2014년 6월 4주 (6/27)

인터넷 정책·산업 ·문화인터넷 정책·산업 ·문화

▪ 美 연방거래위원회(FTC), ‘데이터 브로커(Data broker)’ 산업 실태조사 보고서 발표 2

▪ 사이버 보험 상품 수요 증가에 따른 피해 보상기준 마련 필요성 증가 4

▪ EMC “2014 EMC 프라이버시 인덱스” 결과 발표 6

정보보호·개인정보보호정보보호·개인정보보호

▪ 영국 정부, 사이버 보안 강화를 위한 민‧관 협력의 중요성 강조 11

▪글로벌 통신사 보다폰(Vodafone), 각국 정부기관의 통신 네트워크 감찰

실태 보고서 발표13

▪ 캐나다 대법원, ISP에 개인정보 제공 요청시 영장 필요하다고 판결 15

▪ 美 국립표준기술연구소(NIST), ‘모바일 포렌식 가이던스’ 발표 17

▪ 첫 안드로이드용 데이터 암호화 랜섬웨어 Simplocker 출현 19

▪ CryptoDefense 랜섬웨어, Java drive-by download 취약점을 통해 감염 확산 21

글로벌 방송통신글로벌 방송통신

▪ 일본 NTT Docomo, 글로벌 장비업체와 5G 실험 착수 24

1

2

美 연방거래위원회(FTC), 데이터 브로커(Data broker) 산업 실태조사 보고서 발표

美 연방거래위원회는 고객 및 이용자의 개인정보 데이터를 마케팅 등의 목적으로

재판매하는 데이터 브로커(Data Broker) 사업자와 데이터 브로커 산업 실태조사 관련

보고서를 발표(‘14.05.27)

- 데이터 브로커의 지난 2012년 매출은 총 4억 2,600만 달러(약 4,326억원)로, 상품

카테고리별로 보면 마케팅 부문(1억 9,620만 달러), 리스크 감소부문(1억 7,784억 달러),

인명검색 부문(5,269만 달러) 등으로 구분되며, 마케팅 영역이 가장 큰 비중을 차지함

※ 데이터 브로커(Data Broker): 고객의 오프라인, 온라인, 모바일 이용 정보를 수집, 분석하여 판매하는

사람이나 기업으로 마케팅 및 기타 목적을 위하여 이름, 주소, 전자우편 주소, 특성, 환경, 생활 행태

등 개인 관련 사항을 판매하는 ‘마케팅 정보 브로커’를 말하며 정보 브로커(information broker), 정보

재판매자(information resellers)로도 불린다.(IT용어사전, 한국정보통신기술협회)

데이터 브로커 산업 실태조사 배경 및 진행 경과

美 데이터 브로커 사업 성행과 이에 따른 개인정보보호 현안 발생

- 실태조사 보고서에 따르면, 미국의 경우 수십 년 동안 소비자 정보를 수집해 판매하는

‘데이터 브로커(Data broker)’ 사업이 성행하고 있으나, 이들 사업자의 정보수집 및

판매에 관한 투명성이 부족해 개인정보 침해 우려가 높아지고 있다고 문제제기

- 지난 1970년 제정된 ‘공정신용보고법(FCRA: Fair Credit Reporting Act)’은 신용, 고용,

보험, 주택구입 등 분야에서 ‘개인정보 제공업체(CRAs: Consumer Reporting

Agencies)’에 관한 규정을 두고 있으나 마케팅이나 非 FCRA 영역의 정보 수집

활동에 관해서 명문화된 규정이 없음

- 1997년 연방거래위원회(FTC)는 데이터 브로커 사업의 투명성을 높이기 위한 방안의

일환으로 업계 자율규제기구인 ‘IRSG(Individual References Service Group)’를 구성해

운영에 들어갔으나 기대한 성과를 거두지 못한 채 지난 2001년 업무를 종료

FTC는 데이터 브로커의 책임성과 투명성 제고를 위하여 산업 실태조사 실시

- 연방거래위원회(FTC)는 미국 내 9개 데이터 브로커를 중심으로 산업 실태조사를

의결하고 해당 업체에 정보공개를 요구하는 명령서를 채택(‘12. 12월)

- FTC는 9개 데이터 브로커의 실태를 분석한 조사 보고서를 발표하고 의회에 데이터 브로커

사업자의 투명성 확보와 소비자의 정보접근 및 수정 권한을 규정한 법률안 제정 권고(‘14. 5월)

美 연방거래위원회(FTC), ‘데이터 브로커(Data broker)’ 산업 실태조사 보고서 발표개인정보보호단 개인정보보호기획팀

3

FTC의 권고 사항 및 결론

FTC는 미 의회에 상품 카테코리별로 소비자 보호방안의 입법화 제안

- (마케팅 부문) 데이터 브로커 사업자들의 정보 수집 및 사용 절차, 소비자들의

정보접근 도구 및 옵트 아웃 권한을 제공하는 인터넷 포털 사이트의 운영을 규정할 것.

또한, 개인정보를 바탕으로 추론하는 ‘민감한(sensitive)’ 데이터 프로그램이나

메모리와 데이터 카테고리에 대한 접근을 보장할 것. 원 데이터는 물론이고 이

데이터로부터 추론한 데이터를 공개하고, 데이터 소스의 이름과 카테고리를 공개할 것

- (리스크 감소 부문) 개인의 권리를 제한하는 소비자 정보 제공시 소비자들에게

투명성하게 공개할 것. 특히, 정보의 오류를 수정할 수 있는 접근권을 보장할 것

- (인물 검색 부문) 소비자가 자신의 정보에 접근할 수 있도록 하며 옵트 아웃에 관한 권리를

보장해야 하며, 데이터 브로커들은 자신들이 취득한 개인정보의 소스를 공개해야 함

향후 전망 및 시사점

- 이번 FTC 실태조사 보고서는 빅데이터 경제 시대의 핵심으로 떠오르고 있는 데이터

브로커 산업의 실태 파악을 통해 데이터 브로커 산업 발전이 개인의 프라이버시를 침해할

가능성이 점점 높아지고 있다는 점을 경고하고 있음

- FTC는 이 보고서를 바탕으로 데이터 브로커 산업의 건전한 육성 방안과 개인정보 침해

방안을 마련할 것으로 예상되며, 미국 의회 역시 관련 법률의 제정을 추진하고 있어 향후

미국 사회에서 데이터 브로커 사업자들에 대한 규제가 한층 강화될 전망임

1. FTC, “FTC Recommends Congress Require the Data Broker Industry to be More Transparent

and Give Consumers Greater Control Over Their Personal Information”, 2014.5.27

2. FTC, “Data Brokers: A Call for Transparency and Accountability”, 2014.5

3. Pcworld, “FTC : Congress should rein in data brokers”,2014.5.27

4. The Wall Street journal, “FTC Wants More Transparency From Data Brokers“, 2014.5.27

4

최근 기업들의 사이버 보험 상품 수요 증가 추세

최근 사이버 공격에 대비한 보험 상품 수요가 미국 내 주요 기업들을 중심으로 빠르게 확산 중

- 위험 관리 및 보험 상품 중개 업체 마시리스크매니지먼트(Marsh Risk Management)에

따르면, 2013년 사이버 공격 관련 보험 상품(이하 사이버 보험) 가입 기업 수가 전년

대비 21% 증가한 것으로 조사

- 특히, 개인정보보호에 민감한 금융 기업의 사이버 보험 가입율은 전년 대비 30% 가량

증가했으며 유통 사업자의 가입율도 16% 이상 상승

미국 기업의 사이버 보험 가입 증가 추세는 2014년에도 계속될 것으로 예상

- 2013년 데이터 유출 사고 1회당 처리 비용이 전년 대비 26% 증가한 540만 달러(약 54억원)를

기록하는 등 사이버 공격 피해 규모가 증가함에 따라 사이버 보험은 더욱 인기를 끌 전망

- 실제 2013년 보안컨설팅 업체 포네몬(Ponemon)이 1만 9,000명의 기업 보안 책임자를 대상으로

설문을 실시한 결과, 조사 대상의 39%가 향후 사이버 보험에 가입할 계획이 있다고 응답

- 이와 관련해 미국 보험정보협회(Insurance Information Institute) 대표 로버트 하트윅(Robert

Hartwig)은 "향후 사이버 보험은 대기업은 물론 종소 기업의 수요까지 증가하면서

보험 시장 내 가장 가파른 성장세를 기록하는 상품이 될 것"이라고 강조

사이버 보험 상품에 대한 높은 수요에도 불구, 보상 기준 및 규모와 관련해서는 논란이 있는 상황

- 언론매체 뉴욕타임즈(New York Times)는 해킹 피해가 대부분 무형적인 형태로

나타나기 때문에 손실을 정량화하기가 쉽지 않다고 설명

- 또한, 대부분의 데이터 유출사고가 주목받지 못하거나 기업 이미지 차원에서 공개되지

않기 때문에, 보험 업체들이 보상액 산정을 위한 기초 데이터 수집에 어려움을

겪고 있다고 언급

- 해킹 기술 진화에 따른 피해 양상 다양화로 과거 사이버 공격 사례 역시 보험사에 큰

도움이 되지 못하고 있는 실정

최근에는 모호한 사이버 보험 보상 기준 및 보상 규모로 인한 실질적 피해 사례까지 등장하면서

이에 대한 해결책 촉구

- 2013년 해킹 사고를 당한 미국 대형유통업체 타깃(Target)은 데이터 유출 사고 이후

소비자 외면으로 매출이 50% 가까이 감소하는 등 막대한 손실 발생

사이버 보험 상품 수요 증가에 따른 피해 보상기준 마련 필요성 증가정책연구실 정책기획팀

5

※ ’13년 12월 타깃은 자사 고객 카드 정보 4,000만 건이 유출됐다고 밝혔으며, ’14년

1월에는 이름, e-메일 주소 등 개인 정보 7,000만 건이 해킹당했다고 추가 발표

- 약 10억 달러(약 1조 150억원)의 피해가 추산되는 타깃은 보안 시스템 강화 등 후속 조치

비용으로 약 1억 달러(약 1,015억원)의 추가 비용이 발생했으나, 보험사로부터 수령한 총

보험금은 1억 달러(약 1,015억원)에 불과

사이버 보험 피해 보상 기준 마련 필요

뉴욕타임즈는 사이버 해킹 사고에 대한 정보가 부족해 보험사들이 피해보상 범위를

협소하게 유지하고 있다고 언급

- 따라서 보험사가 유료 해커를 고용해 고객사를 대상으로 모의 사이버 공격을 수행하고

이에 따른 피해 규모를 추정하는 등의 시뮬레이션을 수행해야 한다고 밝힘

- 또한 데이터 유출 사고 발생 시 이를 의무적으로 공지하도록 규정하는 법안 등을

통해 보험사가 피해보상 비용 산출 시 필요한 정보를 보다 원활히 확보할 수 있게

해야 한다고 강조

한편, 최근 일부 대형 보험사들을 중심으로 사이버 보험 보상 기준 개선을 위한 움직임이

나타남에 따라, 보험 가입자들의 불만 역시 다소 완화될 전망

- 보험 업체 AIG의 경우, 업계 최초로 사이버 공격에 따른 피해 보상 범위를 재산

손실, 신체 부상 등과 같은 물리적 형태까지 포함하는 수준으로 확대

- 이에, AIG의 사이버 보함에 가입한 기업들은 해킹으로 인해 시설 일부가 폭발하는

피해가 발생할 경우 이에 대한 손실도 보장받는 것이 가능

1. CNBC, "Cyber insurance becoming more mainstream", 2014.4.17

2. Fox Business, "Companies Turn to Cyber Insurance as Hacker Threats Mount", 2014.3.20

3. Reuters, "Exclusive: More well-known U.S. retailers victims of cyber attacks - sources", 2014.1.12

4. The New York Times, "Cyberattack Insurance a Challenge for Business", 2014.6.8

6

EMC, “2014 EMC 프라이버시 인덱스(EMC Privacy Index)” 보고서 발표

EMC는 전 세계 15,000명 온라인 이용자를 대상으로 온라인 이용 행태와 정보

프라이버시에 대한 인식 조사를 실시하고, 그 결과로 ‘2014 EMC 프라이버시

인덱스(EMC Privacy Index)’ 보고서를 발표 (‘14.6.17)

※ 동 설문조사는 15개국(호주&뉴질랜드, 중국, 일본, 인도, 프랑스, 독일, 이탈리아, 중동, 네덜란드,

러시아, 영국, 브라질, 멕시코, 캐나다, 미국)을 대상으로 실시됨

※ 각 국가별 설문조사 오차범위는 ±3.1%, 전 세계 조사의 경우 오차범위는 ±1%임

온라인 이용자들은 온라인 및 디지털 기술을 지속적으로 이용할 것이나, 그에 따르는

프라이버시 이슈도 중요하게 인식하는 것으로 나타남

전반적으로 많은 국가에서 디지털 기술의 편리성 보다는 개인정보와 프라이버시 보호가 더

중요하다고 인식하는 것으로 나타났으나, 인도의 국민들은 자신의 프라이버시 보호보다 더

많은 편리와 혜택을 선호하는 것으로 조사됨

프라이버시 VS 편리성 대한 국가별 인식도

응답자의 대부분이(91%) 디지털 기술의 발전으로 인해 각종 정보와 지식에 접근하는 것이

더욱 편리해졌다고 답했지만, 단 27%의 응답자들만이 온라인에서의 편의와 혜택을 누리기

위해 자신의 프라이버시를 포기할 의사가 있다고 응답함

EMC “2014 EMC 프라이버시 인덱스” 결과 발표인터넷문화단 인터넷문화기획팀

7

Q. 온라인에서의 더 많은 편의와 혜택을 위해 자신의 프라이버시를 포기할 의사가 있나?

구체적으로 대부분의 응답자들이 지식 정보 접근의 용이성(91%), 범죄로 부터의 보호

(85%), 금융서비스 이용의 편리성(77%), 정부기록이나 의료기록 접근의 용이성(74%) 등을

온라인 가치를 긍정적으로 평가하였음에도 불구하고, 이러한 편리를 누리기 위해 개인의

프라이버시가 침해되는 것에는 부정적 입장

온라인의 가치 & 편의와 혜택을 위해 프라이버시를 포기할 의사

온라인 이용자들은 디지털 발달에 따른 프라이버시 침해 방지를 위한 정부와 기업의 역할이 중요하다

생각하면서도, 실제 생활에서 자신의 프라이버시 보호를 위한 노력은 미흡한 것으로 조사됨

실제로 과반수 이상의 응답자들이 이메일 해킹(25%), 모바일 기기 분실 및 도난(18%), 소셜

미디어 계정 해킹(17%) 등 개인정보 유출 경험이 있음

개인정보 침해 피해 경험

8

대부분의 이용자들(87%)은 개인정보나 프라이버시를 위한 법적인 보호가 필요하다고 인식함

이용자 동의 없는 정보 이용을 제한하는 법제도 마련의 필요성

향후 예상되는 프라이버시 보안의 위협 요인으로 금융 사기와 아이디 도용(64%), 경제적

이득을 위한 기업의 개인정보 활용(51%), 해킹(35%), 개인정보 보호 의무자들의 무능력

(35%), 정부의 관리감독 부족(31%) 등을 주요 요인으로 꼽았으며, 반면 개인의 부주의를

위협 요인으로 선택한 응답자는 11%에 불과

향후 예상되는 프라이버시 보안의 위협 요인 (3가지 복수응답)

그러나 여전히 많은 이용자들이 자신의 프라이버시 보호를 위한 필수적인 조치들(SNS

이용시 개인정보보호 설정, 정기적인 비밀번호 변경 등)을 적극적으로 취하지 않고 수동

적인 태도(모바일 기기에 단순 비밀번호 설정)를 보임

프라이버시 보호를 위한 조치

9

보고서는 온라인 및 디지털 기술 이용자와 새로운 형태의 사업이 더욱 확산되기 위해서는

▷ 기업은 이용자들에게 프라이버시 보호의 중요성을 지속적으로 알리고, ▷ 프라이버시 보

호를 위한 실질적인 대책과 방안을 수립을 통해 이용자와의 신뢰 관계를 높여야 하며, ▷

IT 기업들은 개인정보를 안전하게 보호할 수 있는 기술과 방법론을 제시하고, ▷ 이용자들

역시 자신의 개인정보 보호에 대해 지속적인 관심을 기울여야 한다고 밝힘

1. EMC, “The 2014 EMC Privacy Index: Global & In-Depth Country Results”, 2014.6.17

2. EMC, “The 2014 EMC Privacy Index: Executive Summary”, 2014.6.17

10

11

개요

영국 정부 기관내 사이버 보안 관계자와 민간 전문가들은 IA14 컨퍼런스를 통해 사이버

보안전략과 관련한 논의를 진행(‘14.6.16)

- 참석자들은 사이버 위협 대응능력 강화를 위해 민 관, 법집행기관과 협력 중요성 등을 강조

※ IA14 컨퍼런스는 정부기관내 사이버 보안 정책 결정자, 민간 사이버보안 전문가들이

참석하여, 민 관 부문에서 발생하는 미래 사이버 보안 위험 및 관리방안 등을 논의하는 자리

주요내용

내각부(Cabinet Office) 장관 프란시스 마우드(Francis Maude)는국가사이버보안프로그램(National CyberSecurity

Programme) 성과 소개 및 고도화된 사이버위협에 대응하기 위해 민관 협력의 중요성을 강조(‘14.6.16)

- 사이버 위협 대응을 위한 민 관 협력의 중요성을 언급하며, 안전한 사이버 공간

구현을 통해 영국 기업들의 혁신 및 일자리 창출에 기여할 것으로 기대

※ 국가사이버보안프로그램(National Cybersecurity Programme)은 영국 사이버보안 전략 수행을 위한

재정지원 프로그램으로 11~15년 동안 약 6억 5,000만 파운드(약 1조 1천억 원)의 예산 배정

- 영국 정부는 국가사이버보안프로그램을 통해 영국컴퓨터긴급대응팀(CERT-UK) 설립, 사이버기본제도(Cyber

Essentials Scheme) 수립, 기업내 사이버사고대응팀 설치 등 사이버 위협 대응 능력 강화 노력

※ 사이버기본제도(Cyber Essentials Scheme) : 조직들이 사이버 공격에 대응하기 위한 기술적

조치를 담고 있는 제도로 1)방화벽과 인터넷 게이트웨이(boundary firewalls and internet gateways),

2)보안구성(secure configuration), 3)접근 통제(access control), 4)악성코드 대응(malware

protection), 5)패치 관리(patch management) 등 5가지 카테고리로 구분되어 제시

- 또한, ‘안전한온라인(GetSafeOnline)’과 ‘사이버시큐리티챌린지(Cyber Security Challenge)’

캠페인 등 사이버 보안 관련 대중 인식 제고 노력

안전한온라인 캠페인(좌) 사이버보안도전 캠페인(우)

영국 정부, 사이버 보안 강화를 위한 민‧관 협력의 중요성 강조정책연구실 정책기획팀

12

정보통신본부장 이안 로반(Lobban)은 사이버 위협의 고도화와 다양화에 있어, 효과적인 사이버범죄

수사를 위해 정보통신본부(Government Commnications Headquarters, GCHQ)와 법집행기관간의협력 필요성 언급

※ 이안 로반은 금년 가을에 임기가 만료되며 차기 후임으로 로버트 허닝언(Robert Hannigan)이 취임할 예정

- 정보통신본부는 국가범죄국(National Crime Agency, NCA), 미국 연방수사국(Federal

Bureau of Investigation, FBI)과 ‘게임오버 제우스 악성코드(Gameover Zeus malware)’

퇴치를 협력한바 있음

※ 게임오버 제우스 악성코드(Gameover Zeus malware) : 주로 전자우편에 악성코드를 몰래 첨부해

놓거나 불법 다운로드 파일을 통해 유포, 사용자의 PC에 설치되어 은행계좌 등 금융정보를 탈취,

금전상의 피해를 입히는 악성코드로 전 세계 50만대 PC를 감염시킴

- 앞으로 정보통신본부는 정부 네트워크 공급사업자와 함께 정형화된 사이버위협정보 공유를

위한 ‘At Scale and Pace’ 파일럿 프로젝트를 수행 할 예정

사이버보안청(Office of Cyber Security & Information Assurance, OCSIA)장 제임스 퀴널트(James

Quinault)는 영국런던국제증권거래소에 상장된 시가총액 상위 100대 기업(FTSE 100)의 2/3가

이사회 차원에서 사이버 보안과 관련해 적극적인 논의 중임을 설명

- 또한, 실시간 민 관 사이버위협정보 공유 플랫폼 사이버보안정보공유협력체(Cyber

Security Information Sharing Partnership, CSISP)에 450개 이상의 기업이 활동 중

한편, 영국 정부는 2013년 국가 사이버보안 전략을 발표한 바 있으며, 매년 추진 현황 및

성과를 발표 중에 있음

- 영국 내각부는 사이버보안 전략 추진 과정 검토 및 향후 추진 방향을 담고 있는

‘국가 사이버 보안 전략 계획(The National Cyber Security Strategy Our Forward

Plans)’ 발표(‘13.12.12)

※ 국가 사이버보안 전략은 「안전한 사이버 공간 조성」,「사이버 공격에 대한 복원력 강화」,「(열린(Open),

역동적안정적인 사이버 공간 구현」및「사이버 보안에 대한 지식, 기술, 능력 구축」을 목표로 추진

- 영국 정부는 사이버보안 전략을 통해 국가사이버보안프로그램의 핵심적인 지원체계

마련 및 강화, 보완 등을 위해 지속적인 노력을 기울일 예정

1. SC Magazine, "UK's cyber security strategy enters collaborative phase", 2014.6.16

2. The Lawyer, "The UK government launches Cyber Essentials scheme", 2014.6.20

3. ZDNet, "Hostile state-sponsored hackers breached government network", 2014.6.17

13

각국 정부, 보다폰의 통신 인프라를 통한 통화 감청 등 감찰 활동 수행

글로벌 통신사업자 보다폰(Vodafone)은 최근 정부기관의 통신 감찰 실태 보고서를

통해, 세계 각국의 정부기관이 자사 네트워크 인프라에 접속해 통화 감청 등의 활동을

벌이고 있다고 주장(‘14.6.6)

- 보다폰의 보고서에 따르면 , 보다폰이 현재 사업권을 보유하고 있는 29개 국가

정부기관들이 세계 전역에 분포해 있는 보다폰의 네트워크를 활용해 시민들의

통신내역을 비롯 각종 데이터들을 수집해 온 것으로 파악

※ 보다폰의 보고서(Law Enforcement Disclosure Report)에 나타난 29개 국가는 프랑스,

독일, 헝가리, 인도, 네덜란드, 남아프리카공화국, 스페인, 탄자니아, 터키, 영국 등임

- 일반적으로 각국 정부는 법적 절차를 거쳐 보다폰에 네트워크 접근을 요청하고

있지만, 일부 국가에서는 정식 요청 절차를 생략, 상시적으로 보다폰의 네트워크에

접근할 수 있도록 요구한 것으로 확인

보다폰의 보고서는 29개 국가를 대상으로 보다폰의 고객 데이터에 접근하거나 실시간

감청을 요구하기 위해 발효하고 있는 법제도들을 상세히 설명

- 각국 정부는 ▲실시간 법적 개입의 지원(Provision of Real-time Lawful Interseption)

▲통신 데이터 공개(Disclosure of Communication) ▲국가 안보 및 응급상황

대응(National Security and Emergency Powers) 등의 목적으로 각종 법제도를 마련

- 대다수의 국가는 범죄 행위에 대응할 목적으로 통신사에 관련 데이터의 공개를

요청할 수 있는 법을 보유하고 있으며, 국가 안보를 위협할 수 있는 상황에서도

실시간 감청 및 네트워크 접근을 통신사에 법적으로 정당하게 요구 가능

- 호주, 벨기에, 독일, 프랑스, 영국 등 주요 선진국은 대체로 다수의 통신 관련 법제도를

통해 다양한 목적으로 통신사의 협조를 요청해 온 것으로 드러났으며, 중동 아프리카,

신흥국에서도 통신사의 협조를 요청하기 위한 법제도를 마련 중인 상황

보다폰은 특히 6개 국가는 별도의 법적 절차 없이 자사의 네트워크에 접근할 수 있도록

요구해 왔다고 주장

- 보다폰은 각국의 법적 규제를 이유로 해당 국가들을 직접 지목하지는 않았으며,

일부 국가도 통신 감청 및 통신사 데이터 요청 관련 정보를 공개하는 것은 법에

저촉된다며 보고서에 관련 내용이 실리는 것을 거부했다고 설명

글로벌 통신사 보다폰(Vodafone), 각국 정부기관의 통신 네트워크 감찰 실태 보고서 발표정책연구실 정책기획팀

14

미국 국가안보국(NSA) 사태 이후에도 각국의 통신 감찰 활동이 계속되고 있는 것으로 나타나..

미국 국가안보국(National Security Agency)의 불법 데이터 수집 사실이 내부 고발로

드러나면서 큰 파장을 일으킨 후 일반 시민들은 정부기관이 은밀히 자신들을

감시하고 있다는 공포심이 극에 달한 상황

이런 가운데 보다폰이 각국의 통신 감찰 현황을 공개한 보고서를 발표하자, 국제사생활기구(Privacy

International) 등 시민단체들은 환영의 뜻을 전달

- 국제사생활기구의 구스 후세인(Gus Husein) 박사는 보다폰의 보고서가 시작일 뿐이며,

국가의 활동이 더욱 투명성을 보장해야 한다고 강조

- 특히, 후세인 박사는 각국 정부가 통신 감찰을 법적으로 보장하고 있다는 점에

불쾌감을 드러냈으며, 정부의 은밀한 활동이 대중적으로 공개되어야 한다는 입장을 표명

보다폰의 보고서 작성 및 공표를 주도적으로 지원해 온 유럽위원회(EC)의 비비안

레딩(Vivian Reding) 부회장은 국가라 해도 개인의 데이터에 접근하는 것은 분명한

법제도의 보장 하에 이뤄져야 한다고 강조

- 레딩 부회장은 어떤 이유로든 국가가 직접적으로, 아무 제한 없이, 대규모로 민간

기업이 보유한 개인정보 등 민감한 데이터를 수집해서는 안 되며, 이 같은 행동은

의심만을 일으킬 것이라고 비판

1. Reuters, "Six governments tap Vodafone calls", 2014.6.6

2. Telecoms, "Vodafone revelations: government snooping “bad for business”", 2014.6.9

3. Vodafone, "Law Enforcement Disclosure Report", 2014.6.6

4. Wall Street Journal, "Vodafone Discloses Level of Government Tapping Around the

World", 2014.6.6.

15

개요

캐나다 대법원은 정보통신서비스제공자(ISP)에게 IP주소와 연계된 개인정보를 요청할

경우, 반드시 법원이 발부하는 영장이 필요하다고 판결(‘14.6.13)

- 사이버공간에서의 개인의 익명성을 범죄 수사 시에도 ‘정보 사생활(informational

privacy)’로 보호함으로써 ‘인터넷 프라이버시의 큰 승리’라는 평가를 받고 있는 판결

주요내용

캐나다 새스캐처원(Saskatchewan)주 경찰은 ’07년 아동음란물 수사를 하던 중,

IP주소와 연계된 개인정보를 ISP로부터 제공받아 피고인을 체포

- 주 고등법원은 항소심에서 인터넷상 고객의 기초 정보에 프라이버시 관련 내용이

포함되어 있다고 볼 수 없으므로 경찰의 체포에 문제가 없다고 판단

- 대법원은 원심을 깨고 경찰에 제공된 고객 정보에 프라이버시 관련 내용이

포함되어 있는 것으로 봐야 하며, 수사기관이 ISP에 고객의 개인정보 제공을

요청할 때에는 반드시 영장을 제시해야 한다고 판단

현행 캐나다 「개인정보보호와 전자문서에 관한 법률」이나 형사법(Criminal

Code)에서는 경찰이 영장 없이 이용자의 개인정보를 수집할 수 있도록 규정

- PIPEDA는 캐나다의 개인정보 수집·처리 등에 관하여 정하고 있는 법률

※ PIPEDA : Canada's Personal Information Protection and Electronic Documents Act

Section 7(3)(c.1) 다음과 같은 경우, 정부기관이나 정부의 특정 부서에서 정보 제공 요청을 할 때

정보를 획득할 합법적 권리를 갖는다.

(ii) 캐나다 전체나 주 또는 외국 관할의 법 시행 목적으로 공개가 요구될 때, 그러한 법의

집행과 관련하여 조사를 시행해야 할 때 또는 그러한 법의 집행을 위한 첩보 수집을

하는 경우

캐나다 전국시민자유연맹(CCLA, Canadian Civil Liberties Association)은 대법원의

결정이 개인정보보호 관련 정책 변화를 이끄는 핵심적인 역할을 할 것이라고 분석

※ CCLA : 1964년 설립 이래로 모든 캐나다 국민의 근본적 인간의 권리와 시민의 자유를

향상·수호하고 이러한 권리와 자유에 대한 인식을 신장하기 위해 노력해온 국가 조직

캐나다 대법원, ISP에 개인정보 제공 요청시 영장 필요하다고 판결침해사고대응단 침해대응기획팀

16

- CCLA는 프라이버시 옹호론자와 사법당국 간 대립하던 오랜 논쟁이 해소되었다고 반김

- 이미 CCLA는 PIPEDA이 위헌이라고 주장한 바 있음(‘14.5)

수사기관 및 사법당국은 이번 판결로 인해 향후 사이버 범죄의 효과적 수사와

사법대응에 어려움이 생길 것이라는 우려를 표함

시사점

IP주소 자체는 개인정보인지 여부에 논란이 있지만, IP주소는 다른 정보와 쉽게

결합하여 특정 개인을 식별할 수 있는 개인정보이기 때문에 논란 발생

※ 한 PC를 특정할 수 있는 이용자가 이용(고정IP주소)할 수도 있고, 여러 사람이

이용(유동IP주소)할 수도 있으므로, 할당방식에 따라 개인 식별성 여부가 달라질 수 있음

우리나라 「개인정보보호법」제18조(개인정보의 이용·제한)제2조제7호에서는 범죄

수사, 공소 제기·유지를 위해 필요한 경우에는 개인정보를 목적 외의 용도로

이용하거나 제3자에게 제공할 수 있다고 규정하여, 영장 없이도 개인정보 제공이

가능하도록 하고 있음

※ 우리나라 「통신비밀보호법」 제13조(범죄수사를 위한 통신사실 확인 자료제공의

절차)에서는 통신사실 확인자료(IP주소 포함) 제공 요청 시 법원의 허가(영장)를 받아야

한다고 규정

※ 「신용정보의 이용 및 보호에 관한 법률」에서는 개인 신용정보의 제공을 위해서는

영장이 필요하다고 규정

우리나라 「전기통신사업법」제83조(통신비밀의 보호)제3항에서는 법원, 검사 또는

수사관서의 장, 정보수사기관의 장이 재판, 수사, 형의 집행 등에 필요한 정보수집을

위해 전기통신사업자에게 통신자료제공을 요청할 수 있다고 규정

※ 「전기통신사업법」제83조제3항에서 규정하는 통신자료는 이용자의 성명, 주민등록번호,

주소, 전화번호, 아이디(컴퓨터시스템이나 통신망의 정당한 이용자임을 알아보기 위한

이용자 식별부호), 가입일 또는 해지일

※ 특정시간, 특정 유동IP를 통신 사업자에게 제시하고 가입자 정보만을 요구하는 경우는

통신자료에 해당

1. CBCNEWS, “Internet users' privacy upheld by Canada's top court”, 2014.6.13

2. OPCC, “What an IP Address Can Reveal About you”, 2014.5

17

개요

NIST*에서 “모바일 장치 포렌식에 대한 가이드라인(Guidelines on Mobile Device

Forensics)”을 발표함(2014.5)

- 2007년 6월에 애플이 아이폰을 발표하고 한달뒤 NIST*에서 “휴대전화 포렌식에

대한 가이드라인(Guidelines on Cell Phone Forensics)”을 발표하였으나, 그동안

모바일 기술에 발전에도 새로운 개정이 없었음

- 7년 만에 NIST에서 “모바일 장치 포렌식에 대한 가이드라인(Guidelines on Mobile

Device Forensics)” NIST Special Publication 800-101 Revision 1 을 발표

* NIST(National Institute of Standards and Technology) : 美 국립표준기술연구소

주요내용

개정된 가이던스는 마이크로심과 플래셔 박스(flasher box) 추출 방법 등을 포함하는

최신 기술들을 담고 있음

- 2007년 이후 모바일 장치의 메모리, 신원 모듈, 셀룰러 네트워크 기술 등이

변화하였으며, 모바일 장치 툴 분류 시스템, 방해 장치 처리 방법, 특정 데이터 보존

기술 등이 생겨남

- 또한 2007년에는 포렌식을 위한 도구가 십여 가지가 존재하였으나, 오늘날에는 특정

모바일 장치의 도구만 하여도 수백 가지가 제공됨

※ 플래셔 박스(flasher box) : 포렌식에서 망가진 모바일 폰에서 사용자 데이터를 복구하기

위해 사용하는 장치

SIM Card Size Formats SIM File System

※ 출처 : NIST Special Publication 800-101 Rev 1

美 국립표준기술연구소(NIST), ‘모바일 포렌식 가이던스’ 발표정보보호산업단 정보보호산업기획팀

18

개정된 가이던스는 포렌식 조사관에 의해 발생하는 일반적인 상황을 요약하여 플로우

차트로 설명하여 현장에서는 우선순위를 구분하여 처리할 수 있도록 제공

- 또한 최신 모바일 장치를 처리하기 위한 업데이트된 수집 및 보존 기술을 제공

일반적인 우선순위 결정 트리

※ 출처 : NIST Special Publication 800-101 Rev 1

결론

이번 가이던스의 목적은 포렌식 수사나 법률적 자문 용도가 아닌 포렌식의 다양한

기술(보존, 수집, 조사, 분석, 보고절차 등)을 설명하는데 있음

향후 가이던스를 통해 조직에서 모바일 장치를 처리하기 위한 적절한 정책과 절차를

개발하거나 포렌식 수사를 수행할 포렌식 전문가를 준비하는 도움을 줄 것으로 예상됨

1. BANK INFO SECURITY, "NIST Updating Mobile Forensics Guidance", 2014.6.10

2. NIST, "Guidelines on Mobile Device Forensics(SP 800-101 Rev.1)", 2014.5

19

개요

슬로바키아에 본사를 둔 보안업체 ESET는 파일을 암호화한 후, 사용자에게 돈을

요구하는 안드로이드용 랜섬웨어‘Simplocker’를 발견했다고 밝힘(‘14.05.27)

※ 랜섬웨어(Ransomware) : Ransom(몸값)과 Software(소프트웨어)가 합쳐져 생성된 단어로 PC나 모바일

기기의 중요한 자료를 암호화한 후, 복구를 위해서 피해자에게 금품을 요구하는 악성코드

주요 내용

1년 전, 시만텍은 가짜 백신 행세를 하며 파일 암호화가 아닌 단순히 화면을 잠그는 타입(lockscreen)의

랜섬웨어의 성격을 가진 모바일 악성코드 ‘Android Defender’를 발견

- 모바일 백신을 사용하지 않은 사용자는 제거가 쉽지는 않았으며, 안전모드로 부팅하여 치료

2013년 5월, 소포스는 락스크린 기능이 없는 Android Defender를 발견

최근 ESET는 안드로이드 기기에 침투하여 SD카드내의 특정 형식의 파일을 스캔하여

암호화하고 파일의 해독을 위해서 금품을 요구하는‘Android/Simplocker’를 발견

- 침투 후, Simplocker는 몸값을 위한 메시지와 암호화한 파일을 표시함

< Android/Simplocker의 위협 메시지(원문-러시아어) >

첫 안드로이드용 데이터 암호화 랜섬웨어 Simplocker 출현인프라보호단 보안평가팀

20

경고 : 기기를 잠금 처리했습니다.

해당 기기를 아동 포르노그래피, 수간 등 부적절한 변태행위의 열람 및 배포를 이유로 잠금 처리했습니다.

원상복귀 하시려면 260그리브나(우크라이나 화폐)를 지불하셔야 합니다.

1. 가까운 은행 창구나 ATM 기기로 가십시오.

2. MoneXy를 선택하십시오.

3. [REDACTED]를 입력하십시오.

4. 260그리브나를 송금하십시오.

영수증을 꼭 챙기십시오.

송금이 완료되고부터 24시간 안으로 잠금이 해제될 것입니다.

송금을 하지 않을 경우 기기 안의 모든 데이터가 지워집니다.

< Android/Simplocker의 위협 메시지 >

- Simplocker는 SD카드의 각종 문서파일, 이미지 파일, 워드 파일(jpeg, jpg, png, bmp, gif,

pdf, doc, docx, txt, avi, mkv, 3gp, mp4)을 스캔하고 AES를 사용하여 암호화

- 이전의 Windows 랜섬웨어와는 다르게 Simplocker는 지불 및 확인코드가 입력된

필드가 없으며, C&C(Command&Control) 서버는 토르(TOR)라는 익명 네트워크에

호스팅되어 있는 등 공격자를 보호하는 기술이 다양함

※ 토르(The Oinion Routing) : 온라인에서 트래픽 분석이나 IP 주소추적을 불가능하게 해 익명성을

보장하는 네트워크

- 암호화는 기초적인 AES를 사용하여 다중암호화를 사용한 CryptoLocker와 비교했을 때

미진한 수준으로 아직 미완성일 것이라고 추측

안드로이드용 파일 암호화 랜섬웨어가 등장함으로써 피해를 예방하기 위해 보안설정에서

“알 수 없는 출처” 기능을 허용 하지 않고, 출처가 불분명한 앱은 허용하지 않아야함

현재의 데이터 백업을 충실하게 수행하면 안드로이드나 windows 등 어떤

운영체제에서도 랜섬웨어에 대한 피해를 예방할 수 있음

1. ESET, “Android/Simplocker”, 2014.6.

2. Welivesecurity, “ESET Analyzes First Android File-Encrypting, TOR-enabled Ransomware”, 2014.6.4

21

개요

미국 보안회사 Bromium은 랜섬웨어 CryptoDefense가 Java drive-by download

취약점을 통해 확산되는 것을 확인

※ Bromium : Bromium은 가상화 기술을 사용하여 end-point 보안 솔루션 제공 업체

※ 랜섬웨어(ransom ware) : 금전적인 피해를 야기하는 악성코드로 컴퓨터에 잠입해 문서나

파일등 을 암호화해 열지 못하도록 만든 후 해독을 위해 금품을 요구

※ drive-by download : 인터넷 브라우저를 통해 사용자에게 들키지 않도록 악성코드를

다운로드 시켜 감염시키는 방식

주요 내용

CryptoDefense 랜섬웨어는 기존의 e-mail을 통해 유포되던 방식에서 drive-by

download 방식으로 배포되어, Windows OS를 사용하는 컴퓨터의 사용자 파일을

암호화하고 금품을 요구

- CryptoDefense는 2014년 2월 최초 발견 당시 e-mail 첨부 파일을 통해 유포

되었으나, 최근 Java drive-by download 취약점(CVE-2012-4681)을 통해 배포될 수

있게 진화됨

- drive-by download를 통해 배포되어 링크를 클릭하거나 첨부 파일을 열도록 하는

사용자의 요구 사항이 필요 없으며 암호화를 위해 시스템 권한 상승 요구도 없음

- 감염된 사용자는 공격자가 지정한 마감 시간까지 제시한 금액인 500USD/EUR

상당의 Bitcoin을 지불하지 않으면 1,000USD/EUR의 더 높은 금액을 제시함

CryptoDefense는 사용자 PC의 문서, 이미지 등 사용자가 사용하는 대부분의 모든

파일들을 포함하여 소스코드, 인증서를 암호화 하고 윈도우 백업 파일을 삭제

- Cryptolocker가 암호화 하던 사용자 파일을 포함하여 소스코드 및 SSL(Secure

Socket Layer) 인증서까지 암호화함

- CryptoDefense는 Windows OS에 복구를 위해 생성하는 ‘Shadow Copy’를 삭제하여

시스템 복원 기능을 차단함

※ Shadow Copy : Microsoft 윈도우에 포함되어있는 백업(snapshot of volumes) 기술

CryptoDefense 랜섬웨어, Java drive-by download 취약점을 통해 감염 확산침해사고대응단 침해대응기술팀

22

CryptoDefense는 2014년 4월까지 미국, 영국, 캐나다, 호주, 일본 등에서 11,000여건이

발견되어 차단

- 2014년 2월 최초 발견된 CryptoDefense 랜섬웨어는 빠른 확산을 보이며 한 달

$34,000(약 3,453만원) 이상의 피해를 발생시킴

시사점

e-mail을 통해 유포되는 악성 코드가 Java drive-by download 방법으로 더욱 빠르게 확산될

수 있기 때문에 공격 방지를 위한 대책 마련과 유포 사이트의 발견 및 차단이 시급함

악성 코드에 감염된 파일의 복구가 불가능 하므로 중요한 파일의 다른 미디어를 통한

주기적인 백업 정책 필요

1. Techworld, “CryptoDefense ransom malware using Java drive-by exploit to boost infection rate”, 2014.5.27

2. Brlabs, “CryptoDefense: The Ransomware Games have begun”, 2014.5.27.

23

24

일본 NTT Docomo, 6개 글로벌 장비업체들과 5G 연구개발 착수(‘14.5월)

NTT Docomo가 계획 중인 5세대 이동통신(5G)은 ▲M2M 통신 확산에 따른 단말 수의 증가

▲이에 따른 다양한 서비스 대응을 위해 2020년까지 10Gbps 이상의 통신 속도 구현

▲LTE의 약 1,000 배에 달하는 대용량화를 구현하기 위한 기술 개발 등을 목표로 함

- 이를 위해 현재 NTT Docomo는 Alcatel-Lucent, Ericsson, NEC, Nokia, 삼성전자 등

6개 기업과 개별 실험을 위한 검토 작업을 추진 중

2014년 중 ‘Docomo R&D’ 센터를 중심으로 한 실내 실험을 시작으로, 2015년 이후부터

야외 실험 확대 예정

- NTT Docomo는 5G 서비스 제공을 위해 현재의 이동통신용 주파수보다 높은 대역인

6GHz 이상의 주파수 대역을 주로 활용할 계획

6개 참여업체, 고주파수 대역 중심의 5G 기술 실험 진행

Alcatel-Lucent는 UHF 대역에서 5G의 브로드밴드 통신 및 M2M 통신에 적합한 새로운

신호 파형 후보를 실험할 계획

Ericsson은 고주파수(15GHz) 대역을 상정한 새로운 무선 인터페이스 개념을 실험할 예정으로,

대규모(Massive) MIMO 기술을 응용하여 사용자 당 5Gbps의 전송 속도 구현을 목표로 설정

삼성전자는 5G 주파수 대역에서 안정적인 초광대역 전송 실현을 위해 디지털과 아날로그를

결합한 하이브리드 빔포밍 기술을 기지국과 이동국에 적용하여, 이동국에 탑재된 다소자

안테나의 빔 제어 기술을 실험할 예정

NTT Docomo와각협력업체간의5G 실험 개요

※ 출처 : NTT Docomo(2014.5)

일본 NTT Docomo, 글로벌 장비업체와 5G 실험 착수

국제협력본부 해외진출지원팀

25

주요 선진국 5G 투자 대열에 참여하고 있으며, 5G 개념에 대한 공감대 형성 중

미국, 영국, 일본, 중국 등 전 세계 주요 국가에서는 산학연 및 다양한 기관들 간의 공조로

5G 연구에 대한 적극적 투자를 진행 중

- 그러나 개념화 작업을 거치고 있는 5G에 대한 현재까지의 일반적인 컨센서스는 LTE나

UMTS와 같은 단일 표준이 아니라, 사용자들에게 매우 빠른 속도의 전송 서비스를

제공하고 통신 사업자에게는 보다 지능적이고 효율 높은 네트워크 운영을 가능케 하는

기술의 총체로 정의하며, 이러한 개념 구축은 2020년까지 점진적으로 진행될 전망

주요국가별5G 연구개발현황

국가 참여조직 내용 투자예산

영국UKRPIF, 삼성전자,

Huawei, Telefonica

Surrey대 내에 5G 전문 연구

센터 설립604억원

미국Qualcomm, NYU, UC

Berkeley

산학 연계를 통해 5G

원천연구 기술N/A

중국

IMT-2020(5G)

Promotion Group

정부 주도 하의

기술/표준화/주파수 전략 수립N/A

Huawei향후 5개년 간

5G 선행 기술 연구6,100억원

유럽 5G PPPHorizon 2020의 일환으로 5G

네트워크 연구9,690억원

일본

전파산업회(ARIB) 차세대 애드혹 네트워크 연구 N/A

NTT DoCoMo외 글로벌

6개 장비업체주파수 대역 별 5G 실험 연구 N/A

대한민국

미래부 7년 간 정부-민간 공동 5G 연구1조 6,000

억원

삼성전자 1Gbps급 5G 무선 링크 기술 개발 N/A

※ 출처 : TTA 자료 재구성(2014.6)

활발한 국제 기술 교류와 표준화 주도로 5G 핵심 기술 이슈 선점 필요

국내 민-관, 5G 육성 및 투자 행보 강화 노력 추진중

- 한국은 2014년 1월 미래부가 발표한 ‘미래 이동통신 산업발전전략’을 통해 2020년 5G

네트워크 상용화 계획을 발표, 총 1조 6,000억 원을 투자할 계획

- 한편, 2013년 삼성전자는 2킬로미터 구간에 걸쳐 1Gbps급 5G 무선 링크 기술을 개발

하는 등 5G 연구 개발 측면에서 민관 공히 적극적인 행보를 보이고 있음

26

적극적 글로벌 표준 주도 작업, 5G 생태계 구축 선결 과제

- 과거 정부 주도 하에 추진된 와이브로 사업의 교훈과 평가를 토대로 볼 때, 기술 개발

단계에서 보다 적극적인 글로벌 공조를 통한 표준화 참여 및 선도 전략 구축이 필요

- 즉, 시장에 기술이 보급되기 이전에 활발한 국제 간 기술 교류로 ITU-R에서 필요로 하

는 5G 기술 요구 사항을 정확하게 파악하여 핵심 기술 이슈 선점 역량 확보 필요

1. DoCoMo to start 5G tech trials with six vendors, Total Telecom, 2014.5.8

2. UK to be 5G testbed as Samsung, Huawei and Telefonica start research push, ZDNet, 2012.10.8

3. 世界主要ベンダーと5G実験で協力, NTT DoCoMo, 2014.5.8

4. 5G 이동통신 산업 발전을 위한 정부 정책, TTA Journal(Vol.152), 2013.3.4

5. 창조국가 실현을 위한 「미래 이동통신 산업발전전략」 마련, 미래창조과학부, 2014.1.22