보이기도 한다. 애플이 조금만 양보하고 제품에 백도어를 생성하여 수사를 돕고 미국 시민들을 보호할 수는 없는가.

 

한편으로는 이는 정부가 자체적인 해킹 역량이 떨어진다는 이유로 회사에게 자사 제품의 보안을 깨도록 강제하는 월권행위가 되며 이러한 개입은 해당 제품에 대한 고객 신뢰까지 저해할 수 있다는 시각도 있다.

 

정부 측에서는 애플이 별도의 iOS 버전을 생성하여 Farook의 아이폰에 설치한 다음 데이터를 복호화하여 제공할 수 있다고 판단한다. 정부는 심지어 애플이 이 작업을 자체 시설에서 실행하고 데이터를 받는 즉시 iOS 백도어 버전을 삭제하는 방안까지 허용할 의향이 있다고 한다. 이는 합리적인 듯 보이지만 순진한 발상이기도 하다. 램프의 요정이 한번 나오면 다시 들어갈 수 없듯 이러한 선례는 돌이킬 수 없으며 또한 정부 측의 바람이 기술적으로 가능하면서 합리적인 비용과 시간을 들여 달성될 수 있다는 섣부른 가정이 깔려 있다. 별도의 iOS 버전을 생성하여 기기에 설치할 경우 정부가 원하는 데이터 그 자체가 손실되거나 덮어씌워질 수 있다. 그렇지 않다 해도 만약 암호화에 특정한 키가 사용됐다면 새로운 iOS를 설치한다고 해서 복호화가 바로 될 수도 없다. 이 경우 데이터를 암호화하는 데 쓰였던 키도 있어야 한다. 그렇다면 새로운 iOS가 어떻게 데이터를 정부 측에 넘길 수 있는가.

 

테러행각 당시 상황이 어떠했든 Farook이 공격실행 전 1개월이 넘게 아이클라우드에 접속하지 않았음은 분명하다. 이렇게 보면 그가 위치서비스 또한 정지시켰다고 봄이 타당하며 따라서 그가 이메일이나 문자로 테러계획을 전파하고 공모자들과 셀카를 찍을 정도로 멍청하지 않았던 이상 문제의 아이폰에 이통사로부터 받은 자료 외에 실제로 수사에 도움이 될 만한 정보가 있을지는 의문스럽다. 10대들도 이른바 "대포폰"이 무엇인지 아는 오늘날 테러범들이 어떤 국가에 잠입하고 1년 넘게 거주하면서 무기와 탄약을 확보하여 무자비한 공격을 실행하기까지 수사의 단서를 남길 수 있는 정보를 휴대폰에다 보관했으리라고는 상상하기 어렵다.

 

애플은 226일까지 응답기한을 통보받았으며 이는 앞으로 법원에서 수년에 걸쳐 진행될 공방 그리고 스마트폰 및 암호화 업계 전반에 걸쳐 끼칠 영향의 시작일 뿐이다. 정부가 어떤 회사의 제품 보안을 뚫기 위해 백도어를 강요할 수 있는지는 사실은 백도어 설치를 통해 암호화된 데이터를 확보할 수 있다는 점보다는 오히려 사소한 문제다. 이는 암호화된 데이터 그리고 이와 분리된 별도의 키가 존재하는 경우든 아니면 키와 데이터가 동시에 보관되며 9999가지 조합이 가능한 4자리 비밀번호에 보안이 걸려 있든 마찬가지다.

 

이 문제는 지난 20년 동안 발생했던 각종 자유, 프라이버시, 보안 등 문제와 동등한 수준의 중요성을 가진다는 면에서 주목할 필요가 있다. 누구의 생각이 옳은가. 정부가 애플에게 백도어 생성을 강제할 수 있는가. 그 아이폰에서 밝혀지지 않은 유용한 정보가 있는가. 판단은 각자의 몫이다.

 

 

 

Casper Manes, #nobackdoor or, How the US Government vs. Apple will have long-lasting ramifications, 2. 22. 2016.

http://www.gfi.com/blog/nobackdoor-or-how-the-us-government-vs-apple-will-have-long-lasting-ramifications/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2016. 3. 16. 12:28

사진: Auth0



사물인터넷의 보안문제는 여전히 안심할 수 없으며

근본적인 대책의 마련은 아직 진행되고 있다.


사물인터넷은 해결책보다 의문점을 더 많이 만들어 내는 현상이다. 물론 온갖 기기를 하나로 연결하고 이들에게 지능까지 부여한다는 발상은 매력적이긴 하지만 전문가 대부분은 사물인터넷 분야에 여러 위험이 존재함을 시인하고 있다. 특히 보안위험은 가장 중요한 연구대상이다.

 

우리 사회는 실수에서 교훈을 찾고 있으며 완전히 연구되거나 규제되지 않은 무엇인가에 전적으로 빠져들지 않도록 작동한다. 단점을 제거하기 위해서는 현재 상황을 최대한 분명하게 직시할 필요가 있다. IoT 기기 제조자들이 반드시 네트워크보안 전문가라고 장담할 수는 없다. 따라서 이들이 보안상 허점을 방치한다 해도 누굴 탓할 수 없는 문제다.

 

Auth0이 최근 실시한 조사에 따르면 사물인터넷의 보안에 대한 우려가 적지 않다. 조사 결과 소비자의 52% 그리고 전문가의 85%는 사물인터넷의 안전에 대해 회의적이었다. Auth0에 따르면 대기업에서 자주 발생하는 데이터탈취로 인해 소비자들이 안정성과 보안을 우선적으로 고려하게 됐다고 한다. "조사에 참여한 개발자들은 IoT 기기가 시장에 너무 빨리 진입함에 따라 개발자들이 어느 정도 포기하는 부분이 생길 수밖에 없기 때문에 이러한 불신이 생겨난다고 한다. 보안상 우려에도 불구하고 어플리케이션을 급히 출시하려 함에 따른 압박감을 받은 경험이 있냐는 질문에 그렇다고 대답한 개발자는 85%가 넘었다."

 

보안문제는 식별에 그치지 않고 해결되어야 하며 이 또한 개발자의 몫이다. 20159월 보스턴에서 열린 IoT보안 2015(IoT Security 2015) 컨퍼런스를 통해 각종 보안상 난제가 논의됐다. 여기에서 언급할 만한 가치가 있는 논의내용은 다음과 같다.

 

● 맥락(context) 기반 보안, 새로운 게이트웨이, 미들웨어라는 세 가지 대책 통한 IoT 지원에 필요한 "신뢰의 체인(chain of trust)" 활성화


 모든 스마트기기를 공장단계초기화(factory wipe) 옵션을 보유하는 쪽으로 제작하고 자동차나 주책과 같은 스마트상품을 신규 소유자에게 이전하기 위한 "굿 프로세스(good process)" 개발


 복구간시간(mean time to recovery, MTTR) 및 고장간시간(mean time between failure, MTBF)과 같이 복구능력(resiliency)에 역점을 둔 새로운 성능기준 창설


 제조자 측에서 제공하는 정기 보안서비스.

 

전문가들은 정보 암호화가 기기 보호에 가장 좋은 방법이라고 한다. 애플과 마이크로소프트 등 수많은 회사는 자사의 신규 모바일 운영체제에 기본 디스크 암호화를 탑재함으로써 암호화 대책을 취하고 있다.

 

Secure Thoughts의 편집장 Jen Martinson은 다음과 같이 요약했다. "사물인터넷은 복잡한 발상이자 유기체로 자체적인 필요와 소비자의 필요 모두에 부응하여 끊임없이 진화한다. 강력하면서도 신속하게 적용될 수 있는 보안수칙의 제공은 생물체의 작동방식을 이해해 나가는 과정과 유사하다고 할 수 있다."

 

사물인터넷은 세계 각지의 대기업으로부터 엄청난 투자를 끌어모으고 있다. 몇 개월 전 마이크로소프트는 윈도 10 IoT Core를 발표했다. 윈도 10 IoT Core 운영체제는 기본적으로 윈도 생태계에서 사용되는 내장기기를 위한 앱과 관련된다. 마이크로소프트에 따르면 IoT Core는 진입장벽을 낮추고 전문적인 기기의 제작을 용이하게 해 주며 다양한 오픈소스 언어를 지원한다고 한다.

 



Tatsiana Yablonskaya, Internet of Things Security Problem Needs to be Solved, 11. 30. 2015.

http://www.coinspeaker.com/2015/11/30/internet-of-things-security-problems-solutions/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2015. 12. 2. 11:06

위로가기