분류 전체보기 (691)
현재기분 (288)
혼자놀기 (394)
도미노왕 (0)
부끄러워 (6)

공인된 보안조치?


http://bit.ly/NLxafz : 경찰, 넥슨 대표 등 기소의견 검찰 송치


"서 대표 등은 공인된 백신을 사용하지 않는 등 법률에 규정된 기술적 조치 의무를 제대로 이행하지 않다가 해킹을 당해, 지난해 11월 회원 1,320만 명의 개인정보가 유출되도록 한 혐의를 받고 있습니다."


"이에 대해 넥슨 측은 공인된 백신이 보안에 더 취약할 수 있어 다른 방식으로 보안을 철저히 해왔다며 혐의를 부인하고 있는 것으로 알려졌습니다."


 제도적으로 기업의 보안수준을 지정해 놓는건 이해할 수 있습니다. '어느정도까지를 안전하다고 볼수 있을지' 대략적이나마 규격이 있는건 좋은 일입니다.


 하지만 제도가 '어떤 백신을 써야 하는지' 수준까지 정해놓은 경우라면 얘기가 다릅니다. 그런 방식으로는 보안 기법의 발전도 없고, 책임소재도 불분명합니다.


 기사에 따르면, 넥슨의 경우엔 '공인된 보안조치(백신)를 믿을수가 없어서' 자체적인 보안조치를 운영하다가 해킹당한 경우입니다. 자체적인 방식을 운영하다가 사고가 났다면 그건 넥슨의 잘못이 맞습니다. 기업의 책임이 확실해지는 경우입니다.


 하지만 만약 개인정보를 취급하는 기업에서 '공인된 보안조치'만을 운영해 오다가 해킹사고가 발생했다면 어떻게 될까요? '공인된 보안조치가 헛점을 드러낸 경우' 엔 누가 책임져야 할까요? 


 기사 내용대로라면 '공인된 보안조치를 이행하지 않았음' 이라는 혐의는 일단 피해가게 될것입니다. 이런식이라면 '공인된 보안조치' 는 사고 발생시 '책임회피용' 으로 전락하게 될것입니다. '보안 조치' 자체의 문제를 진단할수도 없게 됩니다. 그것은 제도로 '의무' 화 되고 있는 것이기 때문입니다. 기업이 자체적으로 추가 보안조치를 해야 할 필요를 못느끼게 만듭니다. '고객 개인정보 보호' 라는 원래 취지와는 멀어질수밖에 없습니다. 개인정보 유출 사고를 내고도 혐의가 없어서 사고책임을 지지 않아도 되는 기업이 점점 많아질 것입니다.


 제도가 구체적인 보안 기법까지 의무화하거나 간섭하는것은, 기업이 다양한 방식을 도입하거나, 보안 기법들이 서로 우수성을 검증할 수 있는 토양 자체를 없애버리는 바보같은 짓입니다. 책임질 사람도 없고, 기법이 단일화 되면 그것을 과연 보안이라고 할수 있을지요?



꼬리> 

네이트 대규모 개인정보유출 사고 당시, 감사장에 네이트측 책임자를 앉혀놓고는 모 의원님께서 '왜 성능좋은 국산백신(V3 말인지?) 안쓰고 외산백신 썼느냐' 고 묻자 '외산백신(노턴이었던걸로 기억합니다)이 더 좋아서 사용중이었다' 고 대답했던게 생각나는군요. ㅋ

arrstein
0TRACKBACK, 0REPLIES
name
password
homesite
*1  *···  *24  *25  *26  *27  *28  *29  *30  *31  *32  *···  *394 
명박스럽다 takeshima japan sea dokdo

티스토리 툴바