Internet Weekly | 2012. 9월 1주 (9/6)KISA Internet Weekly 9월 1주(20120906) - 2 - 관련 법제 적용대상 주요내용 기본지침 + , - .-/ 제" 조 공중 전자통신 네트워크

Internet Weekly | 2012. 9월 1주 (9/6)

KISA Internet Weekly 9월 1주(20120906)

목 차목 차

인터넷 정책 인터넷 정책

▪ 유럽정보보호원, 보안조치 및 침해사고 통지의무에 관한 EU 법제

분석보고서 발표

1

▪ 미국 연방통신위원회, 브로드밴드 현황 보고서 발표...인터넷 소외계층

1,900만 명

4

인터넷 산업/서비스인터넷 산업/서비스

▪ 페이스북, 일일 데이터 생성 규모 “500테라바이트 이상” 6

▪ 애플, 연달아 NFC 특허 출원...NFC 서비스 영역 확대 예고 8

▪ 구글, 개인정보 보호 강화 전담 부서 ‘레드팀’ 발족 10

▪ 노키아, 삼성, 소니 등 22개 사업자, 실내 지도 서비스 개발에 참여 12

인터넷 보안/기술인터넷 보안/기술

▪ 자바 제로데이 취약점을 이용한 악성코드 급격히 전파 14

▪ 164개의 안드로이드 애드웨어(Adware) 활동 중 16

기타 기타

▪ 페이스북, 개인정보 보호 법률 위반 혐의로 기소 위기 18

▪ 어도비, 미국의 스마트폰 ․ 스마트패드 등 모바일기기 이용 행태 발표 20


- 1 -

< EU의 침해사고 통지 및 정보제공 관련 의무 개요 >

유럽정보보호원, 보안조치 및 침해사고 통지의무에 관한 EU 법제 분석보고서 발표

정책연구실 법제분석팀 윤주연

개요

❍ 유럽정보보호원(ENISA)은 보안사고 발생시 통지의무를 규정한 EU 법제를 분석하고 개선방안을

검토한 보고서 발표('12.8.27)

- 최근 많은 보안사고가 언론보도되고 이슈화가 되고 있으나, 실제로 많은 경우 관계기관에

보고되거나 공개되지 않고 있음을 지적

법제 현황

❍ EU에서 사이버 안전성과 무결성 확보를 위한 보안조치의무 및 사고발생시 통지의무를

규정하고 있는 법제도 현황 및 주요내용은 다음과 같음

※ 출처 : 유럽정보보호원(’12.8)

※ EU Telecoms reform packages : DIRECTIVE 2009/140/EC, DIRECTIVE 2009/136/EC 및 유럽통신규제청(BEREC)

설립에 관한 규정(REGULATION 1211/2009/EC)을 말하는 것으로, 전자통신네트워크 및 서비스에 관한 기존의

5가지 기본지침(DIRECTIVE 2002/21/EC), 접속지침(DIRECTIVE 2002/19/EC), 인가지침(DIRECTIVE

2002/20/EC), 보편적서비스지침(DIRECTIVE 2002/22/EC), 프라이버시 및 전자통신지침(DIRECTIVE

2002/58/EC)을 수정하고 통합한 법규를 말함


- 2 -

관련 법제 적용대상 주요내용

Telecoms

reform

packages

기본지침

(Framework

Directive)

제13a조

공중 전자통신

네트워크 및

서비스

․안전성 및 무결성 보장을 위해 필요한 보안조치 의무

․중대한 보안 침해사고 발생시 해당 국가의 관계

기관에 보고(report)

․각국의 관계기관은 보안사고로 인해 다른 국가에

영향을 줄 때에는 ENISA 및 다른 국가의 관계

기관에 침해사고를 알려야 함(inform)

․각국의 기관은 매년 보안사고에 대해 ENISA와

EC에 보고(report)

프라이버시 및

전자통신지침

(e-privacy

Directive) 제4조

․개인정보 침해 발생시 관계기관 및 해당 서비스

이용자에게 지체없이 통지(notify)

․서비스 안전성 확보를 위한 적절한 기술적․관리적

조치의무

․서비스 이용자 또는 관련 개인(침해로 프라이버시에

영향을 받는 자)에게 침해사실 통지

․개인정보 침해의 사실관계, 영향 및 취해진 구제

조치 등 개인정보 침해 관련 정보목록 유지

정보보호규정(안)

제30조~제32조

개인정보처리자

(민간/공공의

모든 영역)

․개인정보 처리로 인한 위험 정도에 맞는 안전성

확보를 위해 적절한 기술적․관리적 조치의무

․관계기관 및 관련 개인(침해로 프라이버시에 영향을

받는 자)에게 개인정보 침해사실 통지

(지체없이, 가능한 24시간 이내 관계기관 통지)

전자서명 및 전자적

신원확인에 관한 규정(안)

제15조

신뢰서비스제공자

(Trust Service

Provider)

․안전성을 위한 적절한 기술적․관리적 조치의무

․감독기구 및 관련 기관에 보안사고 통지(notify)

․필요시 해당 국가의 감독기구는 ENISA와 다른

EU국가에 보안사고를 알림(inform)

․감독기구는 직접 또는 서비스제공자를 통해서

보안사고를 대중에게 공개(inform)

․감독기구는 ENISA와 EC에 침해사고에 대한

요약자료를 제공

유럽 사이버 보안전략

(European Cyber Security

Strategy) 로드맵

․기본지침 제13a조를 다른 서비스 영역에도 확대

적용하는 방안을 언급

< 보안조치의무 및 사고발생시 통지의무를 규정하고 있는 법제도 현황 및 주요내용 >

※ 정보보호규정(안)(The proposed Data Protection Regulation, '12.1) : EU 개인정보보호지침(DIRECTIVE

95/46/EC)을 전면 개정하는 것으로 현재 입법화가 진행중

※ 전자서명 및 전자적 신원확인에 관한 규정(’12.6.4) : EU는 EU내부시장에서의 전자거래를 위한

전자신원확인 및 신뢰서비스에 대한 규정 제안서를 채택


- 3 -

현행 법제도의 한계 및 개선방안

❍ 침해사고 통지의무를 규정한 법제의 적용범위에 대한 명확한 합의점 도출 필요

- 보안사고, 개인정보의 침해사고 통지의무가 규정되어 있지만, 최근 EU에서 발생한 주요

침해사고 중 일부는 여전히 현행 법제의 적용을 받는지가 불명확하고 논란의 여지가 있음

- 전자통신의 범위는 기술발달에 따라 계속 변화하므로, 전자통신에 대한 법적 규제범위에

대해 각국과 EC가 기준을 명확히 하고, 현행 법제가 적용되지 않는 사각지대 해소 필요

❍ 보안조치 및 통지의무와 관련하여 기준이 되는 모델 법규 필요

- 법규 간의 일관성과 표준화는 서비스제공자의 법규 준수를 돕고, 각국의 법집행을 보다

수월하게 하는 한편, EU회원국이 법규 이행시 상호간에 조화로운 접근을 유도

※ 기본지침 제13a조는 전자서명 및 전자적 신원확인에 관한 규정 제15조를 제정하는 모델이

된 바 있음

❍ 보안조치의무의 기준 제공 필요

- 통지의무의 궁극적인 목표는 적절한 보안조치를 취하여 사고를 예방하고 그 침해를

최소화하는 것임

- 규제당국과 전문가의 실제적인 경험을 토대로 한, 합의된 보안 권고조치 기준 채택 필요

❍ 침해사고 보고절차의 최적화 필요

- 사고 발생 시 즉각적인 대응조치가 무엇보다 중요하며, 보고의무 준수를 위해 침해사고

대응 절차가 지체되지 않는, 쉽고 빨리 적용할 수 있는 보고절차 확립 필요

※ 사고발생 후 수 시간 내에 대략적인 영향을 간략히 보고하고, 사고대응이 완료된 후 수일 내에

정확한 숫자 등 정보를 보고하는 2단계 보고절차를 고려할 수 있음

- 침해사고 대응 차원뿐 아니라 침해사고와 관련한 다양한 정보를 상호 교류 및 공유할 수

있는 체계 필요

- 서비스제공자와 각국의 관계기관은 보고하는 정보의 유형, 보고내용의 상세수준, 보고시점

등을 결정하고 비용 대비 효과적인 보고가 될 수 있도록 자동화된 툴 검토

[출처]

1. ENISA, "Cyber Incident Reporting in the EU - An overview of security articles in EU

legislation", 2012.8

목 차


- 4 -

미국 연방통신위원회, 브로드밴드 현황 보고서 발표...인터넷 소외계층 1,900만 명

정책연구실 정책기획팀

미국, 브로드밴드 서비스 양극화 뚜렷

❍ 미국 연방통신위원회(FCC), 2011년 6월 말 기준으로 각 주별 브로드밴드 도입 현황을

조사·분석한 ‘제8차 브로드밴드 경과 보고서’ 발표('12.8)

※ 보고서는 3Mbps/768kbps의 속도를 지원해주는 브로드밴드 서비스를 기준으로 작성

❍ 이에 따르면 미국 전체 인구의 6%에 해당하는 1,900만명이 여전히 브로드밴드 서비스를

활용할 수 없는 지역에 거주하고 있는 것으로 집계

- 2010년 6월 말 기준 2,640만명이 브로드밴드 서비스를 이용할 수 없던 것과 비교하면

일정 부분 개선되었지만 여전히 인터넷 소외계층 비중이 높은 상황

※ 미국 가구를 기준으로 할 경우, 전체 1억 1,920만 가구 중 5.9%에 해당하는 700만 가구가

브로드밴드 서비스 접속 불가 지역에 위치한 것으로 집계

❍ 특히, 브로드밴드 접속 불가 인구의 76.2%가 농촌지역에 거주하고 있는 것으로 나타나

도시와 농촌간의 격차가 큰 것으로 나타남

- 농촌지역의 경우 전체 거주자의 23.7%(1,450만 명)가 브로드밴드 서비스가 제공되지 않는

지역에 거주 중인 것으로 집계

- 반면 도시지역의 경우 전체 거주자의 1.8%(450만 명)만이 브로드밴드 서비스를 이용하지

못하고 있는 것으로 조사

< 미국 도시 및 농촌지역 브로드밴드 보급 현황(단위: 백만 명, %) >

구분 거주 인구브로드밴드

접속 불가 인구접속 불가 비율

미국 전체3억 1,590만 명

(100%)

1,900만 명(100%)

6.0%

농촌지역6,100만 명

(19.3%)

1,450만 명(76.2%)

23.7%

도시지역2억 5,490만 명

(80.7%)

450만 명(23.8%)

1.8%

※ 출처 : FCC

❍ 각 주별 브로드밴드 접속 현황에서도 농촌 지역 일수록 접속 불가 비율이 높은 것으로 집계

- 웨스트버지니아주(West Virginia)는 접속 불가 비율이 무려 45.9%에 달했으며, 몬태나(26.7%),

사우스다코타(21.1%), 알래스카(19.6%) 등의 순으로 조사


- 5 -

< 미국 지역별 브로드밴드 서비스 제공 현황 >

※ 출처 : FCC

미국, 민관 공동의 인프라 구축 노력에 힘입어 브로드밴드 서비스 개선 기대

❍ 미국 연방통신위원회는 교외지역을 위한 ‘커넥트 아메리카 기금(Connect America Fund)’,

저소득층을 위한 라이프라인(Lifeline) 프로그램을 비롯한 다양한 지원책을 통해 브로드밴드

서비스 보편화에 나서고 있음

❍ 미국 업계에서도 브로드밴드 인프라 확충을 위해 수십억 달러의 예산을 투입하고 있는 상황

- 미국 케이블 업계가 추진하고 있는 ‘DOCSIS 3.0’이 본격화되면 미국 인구 80% 이상이

100 메가비트 이상의 속도로 인터넷을 이용할 수 있는 환경이 구축될 전망

※ DOCSIS 3.0 : 케이블망을 통해 인터넷 및 여타 데이터 서비스를 제공할 수 있도록 하기 위해

요구되는 인터페이스 표준 규격을 의미

- 미국 통신사업자들 역시 LTE 망 구축에 적극 나서고 있어 모바일 브로드밴드 이용 환경

역시 개선될 것으로 기대

※ LTE(Long Term Evolution) : HSDPA(고속하향패킷접속)보다 12배이상 빠른 고속 무선데이터

패킷통신 규격

[출처]

1. FCC, "Eighth Broadband Progress Report", 2012.8

2. USA Today, "19 million Americans still go without broadband", 2012.8.21

목 차


- 6 -

페이스북, 일일 데이터 생성 규모 “500테라바이트 이상”


페이스북, 자사 빅데이터 관련사항 및 활용전략 일부 공개

❍ 페이스북이 본사에서 기자 간담회를 열고 자사에서 처리되고 있는 빅데이터 관련 주요

사항에 대해 발표(8.22)

- 페이스북 시스템에서는 일일 평균 25억건의 콘텐츠 및 27억개의 ‘좋아요(Like)' 정보와

3억건의 사진 업로드가 발생하고 있다고 공개

- 30분마다 105테라바이트 규모의 데이터가 스캔되고 있으며, 매일 500테라바이트 이상의

데이터가 저장되고 있는 상황

※ 1테라바이트(Terabyte)는 1조 바이트를 의미

❍ 페이스북은 자사에 저장되고 있는 빅데이터에 대한 무분별한 접근을 막기 위해 다양한

보호 장치도 운영하고 있다고 발표

- 저장된 데이터에 대한 모든 접속 기록은 자동으로 저장되어, 누가 언제 어디서 어떤

데이터를 열람했는지 확인 가능

- 데이터 접속 권한은 제품 개발팀 구성원으로 한정되어 있으며, 데이터 이용 범위에 대한

집중적인 교육도 실시하고 있다고 밝힘

❍ 한편, 페이스북의 엔지니어링 담당 부사장 제이 파릭(Jay Parikh)은 빅데이터가 단순히

많은 양의 데이터를 의미하는 것은 아니라고 설명

- 데이터에서 중요한 정보를 추출하고 이를 비즈니스와 관련된 의사 결정에 활용할 수

있어야만 빅데이터로서 의미를 가질 수 있다고 지적

- 파릭 부사장은 페이스북이 대용량 데이터를 수 분 내에 처리할 수 있기 때문에 신제품

출시나 사용자 반응 분석 및 그에 따른 디자인 변경 등을 실시간으로 수행할 수 있다고

강조

❍ 제이 파릭 부사장은 빅데이터가 자사 서비스뿐만 아니라 주요 고객인 광고주를 위해서도

활용된다고 밝힘

- 성별이나 연령, 관심사 등 사용자 데이터와 광고 노출과의 관련성을 측정하기 위해

빅데이터를 활용 중이라고 설명

- 또한 과거의 데이터셋을 이용해 다양한 광고 시뮬레이션을 실행함으로써 광고 효과를

예측하고 이를 기반으로 최상의 광고 상품을 광고주에게 제공하고 있다고 강조


- 7 -

페이스북, 데이터 분산 처리를 위한 ‘프리즘(Prism)' 프로젝트도 진행 중

❍ 현재 페이스북은 미국 오리건주의 프린빌과 노스캐롤라이나주의 포레스트시티 두 곳에

자체 데이터센터를 운영

- 그 외에도 미국 내 각지에 위치한 서버 호스팅 설비를 임대해 사용하고 있으며,

2014년에는 스웨덴에 새로운 자체 데이터센터를 건립할 예정

❍ 페이스북의 각 데이터센터는 '하둡(Hadoop)' 파일 시스템을 사용

※ 하둡(Hadoop) : 대량의 자료를 처리할 수 있는 대규모 컴퓨터 클러스터에서 동작하는 오픈소스

분산처리 기술

- 하둡 파일 시스템은 서비스 초기에 필요한 수준만큼만 데이터 저장 공간을 확보한 후

데이터 증가 추이에 따라 스토리지를 추가하는 방식으로 운영 할 수 있다는 장점이 존재

- 그러나 페이스북에서 발생하는 데이터가 기하급수적으로 증가하면서 데이터센터 내

스토리지를 증설할 수 있는 물리적 공간이 부족한 상황

- 또한, 하둡 파일 시스템은 데이터 저장 서버를 지리적으로 분산시킬 수 없다는 한계도 지님

- 따라서 페이스북은 더 큰 용량의 데이터센터를 구축한 후, 모든 데이터를 해당 데이터센터로

이동시켜야 할 수 밖에 없으며, 이 과정에서 막대한 비용이 소요

❍ 페이스북 측은 하둡 파일 시스템의 문제점을 해결하기 위해 ‘프리즘(Prism)’ 프로젝트를

진행 중이라고 공개

- 파릭 부사장에 의하면 현재 페이스북은 데이터를 복수의 데이터센터에 분산 저장하면서도

마치 단일의 데이터베이스처럼 관리할 수 있는 시스템을 구축

- ‘프리즘(Prism)’ 프로젝트가 성공한다면 페이스북은 각지에 위치한 데이터센터를 하나의

데이터센터처럼 사용할 수 있음

❍ ‘프리즘’ 프로젝트는 페이스북의 데이터 안정성에도 크게 기여할 것으로 예상

- 데이터가 분산 저장되기 때문에 전력 수급 이상 등, 데이터센터 운영에 장애가 생겨도

피해를 최소화 할 수 있으며, 데이터 백업 및 복구를 위한 저장 공간 확보도 용이

❍ 페이스북측은 당장 ‘프리즘’ 프로젝트의 구체적인 내용을 밝힐 수는 없지만 곧 관련

사항에 대한 공식 발표가 있을 예정이며 최종적으로는 모든 내용을 무료로 공개할

것이라고 설명

[출처]

1. Data Center Knowledge, "Estimate: Facebook Running 180,000 Servers", 2012.8.15

2. TechCrunch, "How Big Is Facebook’s Data? 2.5 Billion Pieces Of Content And 500+ Terabytes

Ingested Every Day", 2012.8.22

3. VentureBeat, "Facebook’s Project Prism is reimagining how big data scales", 2012.8.22

목 차


- 8 -

애플, 연달아 NFC 특허 출원...NFC 서비스 영역 확대 예고


애플, 모바일 결제 관련 특허 출원...모바일 결제 서비스 출시에 대한 업계 궁금증 증폭

❍ 미국 특허청은 애플이 간단한 모션을 통해 모바일 결제승인을 요청하는 신규 특허를

출원했다고 발표(’12.8.28)

- 해당 특허는 iOS 단말의 화면에 가상의 신용 카드 판독기를 표시하고, 화면 하단에 ‘지불

승인 바’를 터치하는 간단한 모션을 통해 결제 승인을 요청하는 UI 방식

- 이용자는 페이팔(PayPal)과 같은 결제 서비스나 유통 업체의 온라인 계좌에 신용 카드 정보를

저장하여 온라인 쇼핑 이용 시 결제 정보가 표시되면 본 UI를 통해 간편하게 결제 가능

- 계좌 및 카드 정보는 NFC 모듈과 RFID 태그를 활용해 단말기에 전송 및 저장

※ 근거리 무선통신(NFC) : 13.56MHz의 대역을 가지며, 아주 가까운 거리의 무선 통신을 가능하게

하는 기술로 교통, 티켓, 지불 등 여러 서비스에서 사용가능

※ 전자태그(RFID) : IC칩과 무선을 통해 식품, 동물, 사물 등 다양한 개체의 정보를 관리할 수

있는 차세대 인식 기술

< 애플의 모바일 결제 승인 UI 특허 >

※ 출처 : Patently Apple

❍ 애플은 이번 특허 이외에도 이미 모바일 결제 관련 특허를 보유하고 있어, 애플의 모바일

결제 서비스 출시 여부에 대한 업계의 관심은 더욱 고조되고 있는 상황

- 애플은 이미 자체 스마트 지갑 서비스인 ‘아이월렛(iWallet)' 특허와 티켓, 포인트 카드, 쿠폰,

상품권 등을 일괄적으로 관리하는 '패스북(Passbook)' 특허를 비롯한 다수의 특허를 확보

애플, 다양한 非 결제 부문의 NFC 활용 특허 출원

❍ 한편, 애플은 NFC의 다양한 기능을 살려 가정, 여가, 쇼핑 등 일상생활과 밀접하게 연관된

서비스 모델 형태의 NFC 특허도 연이어 확보하고 있는 양상


- 9 -

- 애플은 '전자기기 간편 제어 시스템'이라는 명칭으로, NFC 칩을 탑재한 아이폰 단말을

가정용 멀티미디어 단말기기를 조작하는 리모콘으로 활용하는 특허 출원

- 또한 비행기 티케팅과 예약, 탑승 등 여행에 필요한 전 과정을 NFC 기반 단말을 통해

일괄 처리 및 관리해주는 ’대중교통 체크인 시스템‘ 특허도 출원

- 아울러 쇼핑 이용 시, 가격, 품질, 소비자 평가 점수 등과 같이 특정 물품에 대한 정보를

스캔해 수집 및 관리하는 애플리케이션인 ‘쇼핑 리스트 특허’도 보유

< 애플의 非 결제 부문 NFC 활용 특허 >

※ 출처 : Patently Apple; 스트라베이스 재구성

❍ 애플이 다양한 서비스 모델 형태의 NFC 기반 특허를 잇따라 출원하면서 애플이 모바일

결제 시장 진입을 생각보다 서두르지 않을 것이라는 예측 대두

- 투자은행기관 파이퍼 제프리(Piper Jaffray)의 애널리스트 진 문스터(Gene Munster)는

“NFC 기반 모바일 결제 시장은 미해결 변수가 많고, 성공 사례를 찾기 어려운 불안정한

시장이기 때문에 애플은 당분간 시장을 관망하는 자세를 취할 것”이라고 주장

- 문스터는 경쟁사들이 모바일 결제 시장 선점과 NFC를 둘러싸고 치열한 경쟁을 펼치는

동안, 애플은 시장 동향을 지켜보며 적합한 비즈니스 모델 개발에 집중할 것이라고 언급

❍ 따라서 최근 애플의 NFC 활용 특허 출원은 NFC 시장 생태계를 확장하고, 시장 선두주자의

자리를 꿰차기 위한 애플의 전략적 의도라는 분석도 제기

[출처]

1. The Droid Guy, "Apple iPhone 5 Near Field Communication (NFC) May Not Be Coming

After All", 2012.8.30

2. ZDNet, "Apple could play key role in driving NFC", 2012.8.7

목 차


- 10 -

구글, 개인정보 보호 강화 전담 부서 ‘레드팀’ 발족


구글, ‘레드팀(Red Team)’ 신설 위한 보안 인력 채용 공고 게시(’12.8.23)

❍ 구글이 자사 웹 사이트를 통해 데이터 프라이버시 엔지니어를 찾는다는 구인 공고를 게시

- 해당 직책은 개인정보 보호 및 사용자 보안을 고려한 구글의 제품설계 및 실행·분석

업무를 수행해야 하며, 구글 서비스의 보안 결함에 대한 우선순위를 책정해야 함

- 또한 구글의 모든 서비스가 사용자의 개인정보를 보호하는 방식으로 운영되도록 관련

사항 일체를 책임지게 됨

❍ 이번 채용 공고는 구글의 개인정보 보호 관련 위험을 관리하기 위한 기술 부서 ‘레드팀(Red Team)’

신설 과정의 일환으로 파악되고 있음

- 구글은 채용 공고문을 통해 데이터 프라이버시 엔지니어가 근무하게 될 부서가

‘레드팀’이라고 명시

- 구글은 ‘레드팀’이 구글의 제품 및 서비스는 물론 비즈니스 전반에서 발생할 수 있는

개인정보 보호 관련 위험을확인·조사·해결하기 위한 독립적인 부서라고 설명

구글, 잇따른 프라이버시 관련 논란에 백기...‘레드팀’ 필두로 개인정보 보호 움직임 가속화

❍ 지금까지 구글은 사용자 보안 문제에 관련해서는 분주한 움직임을 보여 왔으나 개인정보

보호와 관련해서는 무관심하다는 평가를 받음

- 구글은 2006년부터 악성 코드 예방 관련 비영리 사이트 ‘StopBadware.org’와 협약을 맺고

자사 검색 엔진이 찾아낸 악성 코드 사이트 정보를 ‘StopBadware.org’에 제공

- 2007년 5월에는 온라인 보안과 관련된 다양한 정보를 제공하는 공식 블로그 ‘Google

Online Security Blog’를 개설

- 반면 서비스 속도 저하를 이유로 2008년까지 자사 홈페이지에 개인정보 보호 정책에

대한 링크를 제공하지 않는 등 개인정보 보호를 위한 노력은 소홀히 해왔음

❍ 구글이 개인정보 보호 문제를 외면해 왔던 이유는 개인정보가 구글 수익 확대에 결정적인

역할을 하고 있기 때문

- 구글 매출의 대부분을 차지하고 있는 광고 수익이 증가하기 위해서는 보다 많은 사용자가

더 자주 구글의 서비스를 사용해야 함

- 이를 위해서는 사용자 각자에게 특화된 서비스를 제공함으로써 구글의 서비스의 가치를

높여야 함


- 11 -

- 따라서 구글은 성별·연령 등 개인정보를 활용해 맞춤형 검색 결과를 제시해 주는 등

개인화 서비스를 제공함으로써 사용자들을 자사 서비스에 묶어두는 전략을 취함

❍ 그러나 구글 서비스에 대한 사생활 침해 논란이 잇따라 불거지면서 구글의 개인정보 보호

정책이 도마 위에 오르게 됐고, 결국 구글은 ‘레드팀’을 신설하기에 이름

- 구글은 사용자의 동의 없이 자사 메일링 서비스인 ‘지메일(Gmail)'에 저장된 주소록을 타

구글 서비스와 연동시켜 비난을 산 바 있음

※ ‘지메일’ 논란으로 구글은 미국 연방통상위원회(Federal Trade Commission; FTC)와 2011년부터

향후 20년 간 개인정보 보호 감사를 받기로 합의

- 구글이 2012년 3월 발표한 개인정보 통합 관리 방침은 美 소비자단체와 유럽을 비롯한

각국 규제 기관들의 반발을 불러 일으켰음

- 2012년 8월에는 이용자들의 웹사이트 방문 경로를 추적해왔던 사실이 밝혀지면서 사생활

보호법 위반 혐의로 구글 역사상 최고액인 2,250만 달러의 벌금이 부과

[출처]

1. Information Week, "Google 'Red Team' To Test Product Privacy", 2012.8.23

2. PC World, "Google Beefing Up Privacy SWAT Team", 2012.8.23

3. WebProNews, "Google Creating A Red Team To Protect You From Themselves", 2012.8.23

목 차


- 12 -

노키아, 삼성, 소니 등 22개 사업자, 실내 지도 서비스 개발에 참여


글로벌 IT 기업, 와이파이(Wi-Fi) 및 블루투스 기반 실내 위치기반서비스(LBS) 개발을 위한 연합체 구성

❍ 글로벌 IT 사업자들, 실내 위치 정보 서비스를 개발하기 위한 연합체 ‘인로케이션

얼라이언스(In-Location Alliance)’ 발족(’12.8.23)

- 연합체는 단말기 제조벤더를 비롯해 반도체 제조벤더, 칩셋 제조벤더, 위치기반서비스 및

기타 소프트웨어 개발업체 등 22개 사업자들로 구성

- 사업자들은 각자 분야의 데이터와 기술을 기반으로 실내 위치기반서비스의 개방형

솔루션을 구축하는데 합의

< ‘인로케이션 얼라이언스’ 참여 업체 >

구분 업체명

단말기 제조벤더노키아(Nokia), 삼성, 소니(Sony),

프리맥스 일렉트로닉스(Primax Electronics)

반도체 및 칩셋 제조벤더

브로드컴(Broadcom), 퀄컴(Qualcomm),

다이얼로그 세미컨덕터(Dialog Semiconductor),

CSR, 노르딕 세미컨덕터(Nordic Semiconductor)

소프트웨어, 솔루션,

애플리케이션 개발업체

엡티사(Eptisa), 지오모바일(Geomobile),

제나시스(Genasys), 인드라(Indra), 인사이트오(Insiteo),

노매딕 솔루션(Nomadic Solutions), 노르딕 테크놀러지

그룹(Nordic Technology Group), 나우온(NowOn),

라피드블루 솔루션(RapidBlue Solutions), 솔레인

이노베이션(Seolane Innovation), 팀액션존(Team Action

Zone), 비져글로브(Visioglobe)

기타 탬퍼실(TamperSeal)

※ 출처 : 스트라베이스

❍ 연합체 측은 와이파이와 블루투스 4.0 기술을 활용해 위치정보 정확성, 낮은 소비전력,

높은 이용 편의성까지 충족시키는 실내 지도 서비스 개발에 나설 계획

- 기존의 위치 정보 서비스는 GPS의 범위가 실내에까지 도달하지 않기 때문에 스마트폰을

통한 쇼핑몰, 스포츠 시설 내 위치 정보를 정교하게 파악하기 어려운 상황

- 그러나 와이파이 및 블루투스 4.0은 이미 대부분의 스마트폰에서 지원하고 있는 기술일

뿐만 아니라 소비전력도 낮다는 이점이 있음


- 13 -

- 연합체는 실내 위치 정보 서비스가 구축되면 실내 점포 및 사람의 위치정보까지

정확하게 파악할 수 있을 것으로 기대

2013년 시범 서비스 개시 예정...애플․구글의 자체 지도 서비스에 빛바랠 가능성도 높아

❍ 연합체에 참여하고 있는 제조벤더가 개발한 모바일 단말기에 해당 애플리케이션을 탑재하고

2013년에 시범 서비스를 개시할 계획

- 노키아는 연합체 구축에 앞서 자체적으로 실내 지도 서비스인 ‘데스티네이션 맵(Destination

Map)'을 개발하고, 38개 국가 4,600개 건물에 대한 내부 위치 정보 서비스를 제공 중

- 따라서 노키아는 연합체의 서비스 개발을 주도할 것으로 예상되며, 출시를 앞두고 있는

윈도우8 기반 노키아 스마트폰이 시범 서비스 단말이 될 가능성도 높음

❍ 그러나 일부에서는 연합체의 지도 서비스가 강력한 경쟁 사업자들의 서비스에 밀려 빛을

보지 못할 것이라는 부정적 전망도 제기

- 특히 애플과 구글은 이번 연합체에 참여하지 않고 자체적인 지도 서비스를 개발 중

- 구글은 이미 와이파이 기반의 실내 맵(Indoor Maps) 서비스를 개발한 바 있으며, 애플

역시 최근 자체 지도 서비스 개발에 노력을 들이고 있음

- 글로벌 모바일 운영체제(OS) 시장을 주도하고 있는 구글과 애플이 각자 실내 지도

서비스를 출시해 시장을 선점할 경우, 연합체의 서비스가 미칠 영향력은 미미해 질

것으로 예상

[출처]

1. PC World, "Nokia, Samsung, Sony Join Forces to Improve Indoor Navigation", 2012.8.23

2. ZDNet, "Samsung and Nokia push for harmony on indoor mapping tech", 2012.8.23

목 차


- 14 -

자바 제로데이 취약점을 이용한 악성코드 급격히 전파

침해사고대응단 종합상황관제팀 송하영

개요

❍ 이뮤니티(Immunity), 시큐러트(Seculert) 등 보안업체는 웹 익스플로잇 툴킷인 ‘블랙홀’에 최신

자바 제로데이 취약점이 추가되어 다수의 악성코드 유포지를 통해 악성코드가 급격히

전파되고 있다고 분석(’12.8.28)

※ 웹 익스플로잇 툴킷(Web Exploit Toolkit) : 공격자들이 웹 공격을 위해 사용하는 취약점

공격(익스플로잇) 서버를 쉽고 빠르게 구축할 수 있도록 도와주는 자동화된 도구모음

※ 블랙홀 : 현재 사이버범죄에서 가장 많이 사용되고 있는 웹 익스플로잇 툴킷 중 하나로 모든 웹

위협 중 28%가 블랙홀 사용(소포스, ’12.4)

- 이에 오라클은 자사 제품 대상 자바 제로데이 취약점(CVE-2012-4681)를 비롯한

보안취약점 4개에 대한 패치 발표(’12.8.31)

주요내용

❍ 이번 자바 제로데이 취약점을 이용할 경우 윈도우, 리눅스, 맥 등 여러 운영체제(OS)와

PC, 모바일, IPTV 등 여러 플랫폼에 걸쳐 악성코드 유포 가능(이뮤니티, ’12.8.28)

※ 이번 자바 제로데이 취약점(CVE-2012-4681) 이전에는 자바 취약점(CVE-2008-5353)이 가장 많이

사용되었음

- 이번 자바 취약점에 사용된 버그는 ‘자바 7.0(11.7.28 발표)’에서만 동작하며, 자바 6 이하

버전에는 동작하지 않음

❍ 유명 웹 익스플로잇 툴킷인 ‘블랙홀’에 이번 자바 제로데이 취약점이 추가됨으로써 감염

성공률은 10%에서 24%로 증가(시큐러트, ’12.8.29)

- ‘블랙홀’ 익스플로잇 툴킷의 경우 성능이 높은 웹 익스플로잇 툴킷임에도 불구하고, 기존 악성

유포지에 접속하는 사용자 PC를 악성코드에 감염시키는 성공률이 10% 정도 밖에 되지 않음

- 하지만, 이번 자바 제로데이 취약점을 추가함으로써 성공률이 10%에서 24%로 증가

< 블랙홀 익스플로잇 툴킷의 감염 성공률 통계 >

※ 출처 : Seculert blog


- 15 -

❍ 한편, 침투테스트 도구로 자주 사용되는 메타스플로잇(Metasploit)에 이번 자바 제로데이

취약점을 이용한 모듈이 추가, 악용한 사례 발견(파이어아이, ’12.8.26)

- 대만 측에 호스팅하고 있는 도메인에서 유포되고 있으며. 익스플로잇에 성공하면 추가

악성코드를 내려받고 싱가폴에 위치한 C&C서버와 통신

※ 메타스플로잇(Metasploit) : 각종 보안 취약점을 점검할 수 있는 툴

※ C&C 서버 : 원격으로 좀비PC를 관리하여 공격명령을 내리는 서버

[출처]

1. Immunity, "Java 0day analysis (CVE-2012-4681)", 2012.8.28

2. Seculert, "New Java 0-day is the BlackHole King", 2012.8.29

3. Fireeye, "Zero-Day Season is Not Over Yet", 2012.8.26

4. The Register, "Super-critical Java zero-day exploits TWO bugs", 2012.8.30

목 차


- 16 -

164개의 안드로이드 애드웨어(Adware) 활동 중

침해예방단 연구개발팀 김병익

개요

❍ 美 보안업체 트렌드마이크로, 안드로이드 마켓에서 164개의 악의적인 애플리케이션 유포

확인(’12.8.27)

※ 애드웨어(Adware) : 사용자 의지와 상관없이 광고를 보여주는 악성 프로그램으로, 개인정보

유출 등의 문제가 발생할 수 있음

주요 내용

❍ 8월 12일부터 18일까지 약 1주일 동안, 안드로이드 마켓 3곳에서 제공되는 애플리케이션

중 164개의 애플리케이션이 악의적 행위를 할 수 있는 애드웨어로 확인됨

- 구글플레이(Google Play), 지팬(GFan), 엔도(Nduo) 3곳의 안드로이드 마켓 분석결과, 중국

최대 안드로이드 애플리케이션 장터 지팬에 올려진 애플리케이션 중 117개의 애플리케이션이

잠제적인 악성행위를 할 수 있는 애드웨어로 탐지(트렌드마이크로, ’12.8.27)

※ 각 마켓에서 중복된 애플리케이션들을 제거한 서로 다른 애플리케이션들을 비교한 결과

< 이용 가능한 악성 애플리케이션 탐지 개수(2012.08.12~18) >

※ 출처 : 트렌드마이크로(’12.8.27)

- 다양한 애드웨어 애플리케이션은 필요 이상의 권한을 요구하고 있으며, 이는 잠재적으로

악성 행위를 할 수 있는 기회를 제공

❍ 대부분의 애드웨어 애플리케이션을 유포하는 그룹(Provider)은 고정되어 있으며, 이런

애플리케이션 사용시 주의 필요

- 이번 조사에 따르면 약 5개의 그룹에서 애드웨어를 유포하고 있으며, 이 중 터치넷(TouchNet)의

경우 신규로 탐지


- 17 -

- 터치넷의 애플리케이션은 기존의 애드웨어와 다르게 광고뿐만 아니라 안드로이드 폰의

알림창에도 광고를 노출하는 기능을 가지고 있음

※ 사용자가 알림창 내용을 클릭할 경우 해당 광고가 다시 보임

< 지팬에서 유포되고 있는 터치넷의 애드웨어 샘플 화면 >

※ 출처 : 트렌드마이크로(’12.8.27)

[출처]

1. TrendMicro, "164 Unique Android Adware Still Online", 2012.8.27

2. CNet, "Spyware, Viruses, & Security Forum: NEWS - August 27, 2012", 2012.8.27

3. TrendMicro, "When Android Apps Want More Than They Need", 2012.8.28

목 차


- 18 -

페이스북, 개인정보 보호 법률 위반 혐의로 기소 위기

개인정보안전단 개인정보권익지원팀 고명석

독일 소비자보호연맹, 페이스북이 개인정보를 제공할 때 이용자의 명확한 동의를 얻도록

요구, 이 문제가 해결되지 않을 경우 페이스북에 법적 조치

❍ 독일 소비자보호연맹은 페이스북의 새로운 애플리케이션 센터가 이용자의 개인정보를

침해하고, 개인정보보호 법률을 위반하고 있다고 밝힘(IAPP, ’12.8.28)

※ 페이스북은 6월부터 애플리케이션 센터를 개설해 미국과 영국을 대상으로 서비스 제공 시작

- 페이스북 애플리케이션 센터에서 ‘Play Game’, ‘Send to Mobile’ 버튼을 누르는 것은 곧

이용자가 자신의 개인정보 데이터를 제공하는데 동의한 것으로 간주

- 독일 소비자연맹은 개인정보 동의절차가 명확하지 않기 때문에, 페이스북 이용자들이

개인정보 공유에 동의하는 과정과 자신의 개인정보가 어떻게 이용되는지 등을 제시 할

것을 요구

- 또한 페이스북의 새로운 애플리케이션 센터가 이용자로부터 개인정보 제공과 관련하여

명확한 동의를 받을때 까지 애플리케이션 제공자에게 이용자의 개인정보 제공 중지 요청

※ 이 문제를 9월 4일까지 해결하지 않을 경우 페이스북에 대해 법적 조치를 고려한다고 밝힘

❍ 페이스북 독일 대변인은 이 사건에 대해 조사 중이라고 밝히며, 자세한 답변은 거부

< 페이스북 앱 센터 스냅샷 >

※ 출처 : facebook

독일 정보보호청, 페이스북 일부 서비스의 개인정보 법규 위반 판정

❍ 독일 함부르크 정보보호청은 페이스북이 제공하는 사진 태그 등 일부 서비스의 정책이

독일과 EU의 법규와 어긋난다고 밝힘(’12.8.15)


- 19 -

※ 페이스북 태깅 서비스 : 이용자가 업로드한 사진에 등장하는 사람이나 사물에 태그를 달면 태깅

정보가 페이스북 친구 등 다른 이용자에게 전달되는 서비스

- 독일과 EU의 개인정보 보호 법률은 이용자의 동의 없이 사진을 비롯한 생체인식데이터를

저장하지 못하도록 함

※ 페이스북의 해당 서비스는 opt out 방식을 이용해 이용자가 거부하지 않으면 자동으로 설정

※ Opt out : 수신을 동의한 경우에만 발송하는 것(Opt in)과 달리, 발송 후 받는 사람이 수신을

거부하면, 그 뒤로는 보낼 수 없도록 하는 방식

- 따라서 페이스북은 사진 속 모든 이용자의 동의를 받지 않는 한 데이터를 삭제해야 함

[출처]

1. IAPP, "Consumer Group Tells Facebook To Fix App Centre", 2012.8.28

2. CBSNEWS "Facebook accused of violating privacy laws by German advocacy group",

2012.8.28

목 차


- 20 -

어도비, 미국의 스마트폰 ․ 스마트패드 등 모바일기기 이용 행태 발표

정책연구실 조사분석팀 황혜선

개요

❍ 어도비(Adobe), 미국 내 스마트폰․스마트패드 등 모바일기기 이용 행태 조사결과 발표(’12.8)

※ 조사명 : 2012 Mobile Consumer Servey Results

※ 조사대상 : 미국 내 18-64세 모바일기기 이용자 1,200명

※ 조사기간 : 2012년 5월

주요 결과

❍ 조사 결과, 스마트패드보다 스마트폰 이용자가 더 많고, 두 매체 모두 보유하고 있는

경우에는 스마트폰을 주로 이용하는 것(88%)으로 나타남

- 안드로이드 스마트폰 이용자가 51%로 가장 많으며, 전 연령대(18-29세 58%, 30-49세

50%, 50-64세 38%)에서도 안드로이드 스마트폰 이용자가 많은 것으로 조사

- 애플 아이패드는 젊은 층(18-29세 27%, 30-49세 31%)에서 주로 이용하고 있는 반면, 킨들

파이어는 고연령대(50-64세 22%) 이용자가 많음

- 성별로는 플랫폼별 단말기 이용에 차이가 없는 것으로 나타남

❍ 스마트패드는 주로 ‘집(70%)’에서 이용하며 ‘이동 중’에 이용하는 경우는 24%에 불과

- 스마트패드 이용자의 31%가 일평균 1~4시간 스마트패드를 이용하며, 56%는 가족이나

친구 등 다른 사람들과 스마트패드를 함께 이용한다고 응답

- 스마트패드를 통해 지난 1년간 250달러 이상을 지출한 경우가 스마트폰보다 더 많은

것으로 조사

※ 아이폰 58% vs. 아이패드 62%, 안드로이드 스마트폰 53% vs. 안드로이드 스마트패드 56%

❍ 스마트폰, 스마트패드 등 모바일기기를 통해 주로 접속하는 소셜 미디어는 ‘페이스북(85%)’이며,

다음으로 ’트위터(35%)‘, ’구글 플러스(21%)‘ 등의 순

- 18-29세의 91% 및 30-49세의 87%가 모바일기기를 통해 소셜 미디어에 접속하는 것으로 나타남

- 소셜미디어 이용자의 56%가 매일 소셜미디어에 접속하며, 대부분 상태 업데이트를 읽기

위해 소셜미디어를 이용(86%)하는 것으로 조사


- 21 -

< 모바일기기를 통한 소셜미디어 이용 현황 >

※ 출처 : Adobe('12.8)

❍ 모바일광고 클릭률은 웹사이트(42%)와 모바일앱(37%) 간에 큰 차이가 없는 것으로 나타남

- 남성 모바일기기 이용자의 모바일광고 클릭률은 42%로 여성(32%)보다 높은 것으로 조사

- 모바일 기반 활동은 모바일 광고를 소비자가 클릭할 때만 제공(웹사이트 73%, 모바일앱 77%)

❍ QR코드나 위치기반서비스, AR등의 융합 기술 서비스는 주로 저연령대가 이용하는 것으로 조사

※ QR(Quick Responce)코드 : 바코드보다 훨씬 많은 정보를 담을 수 있는 격자무늬의 2차원

코드로, 스마트폰으로 QR코드를 스캔하면 각종 정보를 제공받을 수 있음

※ 위치기반서비스(Location-based Service) : 이동통신망이나 위성항법장치(GPS) 등을 통해 얻은

위치정보를 바탕으로 이용자에게 여러 가지 서비스를 제공하는 시스템

※ AR(Augmented Reality) : 실세계에 3차원의 가상물체를 겹쳐서 보여주는 기술을 활용해 현실과

가상환경을 융합하는 복합형 가상현실

- 융합 기술 서비스 중 QR코드 이용이 가장 많으며, 지난 3개월간 QR 코드를 이용한

경우는 18-29세가 38%, 30-49세는 40%인 것으로 나타남

- 위치기반서비스는 주로 ‘체크인’ 서비스를 통해 이용되는 것으로 나타났으며, 18-29세의 35%가 이용

- AR은 여전히 초기 단계에 머무르고 있으며 18-29세의 19%만이 이용 경험이 있는 것으로 조사

[출처]

1. INTERNET2GO, "Survey: Most Consumers Using Tablets 1 to 4 Hours Daily", 2012.8.15

2. Adobe, "Adobe 2012 Mobile Consumer Survey Results", 2012.8.1

목 차

Documents

Internet Weekly | 2012. 9월 1주 (9/6)KISA Internet Weekly 9월 1주(20120906) - 2 - 관련 법제 적용대상 주요내용 기본지침 + , - .-/ 제" 조 공중 전자통신 네트워크