분류 전체보기 (691)
현재기분 (288)
혼자놀기 (394)
도미노왕 (0)
부끄러워 (6)
백신에 해당되는 글

공인된 보안조치?


http://bit.ly/NLxafz : 경찰, 넥슨 대표 등 기소의견 검찰 송치


"서 대표 등은 공인된 백신을 사용하지 않는 등 법률에 규정된 기술적 조치 의무를 제대로 이행하지 않다가 해킹을 당해, 지난해 11월 회원 1,320만 명의 개인정보가 유출되도록 한 혐의를 받고 있습니다."


"이에 대해 넥슨 측은 공인된 백신이 보안에 더 취약할 수 있어 다른 방식으로 보안을 철저히 해왔다며 혐의를 부인하고 있는 것으로 알려졌습니다."


 제도적으로 기업의 보안수준을 지정해 놓는건 이해할 수 있습니다. '어느정도까지를 안전하다고 볼수 있을지' 대략적이나마 규격이 있는건 좋은 일입니다.


 하지만 제도가 '어떤 백신을 써야 하는지' 수준까지 정해놓은 경우라면 얘기가 다릅니다. 그런 방식으로는 보안 기법의 발전도 없고, 책임소재도 불분명합니다.


 기사에 따르면, 넥슨의 경우엔 '공인된 보안조치(백신)를 믿을수가 없어서' 자체적인 보안조치를 운영하다가 해킹당한 경우입니다. 자체적인 방식을 운영하다가 사고가 났다면 그건 넥슨의 잘못이 맞습니다. 기업의 책임이 확실해지는 경우입니다.


 하지만 만약 개인정보를 취급하는 기업에서 '공인된 보안조치'만을 운영해 오다가 해킹사고가 발생했다면 어떻게 될까요? '공인된 보안조치가 헛점을 드러낸 경우' 엔 누가 책임져야 할까요? 


 기사 내용대로라면 '공인된 보안조치를 이행하지 않았음' 이라는 혐의는 일단 피해가게 될것입니다. 이런식이라면 '공인된 보안조치' 는 사고 발생시 '책임회피용' 으로 전락하게 될것입니다. '보안 조치' 자체의 문제를 진단할수도 없게 됩니다. 그것은 제도로 '의무' 화 되고 있는 것이기 때문입니다. 기업이 자체적으로 추가 보안조치를 해야 할 필요를 못느끼게 만듭니다. '고객 개인정보 보호' 라는 원래 취지와는 멀어질수밖에 없습니다. 개인정보 유출 사고를 내고도 혐의가 없어서 사고책임을 지지 않아도 되는 기업이 점점 많아질 것입니다.


 제도가 구체적인 보안 기법까지 의무화하거나 간섭하는것은, 기업이 다양한 방식을 도입하거나, 보안 기법들이 서로 우수성을 검증할 수 있는 토양 자체를 없애버리는 바보같은 짓입니다. 책임질 사람도 없고, 기법이 단일화 되면 그것을 과연 보안이라고 할수 있을지요?



꼬리> 

네이트 대규모 개인정보유출 사고 당시, 감사장에 네이트측 책임자를 앉혀놓고는 모 의원님께서 '왜 성능좋은 국산백신(V3 말인지?) 안쓰고 외산백신 썼느냐' 고 묻자 '외산백신(노턴이었던걸로 기억합니다)이 더 좋아서 사용중이었다' 고 대답했던게 생각나는군요. ㅋ

arrstein
0TRACKBACK, 0REPLIES
name
password
homesite

이름이 아깝다. Ahnlab



안철수연구소 트위터의 이 트윗이 병*인 이유

1. *긴급 보안경보* 라고 해놨는데 어떤 어플리케이션이 개인정보 유출 시도하는지에 대한 언급이 전혀 없어서 정말 긴급한건지 알수가 없음. ('긴급한 정보' 라고 할만한걸 전혀 담고있지 않음)

2. 트윗에 있는 저 주소( http://ow.ly/2l12x )에 가보면 혹시 관련 언급이 있을까 하여 가봤지만 생뚱맞게 Win32용 Trojan이나 Virus 정보만 링크되어 있음(악성코드 Top5, 보안권고문, 신종바이러스), 공지사항을 읽어보니 '안드로이드 월페이퍼 어플이 개인정보를 유출하는 사례가 발견됐다' 는 식으로 적어놨는데, 자기들이 분류한 진단명(Android-Spyware/Ewalls)만 딸랑 적어놓고 무슨 어플인지는 안적어놓음. 알려줘야 마켓에서 피해가던가 '부적절한 컨텐츠' 신고를 누르던가, 따로 apk를 설치할때 확인을 하던가 할게 아니냐고... '대응을 완료했다' 라는 표현을 쓸 정도면 문제를 일으키는 그 어플에 대한 분석도 마쳤다는건데, PC용 win32 악성코드나 바이러스는 그렇게 빠르고도 상세히 분석해서 정보페이지를 제공하면서, 모바일에선 왜이리 스리슬쩍 넘어가려 하시나요~??

3. '긴급'하다 하고, '전용' 백신까지 무료로 배포한다길래 혹시 그 백신에 관련 '보안경보' 에 대한 좀더 자세한 언급이 있을까 싶어서, 트윗에 적혀있는 주소로 가서 폰에서 V3Mobile_FB를 받아 설치해봄. 역시 없음. 뭘 잡으려드는지 괜히 검사만 하고 잡히는것도 하나 없음.

정리 : '긴급' 하다는데, 뭐가 긴급한지도 안알려주고 무료백신만 받게 함. 모바일 페이지에서 관련정보를 거의 제공안함 . 그저 실효성이 의심되는 지들 모바일 백신(솔직히 백신이라고 불러줘야 하는지도 의문) 홍보용 트윗일뿐. 거기 *긴급 보안경보* 따위를 붙여놓은게 정말 뻔뻔해보임. 잘 모르고 욕하게 될까봐 속아주는 척 하며, 설마 하며 받았지만 그 설마가 실제로 일어났습니다!!!

나의 결론 : 안철수 이름이 아깝다. PC용 백신 좀 쓸만해져서 써주고는 있는데 모바일에서 다시 예전같은 병*짓을 하려는듯. 하긴 안철수 연구소만 그러는건 아니지...이런 수준의 트윗도 보안업계에서 일종의 생존전략이라고 치면, 그저 불쌍할뿐. 정말 고생이 많으십니다....

꼬리1>
이건 아주 단순하게 뒤집어 말하면 문제를 일으키는 그 어플을 설치하지 않거나, 구글 또는 통신사가 마켓,스토어 등에서 그 어플을 삭제해 버리면 이 '백신' 도 아무짝에도 쓸모없게 된다는거다.

실제로 국내의 T스토어 같은곳을 제외하면, 마켓에서는 월페이퍼 기능을 하는 어플의 경우 전용 월페이퍼 어플의 add-on 으로 제공되는게 보통이고, 검색에서 잘 나타나지도 않으며 검색에서 나타나는것들중 위에 나타나는건 대부분 유료 월페이퍼들이고, 그외 월페이퍼들은 마켓의 어플 리스트의 윗쪽에는 거의 나타나지도 않는다, 목록을 한참동안 밑으로 내리면 므흣(?)한 아이콘들과 함께 나타나는게 대부분... 

꼬리2>
꼭 안철수 연구소를 지목해서 하는 말은 아니지만, 저는 일부 해외업체 그리고 국내 보안업체들의 이런 수작과 말장난 -- 보안위험이 사용자의 보안의식이나 노력과는 별개로 필연적으로 발생하며, 전적으로 악성코드,바이러스 등에 의해서 발생하는 것이라고 제한하여 생각하게 만드는 모호한 제품명, 용어, 홍보용 단어의 선택 -- 때문에 국내 관련업계가 상당히 거품이 낀 상태라고 보고 있습니다. 

그리고 이들은 이런 엉터리 짓을 이제 아이폰/안드로이드 같은 모바일쪽에서 똑같이 하려 하고 있지요. 상대적으로 엄격한 어플리케이션 검증체계를 갖고있는 아이폰의 경우엔 이런 (개)수작들이 앱스토어 문앞에서 좌절하거나 겉돌고 있지만, '자유로운 설치, 자율 등록, 사후 조치' 방식의 안드로이드 쪽에서는 벌써부터 시장선점 의도외엔 다른 장점을 전혀 발견할수 없는 '백신' 들이 뻔뻔스럽게도 나타나서 사용자들을 혼란스럽게 하고 있습니다. 덕분에 안드로이드는 상당히 안전한 플랫폼임에도 '백신이 필수인 OS' 정도로 인식되고 있지요. 

사람들이 오래 사용해온 윈모 계열이면 모를까(사실 윈모도 안전한 편입니다).. 흔히 알려진 개념의 '바이러스/악성코드' 라는말을 모바일 환경에서도 아무렇지도 않게 써먹는게 정말 말이 안된다고 생각합니다. 악성 어플리케이션/스파이웨어 라면 또 몰라도...그러니 제품 이름이 '백신' 이 아니라 '악성 어플 검출/삭제 도우미' 쯤으로 되어야 하는거 아닙니까?  안드로이드에서 Win32 바이러스/악성코드 검사치료 하시게요? 

이보시오 보안업체 양반~ 그렇게 사기치는데 자신이 있으세요~?

'혼자놀기' 카테고리의 다른 글

초대장 보내드렸슴  (10) 2010.08.05
이름이 아깝다. Ahnlab  (0) 2010.08.05
내가 뭐라 말해도 되는 일은 아니다만  (0) 2010.08.01
안드로이드 개발도구 + 그외 잡담  (1) 2010.07.19
arrstein
0TRACKBACK, 0REPLIES
name
password
homesite
*1 
명박스럽다 takeshima japan sea dokdo

티스토리 툴바