Post on 29-Jan-2020
2014년 3월 2주 (3/13)
1 04 유럽위원회(EC), 커넥티드카 표준화를 위한 초기 작업 완료
06 미국 공공 영역의 빅데이터 활성화 수준, 여전히 미흡
08 싱가폴 정부, 온라인 상 괴롭힘에 대한 처벌 관련 법 개정안 상정
10 페이스북, 모바일 메시징 회사 왓츠앱 인수 발표
2 13 日 총무성, 클라우드 서비스 보안 가이드 라인(안) 공개
16 EC-구글 반독점 위반 분쟁 종료
18 호주정부, 2014년 3월 12일부터 개인정보보호법 수정안 발표
20 파이어아이, 아이폰 및 아이패드 사용자 감시가 가능한 보안 취약점 발견
3 23 日 라쿠텐, 무료 메신저 Viber 인수
4 2014년 3월 2주
유럽 위원회(EC), 커넥티드
카 표준화를 위한 초기
작업 완료
유럽위원회(EC), 커넥티드 카 표준 초안 확정
l 유럽전기통신표준화기구와 유럽 표준화위원회가 커넥티드 카 표준화를 위한 초안 작성 완료(‘14.2.12)
※ 유럽전기통신표준화기구(ETSI, European Telecommunications Standards Institute) : 유무선 통신, 방송, 첨
단 교통, 의료 전자 등 정보통신 전반에 대한 유럽표준을 제정 및 총괄 조정하는 표준화 기구
※ 유럽 표준화위원회(CEN, Comité Européen de Normalisation) : 유럽 지역의 무역 촉진을 목표로 유럽
표준 이행을 촉구하는 비영리 국제연합
커넥티드 카 산업 활성화를
위한 범유럽 차원의 정책 전개
본격화
정책연구실 정책기획팀
지능형 교통 시스템에 관한 제6차 유럽전기통신표준화기구 워크숍(‘14.2)에서 커넥티드 카 대중화를 위한 ‘통합 지능형 교통 시스템(Cooperative Intelligence Transport Systems, C-ITS)’ 표준안 구성을 마쳤다고 발표
l 유럽위원회는 2008년 ‘유럽의 지능형 교통 시스템 전개를 위한 액션 플랜(Action plan for the deployment of ITS in Europe)’을 발표하며 커넥티드 카 표준화 작업 본격화 해당 액션 플랜에 따라 유럽위원회는 유럽전기통신표준화기구, 유럽 표준화위원회, 유럽
전기기술표준화위원회 등 주요 유럽표준화기구와 커넥티드 카 표준안 작성을 명령 ※ 유럽전기기술표준화위원회(CENELEC, Committee European de Normalisation Electrotechnique) : 유럽
지역에서 전기기술분야의 표준제정을 담당하기 위하여 1973년 설립된 민간표준기구
이후, 수행 기관 조정 과정에 유럽전기기술표준화위원회가 제외되면서 유럽전기통신표준화기구·유럽 표준화위원회가 커넥티드 카 표준화 작업을 주도
l 유럽전기통신표준화기구와 유럽 표준화위원회는 이번에 확정된 커넥티드 카 표준 초안에 관한 구체적인 세부 내용은 미공개 2009년 10월 발표된 유럽위원회의 명령에 근거할 때, 해당 표준 초안에는 차량 간 통신
(V2V), 및 차량 대 도로 인프라 간 통신(I2V, V2I)과 도로 인프라 간 통신(I2I) 규격을 규정하고 있을 것으로 예상
이와 관련해 유럽전기통신표준화기구와 유럽 표준화위원회는 해당 표준 초안에는 서로 다른 제조사의 커넥티드 카 간 원활한 통신을 보장하기 위한 사항들이 중점적으로 논의되고 있다고 설명
그 외에도 커넥티드 카 시스템 규격 및 구현과 관련된 가이드라인이 해당 표준 초안에 포함되어 있을 것으로 분석
l 유럽전기통신표준화기구와 유럽 표준화위원회는 기존 표준 초안을 세밀하게 조정하고, 보다 복잡한 활용이 가능하도록 하는 2차 표준화 작업에 이미 돌입했다고 설명 2차 표준화 작업은 자동차 업체 및 도로 인프라 운영 사업자의 의견이 반영될 예정
또한, 유럽이 개발한 커넥티드 카 표준안이 전 세계적으로 통용될 수 있도록 국제 표준화기구, 미국전기전자학회, 미국자동차기술자협회 등과의 협력도 계획
※ 국제표준화기구(ISO, International Standardization Organization) : 지적 활동이나 과학·기술·경제
활동 분야에서 세계 상호간의 협력을 위해 1946년 설립한 국제기구
※ 미국전기전자학회(IEEE, Institute of Electrical and Electronics Engineers) : 세계 최대의 전기, 전자,
전기통신, 컴퓨터 기술 분야의 학회
※ 미국자동차기술자협회(SAE, Society of Automotive Engineers) : 1905년에 설립된 것으로서 자동차를
중심으로 수송 기술을 연구하는 학술 단체
5 2014년 3월 2주
커넥티드 카 산업, 미래 유럽 경제 성장의 핵심 동인으로 부상
l 유럽위원회는 이번 커넥티드 카 표준화의 진전이 유럽 경제 성장에 긍정적인 파급 효과를 가져 올 것이라고 주장
현재 1,300만 개에 이르는 일자리를 창출하고 있는 유럽 자동차 업계가 차세대 자동차 개발 경쟁의 선두에 서게 되면서 제2의 성장을 맞이하게 될 것이라는 설명
l 뿐만 아니라 유럽위원회는 커넥티드 카 표준화가 이루어질 경우 사회적 비용 역시 극적으로 감소할 것으로 예상
도로 주행 시 요구되는 각종 교통 정보 제공을 통해 교통 정체나 사고 발생으로 인한 비용을 완화시킬 수 있다는 것
l 이에 따라 유럽은 커넥티드 카 활성화를 위해 표준화 작업 외에도, 관련 기술 개발을 위한 각종 연구 프로젝트를 진행하고 있으며 제도적 기반 마련에도 주력 일례로 EU는 혁신 프로그램을 통해 2002년부터 현재까지 커넥티드 카 산업 활성화를
위한 40여개의 과제에 1억 8,000만 달러(약 2천억원)를 투입
또한 2010년 7월에는 유럽 전역의 교통 인프라 구축 과정에서 커넥티드 카를 우선적으로 고려하도록 하기 위해 ‘지침 2010/40/EU(Directive 2010/40/EU)’를 발표
※ 지침 2010/40/EU(Directive 2010/40/EU) : 유럽 내 지능형 교통 시스템 개발 과정에서 교통
인프라와 차량 간 연결성을 강화하기 위한 작업이 우선적으로 진행되어야 한다는 내용
l 그러나 일각에서는 이번 표준 초안 제정을 비롯한 유럽의 공격적인 커넥티드 카 관련 정책들이 프라이버시 침해 문제를 발생시킬 여지가 크다고 지적 커넥티드 카를 사용할 경우 행선지, 운전 습관 등 차량 운행 시 발생하는 막대한 양의
데이터가 네트워크를 통해 유통
IT 매체 기가옴(GigaOM)은 만약 해당 데이터들이 노출되지 않기를 원하는 운전자가 존재함에도 불구하고 표준안 제정으로 차량 내 커넥티드 기능 탑재가 의무화될 경우 엄청난 반발이 발생할 수 있다고 지적
참고문헌1. Europa, "New connected car standards put Europe into top gear", 2014.2.122. European Commision, "Standardization mandate addressed to CEN, CENELEC
and ETSI in the field of information and communication technologies to support the interoperability of co-operative systems for intelligent transport in the European community'", 2009.10.6
3. ETSI, "CEN and ETSI deliver first set of standards for Cooperative Intelligent Transport Systems (C-ITS)", 2014.2.12
4. GigaOM, "Unlike the U.S., Europe doesn’t plan to mandate connected cars", 2014.2.12
6 2014년 3월 2주
미국 공공(Public) 영역의
빅데이터 도입 수준 여
전히 미흡
美 정부기관, 공공 영역에서의 빅데이터 도입 수준 조사 결과 발표
l IBM 정부 비즈니스 센터(IBM Center for the Business of Governement)는 미국 공공 영역에서의 빅데이터 도입 수준을 조사한 연구 보고서를 발간(‘14.2.9)
정부기관의 빅데이터 추진
시 보다 신중한 단계적 접근
필요
정책연구실 정책기획팀
美 아리조나 주립대학(Arizon State University)의 케빈 데소자(Kevin Desouza) 교수가 작성한 해당 보고서는 미국의 연방, 주, 지방 정부기관에서 빅데이터 활용 수준을 파악하기 위해 각 기관의 CIO와의 심층 인터뷰를 통해 조사를 수행
※ 인터뷰 대상은 연방 정부기관 소속의 CIO 6명, 주 정부 CIO 6명, 지방 정부 CIO
16명 등 총 28명으로 구성
l 해당 보고서는 CIO와의 인터뷰 내용을 정리한 결과를 바탕으로 美 정부기관의 빅데이터 도입과 관련해 10가지 특징이 있음을 확인
공공기관들은 이제 갓 빅데이터에 역량을 투입하기 시작한 초기 단계
빅데이터 개념이 조만간 사라질 유행과 같은 것으로 인식
최근 막대한 규모의 데이터를 관리하는 문제에 직면했으며, 데이터베이스 시스템 상에서 데이터를 취합하고 데이터 마이닝을 위한 분석 역량 구축에 고심 중
업무 절차의 간소화를 위해 빅데이터 프로젝트를 추진
기술 개발에 많은 투자를 하지 않는 상황
데이터 분석 역량을 포함해 전문 인력의 필요성을 토로
데이터 거버넌스(data governance)를 실현하기 위한 행동을 고려 중
빅데이터 프로젝트를 IT 부서에서 주도하는 것에 부정적
각 기관간의 협력적 리더십 구축이 성공적인 빅데이터 프로젝트로 연결된다고 믿고 있으며, 전체 프로젝트를 총괄할 워킹그룹(Working Group)의 필요성을 역설
검증된 자료를 기반으로 한 분석 및 의사결정에 점차 익숙해지는 추세
l 또한, 이번 보고서는 정부기관이 빅데이터 프로젝트 추진 시 거쳐야 할 3단계 절차와 세부 단계별 고려사항을 제시
‘계획(Planning)’ 단계에서 CIO들은 빅데이터 도입 이전에 관련 개념과 기술, 법제도 등에 대해 이해해야 하며, 전문가 협력 확보, 광범위한 기회 모색, 가장 단순한 프로젝트 선별, 전략적 역량 배치, 전담팀(TF) 수립, 빅데이터에 대한 거부반응 인지 등의 고려가 필요
‘실행(Execution)’ 단계에서 CIO들은 지속적인 프로그램 추진력 확보, 커뮤니케이션 활성화 등 실질적인 프로젝트 수행에 초점을 맞춰야 하며, 무엇보다 필요할 경우 프로젝트의 중단 및 전면 철회도 고려할 수 있는 과감함이 필요
‘사후관리(Post-Implementation)’ 단계에서는 프로젝트의 성과에 대한 면밀한 평가 작업이 수행되어야 하며, 이를 통해 추가적인 프로젝트 필요성을 파악하고 차기 작업을 준비
7 2014년 3월 2주
정부기관의 빅데이터 도입 절차 3단계
단계(Stage) 절차(Step)
계획(Planning)
1. 빅데이터에 대한 개념, 관련 비즈니스 및 법제도 현황 이해
2. 빅데이터 전문가와의 협력 관계 확보
3. 빅데이터 관련 광범위한 기회 모색
4. 가장 단순한 프로젝트 선별
5. 전략적 역량 배치 및 스폰서 확보
6. 데이터 활용에 있어 사생활 보호정책 확립
7. 프로젝트 추진을 위한 전담팀(TF) 수립
8. 빅데이터에 대한 거부의사 인지 및 대책 마련
9. 프로젝트 수행 전 핵심 추진 요건 확보
10. 리스크 완화 계획 설계
실행(Execution)
11. 빅데이터 프로그램의 지속적인 추진력 확보
12. 프로젝트 관련 커뮤니케이션 활성화
13. 프로젝트의 당초 취지에 대한 일관성 유지
14. 기술보다는 데이터에 초점 유지
15. 필요할 경우 과감한 프로젝트 중단 및 철회 결정
사후관리
(Post-Implementation)
16. 프로젝트 성과분석 및 영향력 분석
17. 차기 프로젝트 준비
※ 출처: IBM Center for the Business of Government(2014.2)
빅데이터 시장 태동기...정부의 빅데이터 도입은 점진적으로 신중하게 진행할 필요
l 빅데이터는 공공 영역에서 아직 새로운 분야이고 이제 갓 공공기관의 관리자들의 관심을 받기 시작한 상황, 각국 정부기관들은 데이터를 핵심적인 자원으로써 관리해야 함을 인지하기 시작
최근 일부 기관에서 크고 작은 빅데이터 관련 사업을 추진하고 있지만, 빅데이터라는 새로운 분야에 전혀 경험이 없는 기관도 적지 않으며, 이로 인해 빅데이터에 대한 잘못된 이해로 이어지는 상황
이번 보고서는 정부기관의 IT 부문을 책임지는 CIO들의 빅데이터에 대한 인식을 파악함으로써 기관들이 빅데이터 프로젝트를 준비하고 수행하는 과정에서 고려해야 할 사항을 제시했다는 점에서 의미를 가진 것으로 평가
참고문헌
1. FierceGovernmentIT, "Big data still nascent in public sector, finds study", 2014.2.12
2. Federal Times, "3 keys to make big data work", 2014.2.103. Government Executive, "Be Prepared: Big Data Is Not a Passing
Fad", 2014.2.124. IBM Center for the Business of Government, "Realizing the Promise of
Big Data", 2014.2.9
8 2014년 3월 2주
싱가폴 정부, 온라인 상
괴롭힘에 대한 처벌 관련
법 개정안 상정
싱가폴 내 온라인상 괴롭힘에 대한 대응책 마련 요구 증가
l 최근 몇 년 간 싱가폴 내 사이버불링 등 온라인 상 괴롭힘에 대한 대응 방안 마련 요구 증가
인터넷문화단 인터넷문화기획팀
- 싱가폴 여성단체는 ‘매리(Mary)’라는 30세 여성이 이메일, 페이스북 메시지, 문자로 사이버 스토킹을 당하며 이슈가 됨에 따라 싱가폴 현행법상 사이버스토킹에 대한 처벌 규정이 모호하다며 문제 지적
※ 2012년 마이크로소프트가 발표한 조사 보고서에 따르면, 전세계에서 사이버불링이 가장
만연한 국가들 중 하나로 싱가폴을 언급
- 싱가폴 법무부에 따르면, 싱가폴 국민의 85%가 ‘괴롭힘(harassment)’에 대하여 보다 강력한 조치가 필요하며, 71%가 신체적인 괴롭힘 뿐만 아니라 ‘온라인 괴롭힘(online harassment)’에도 법이 적용되어야 한다는데 동의를 표함
l 이에, 싱가폴 법무부와 내무부는 다양한 이해관계자를 만나 자문을 구하며 방안을 모색
- 법무부 장관과 내무부 장관은 ‘여성을 위한 행동 및 리서치 협회(AWARE)’과 아동 단체 CABCY(Coalition Against Bullying for Children and Youth), 피해자 대변 변호사 등 다양한 이해관계자로부터 자문을 구함
싱가폴 정부, 사이버불링 등 온라인 상 괴롭힘에 대해 처벌 가능한 법개정안 상정
l 이번 개정안은 ‘괴롭힘’의 범위를 온라인으로 확대, 가해자 처벌 강화의 내용을 담고 있음
- 싱가폴 법무부는 기존 현행법인 기타 범죄법(Miscellaneous Offence)내용을 일부 개정한 「괴롭힘 보호법(안) 2014」(Protection from Harassment Bill 2014)을 국회에 상정(’14.2.26), 법안 독회(’14.3.3)
- 현행 기타범죄법(Miscellaneous Offence)에서는 괴롭힘의 수단을 협박, 욕설, 모욕적인 말이나 행동, 눈에 보이는 표현으로 한정하였지만, 개정안에서는 그러한 말이나 행동, 커뮤니케이션이라고 정의하여 그 범위를 확대
※ 커뮤니케이션(Communication)’ : 누군가가 듣거나 보거나 인지할 수 있는 말, 이미지,
메시지, 표현, 상징 또는 그 밖의 것
- 또한 개정안에서는 현행법과 달리 징역형을 추가하여 처벌 범위도 확대
현행법과 개정안의 ‘고의적인 괴롭힘(Intentional harassment, alarm or distress)’ 비교
구분 내용
현행법
Section 13A
공공장소나 사적인 공간에서 타인에게 고의적으로 (a)협박, 욕설,
모욕적인 말이나 행동을 하거나 또는 (b)협박, 욕설, 모욕적인 글, 서명
또는 눈에 보이는 표현을 게시하여 타인을 괴롭히고, 불안이나 고통을
느끼게 한 자는 $5,000 이하의 벌금형에 처할 수 있다.
개정안
Section 3
(1). 어떤 사람도 타인에게 고의적으로 어떤 수단 (a)협박, 욕설 또는
모욕적인 말이나 행동을 하거나 또는 (b)협박, 욕설, 모욕적인 커뮤니 케
이션을 하여 타인을 괴롭히고 불안이나 고통을 느끼게 해서는 안된다.
(2). 앞의 (1)항을 위반한 자는 유죄이며, $5,000 이하의 벌금형 또는
6개월 이하의 징역형 또는 복수의 법적 책임을 질 수 있다.
※ 출처 : Parliament of Singapore, “Protection from Harassment Bill”
9 2014년 3월 2주
현행법과 개정안의 ‘괴롭힘(harassment, alarm or distress)’ 내용 비교
구분 내용
현행법
Section 13B
공공장소나 사적인 공간에서 타인에게 (a)협박, 욕설, 모욕적인 말이
나 행동을 하거나 또는 (b)협박, 욕설, 모욕적인 글, 서명 또는 눈에
보이는 표현을 게시하여 타인을 괴롭히고, 불안이나 고통을 느끼게
한 자는 $2,000 이하의 벌금형에 처할 수 있다.
개정안
Section 4
(1). 어떤 사람도 타인에게 어떤 수단-(a)협박, 욕설 또는 모욕적인
말이나 행동을 하거나 또는 (b)협박, 욕설, 모욕적인 커뮤니케이션을
하여 타인을 괴롭히고 불안이나 고통을 느끼게 해서는 안된다.
(2). 앞의 (1)항을 위반한 자는 유죄이며, $5,000 이하의 벌금형에
처할 수 있다.
※ 출처 : Parliament of Singapore, “Protection from Harassment Bill”
l 또한, 이번 개정안은 현행법상 규정되어 있지 않은 피해자 ‘보호명령’과 위법행위의 가해자나 피해자가 싱가폴 외부에 있는 경우에도 일정 조건 하에서 법원이 사법권을 갖는다고 내용을 추가
(보호명령) 피해자는 지방법원에 ‘보호명령(Protection Orders)’을 신청할 수 있으며, 법원은 일정 요건들을 검토하여 보호명령 조치를 취할 수 있음
또한 위급한 상황에서는 피해자에 대한 긴급 보호명령이 승인될 수 있음
(사법권) 피의자 혹은 피상고인이 싱가폴에 있으면서 타국에 있는 싱가폴 국민에게 법안에 명시된 위법 행위를 하였다면 법원은 이에 대한 사법권을 가짐
피의자 혹은 피상고인이 싱가폴 밖에서 싱가폴 내부에 있는 국민에게 고의적인 괴롭힘, 불안, 고통 유발과 관련된 위법행위를 한 경우, 법원은 일정 조건 하에서 이에 대한 사법권을 가짐
※ 일정 조건이란, (a)통해 피해자에게 괴롭힘, 불안, 고통을 유발시킬 수 있는 말이나 행동
등의 가해 행위가 이루어졌을 때 해당 피해자가 싱가폴에 있으며, (b)피의자 혹은 피상고
인이 피해자를 괴롭힐 때 해당 피해자가 싱가폴 내에 있다는 것을 알고 있거나 알고 있는
것처럼 믿어지는 경우를 의미
참고문헌
1. Ministry of Law, “A new Protection from Harassment Bill to be introduced to strengthen the laws against harassment”, 2014.2.26.
2. Channel News Asia, “New harassment law could be enacted soon in S'pore”, 2014.2.26
3. Today Online, “Wide-ranging law to tackle harassment proposed”, 2014.2.27.
4. Yahoo News, “Proposed anti-harassment law to clamp down on cyber bullying in Singapore”, 2014.2.28.
5. Today Online, “‘Not easy’ to enforce proposed anti-harassment law”, 2014.3.1.
6. Parliament of Singapore, “Protection from Harassment Bill”, 2014.3.3
10 2014년 3월 2주
페이스북, 모바일 메시징
회사인 왓츠앱(Whatsapp)
인수 발표
데이터마이닝 및 마케팅 활용
가능성 등 개인정보 이슈 확산
개인정보보호단
개인정보보호기획팀
페이스북, 190억 달러에 모바일 메시징 회사인 왓츠앱(WhatsApp) 인수
l 페이스북은 자사 홈페이지를 통해 모바일 메시징 회사인 왓츠앱(WhatsApp) 인수 사실을 발표(‘14.2.19)
페이스북은 왓츠앱 인수 비용으로 160억 달러 가량의 현금과 주식을 지불하는 한편, 왓츠앱 설립자와 직원들에게 약 30억 달러의 스톡옵션을 지불하기로 결정
또한, 페이스북은 왓츠앱과 페이스북 메신저 애플리케이션을 별개의 독립된 애플리케이션으로 운영할 것으로 밝힘
l 왓츠앱은 OS에 관계없이 사용할 수 있는 미국의 모바일 메신저 애플리케이션으로, 전세계 4억 5천만명의 월간 이용자를 보유
※ 왓츠앱에 신규 등록하는 일일 이용자는 1백만 명, 왓츠앱에서 수·발신되는 메시지는 일
530억 건(발신 190억건, 수신 340억건)
모바일 시장조사 기관 On Device Research에 따르면, 지난 11월 미국 등 5개 국가 3,759명의 스마트폰 이용자(안드로이드, iOS)를 대상으로 모바일 메신저 이용률을 조사한 결과 왓츠앱은 중국을 제외한 4개 국가에서 높은 점유율 차지
국가별 모바일 메신저 이용 비율
※ 출처 : On Device Research(2013.11.25)
이는 카카오톡, 라인 등 다수의 모바일 메신저 앱들이 스티커, 게임 등의 플랫폼 서비스를 제공하는데 반해, 왓츠앱은 커뮤니케이션에 충실한 메신저 서비스 제공에 집중해 이용자들을 확보했기 때문인 것으로 판단
안드로이드 소셜 메시징 앱별 주간 평균 사용시간(분)
※ 출처 : mobidia, CNBC(2014.2.20.)
11 2014년 3월 2주
왓츠앱 인수에 따른 개인정보 관련 이슈 확산
l 왓츠앱과 페이스북은 왓츠앱 인수 후에도, 왓츠앱의 기본 정책은 변하지 않을 것이라고 입장 표명
잰 코움은 자사 블로그를 통해 이번 인수 건으로 기존 유료 서비스 모델 방식 및 광고 금지, 사용자 정보 공유 금지 정책이 변경되는 일은 없을 것이라고 밝힘
※ 왓츠앱 이용자는 초기 1년간 무료 사용기간이 종료되면 연간 99센트(약 1,100원)의 비용을 지불해야 함
l 왓츠앱과 페이스북의 입장 표명에도 불구, 두 기업의 합병에 따른 개인정보 침해 우려 확산
왓츠앱의 개인정보정책에 따르면, 이용자의 휴대전화 번호, 쿠키, 로그, 결제정보를 수집
왓츠앱은 고객 서비스 제공을 위한 사이트, 서비스 개선 등 행정 관리 등을 목적으로 하는 경우, 이용자의 추가 동의 없이 전화번호(또는 이메일 주소)를 활용할 수 있으며, 개인식별정보와 쿠키, IP주소 등도 이용할 수 있다고 명시
전 토르(Tor) 네트워크 개발자 루나 샌드빅(Runa A. Sandvik)은 왓츠앱의 개인정보정책에 따라 페이스북이 왓츠앱의 고객 데이터를 병합할 수 있다고 주장
※ 토르 네트워크(Tor Network) : 온라인 공간에서 개인 정보보호, 표현의 자유를 위한 익명성을
제공해 주는 가상 컴퓨터 네트워크
l 독일 슐레스비히-홀슈타인 주의 정보보호위원인 틸로 바이헐트(Thilo Weichert)는 왓츠앱 이용자들이 왓츠앱 대신 보안이 강화된 메시징 서비스로 바꿀 필요가 있음을 경고
바이헐트(Thilo Weichert) 위원은 왓츠앱이 암호화 구현 과정에 결함을 갖고 있으나, 현재까지 이에 대한 해결책을 투명하게 제시하지 않았다고 주장
또한, 바이헐트 위원은 왓츠앱과 페이스북이 기반을 두고 있는 미국의 경우, 정보보호법이 유럽보다 엄격하지 않다는 점을 지적, 왓츠앱과 페이스북이 유럽과 독일 정보보호 요건에 따르기를 거절했다고 밝힘
참고문헌
1. Facebook, “Facebook to Acquire WhatsApp”, 2014.2.192. WhatsApp, “Facebook”, 2014.2.193. WhatsApp, “Privacy & Terms”, 2012.7.7.4. On Device Research, “Messenger Wars: How Facebook lost its lead”, 2013.11.25 5. Forbes, "WhatsApp Comes Under New Scrutiny For Privacy Policy, Encryption
Gaffs", 2014.2.216. PCWorld, “German privacy regulator: WhatsApp users should switch to a more
secure service”, 2014.2.20
13 2014년 3월 2주
日 총무성, 클라우드 서비
스 보안 가이드라인 공개
日 총무성, 클라우드 서비스 보안 강화 위한 실무자용 가이드라인 공개
l 일본 총무성(Ministry of Internal Affairs and Communications, MIC)은 클라우드 서비스 제공에 관한 정보보호 대책 가이드라인의 초안을 공개하고 이에 대한 의견 모집을 시작(‘14.2.21)
클라우드 서비스 사업자와
이용자 간 접점을 중시한 보
안 지침 구성
정보보호산업단
정보보호산업지원팀
총무성은 2008년부터 ASP 및 SaaS 사업자를 대상으로 정보 보안 대책 가이드라인 제공하였으나, 공공 부문의 클라우드 서비스 활용확대 및 클라우드 서비스 연계 트렌드에 따라, 상응하는 신규 가이드라인이 요구
※ ASP(Application Service Provider), SaaS(Software as a Service) : 인터넷을 통해 이메일, 고객
관리, 재무 관리 등의 소프트웨어 기능을 제공하는 서비스
해당 가이드라인은 ASP와 SaaS 사업자 뿐만 아니라, IaaS, PaaS 등으로 범위를 확대
클라우드 서비스의 유형 분류
주요 특징 세부 내용
IT 자원
유형에
따른
분류
인프라
서비스
(IaaS)
- 스토리지, 서버, 메모리 등 컴퓨팅 인프라 구축에 필요한
가상 하드웨어 자원을 제공
플랫폼
서비스
(PaaS)
- 프로그램이나 애플리케이션을 개발하는데 필요한 툴이나
프레임워크 등을 제공
소프트웨어
서비스
(SaaS)
- 소프트웨어나 애플리케이션을 엔드유저(End-User)에게 제공
- 사용자는 소프트웨어를 직접 구매해 자신의 단말기에 설치하는
대신 웹 접속을 통한 임대 형태로 사용
l 이번 가이드라인은 클라우드 서비스 관리자 및 이용자 입장의 보안 강화를 위한 실무를 조직 및 자산 관리, 접속 제어, 암호, 운용보안 등 총 12개의 항목으로 분류해 상세 지침을 제시
ISO/IEC 27002에 기초해 정보보안 관리에 필요한 기초 지식을 보유하고 있는 클라우드 사업자를 가이드라인의 대상으로 상정
※ ISO/IEC 27002 : 보안관리 통제 관련 실행지침에 해당하는 정보보안관리체계
(Information Security Management System, ISMS) 국제표준 항목
이들의 이해를 돕기 위해 기존의 ISO/IEC 27002:2013와 동일하게 목차를 구성하고, 기타 자료를 참조해 일부 항목을 새롭게 추가
가상화 기술 적용, 감사 및 인증 취득, 모바일 단말용 클라우드 서비스, 운용관리 등에 필요한 실무 지침이 추가된 항목에 포함
현재 日 경제산업성은 2011년 발표한 ‘클라우드 서비스 이용을 위한 정보보안 관리 가이드라인’에 기초해 ‘ISO/IEC 27002에 기반한 클라우드 컴퓨팅 서비스 보안 관리책의 실천규범’을 작성 중이며, 2015년 발표할 예정
따라서 이번 가이드라인은 경제산업성의 가이드라인과 내용이 중복되지 않도록 클라우드 서비스 사업자와 이용자와의 접점에서 발생할 수 있는 보안 관련 이슈에 대한 실무상의 대응책 제시에 중점
14 2014년 3월 2주
클라우드 서비스 보안 관련 기존 가이드라인과 이번 가이드라인의 관계
※ 출처: 日 총무성
가이드라인을 통해 일본 ICT 공급체인 상 클라우드 사업자들의 보안 관련 책임 및 역할을 특정
l 이번 가이드라인은 클라우드 서비스 사업자와 이용자간 접점에서 발생하는 보안 이슈 관련 실무 지침을 크게 다섯 가지로 상정
클라우드 이용자가 능동적으로 데이터에 대한 통제력을 확보할 수 있도록 하기 위한 실무 지침이 필요
클라우드 서비스의 보안 확보를 위한 기술적인 측면의 대응책(가상화 기술을 기반 서비스 제공, 클라우드 용량 관리 및 백업 등) 마련 및 선택을 요구
클라우드 서비스 제공 시 발생할 수 있는 클라우드 사업자와 이용자 간 컴플라이언스 위반을 방지하기 위한 대책 마련을 강조
클라우드 서비스 제공의 각 단계에 있어 클라우드 사업자 측에서 이용자 측에 서비스 관련 정보 및 개인정보보호 지침을 공개할 것을 요구
클라우드 사업자와 이용자에 의한 인증 취득, 보안사고 발생 시 증거 수집 등의 대응책 마련 등 이용자들의 데이터 자산 보호 관련 실무 지침 필요
l 총무성은 이번 가이드라인을 통해 일본의 클라우드 서비스 사업자들이 클라우드 보안과 관련된 기초적 개념과 정의를 이해하고, 가이드라인의 구성과 관련 표준 및 유사 가이드라인과의 관계를 숙지할 것을 요구
나아가 이번 가이드라인이 ICT 공급 체인의 일부를 구축하고 있는 클라우드 서비스 사업자와 타 분야 공급자들 간의 보안 관련 역할 분담 체계 확립에 활용될 것을 희망
또한, 클라우드 서비스 인프라 전반에 요구되는 고도의 정보보안 기술 실현에 있어서는 일본보안감사협회의 ‘클라우드 정보보안 관리기준’을 참조할 것을 명시
15 2014년 3월 2주
본문 구성 안내
영 역 세부 항목
6. 정보보호를 위한 조직6.1 내부조직6.2 모바일 기기와 원격 근무6.3 클라우드 서비스 이용자와 사업자의 관계
8. 자산 관리8.1 자산에 대한 책임8.2 정보 분류
9. 접근 제어
9.1 접근 제어에 대한 업무 요구사항9.2 이용 액세스 관리9.4 시스템 및 애플리케이션의 접근 제어9.5 공유된 가상화 환경에서의 사용자 데이터에 대한 접근 제어
10. 암호화 10.1 암호화에 의한 관리 방법
12. 운영 보안
12.1 운영 절차와 책임12.2 멀웨어로부터 보호12.3 백업12.4 로그 검색 및 모니터링12.5 운영 소프트웨어 관리12.6 기술적 취약성 관리12.7 정보 시스템 감사에 대한 고려 사항
13. 통신 보안13.1 네트워크 보안 관리13.2 정보의 전송
15. 공급업체 관계15.1 공급자 관계에서 정보보호15.2 공급자의 서비스 제공 관리
16. 정보보호 사고관리 16.1 정보보호 사고관리 및 개선17. 비즈니스 연속성
관리의 정보보호 측면17.2 중복성
18. 준수18.1 법적 및 계약 요구사항 준수18.2 정보보호 검토
참고문헌
1. 総務省, “「クラウドサービス提供における情報セキュリティ対策ガイドライン」(案)に対する意見募集”, 2014.2.21
2. 総務省, “クラウドサービス提供における情報セキュリティ対策ガイドライン~利用者との接点と事業者間連携における実務のポイント(案)”, 2014.2.21
3. Security Next, “総務省、クラウドサービスのセキュリティ対策ガイドライン案で意見募集”, 2014.2.24
16 2014년 3월 2주
EU-구글 반독점 위반
분쟁 종료
EU(유럽연합), 구글 검색독점 개선안 수용 및 반-독점 위반분쟁 조사
l EU Competition Commission은 2010년 마이크로소프트를 포함한 검색 관련 18개 업체가 구글을 반독점법 위반 혐의로 소송을 제기, 이에 관한 조사를 진행하였음
※ 마이크로소프트 포함 18개 업체로 구성된 ‘페어서치(FairSearch)’협회가 ’10년 구글을
유럽위원회에 제소하면서 시작
정책연구실 정책기획팀
송동현 선임
구글은 자사 광고 링크와 서비스를 우선 검색결과로 보여주기 위해 경쟁업체 상위 노출을 제한하는 알고리즘을 사용, 막대한 부당이득을 챙긴 혐의로 제소됨
※ 제소당시 구글은 유럽 검색시장의 75%를 점유하고 있었으며 현재('14.1월 기준) 90%의
시장 점유율을 보이고 있음
l 구글, EU 측에 총 3차례의 검색시장 정상화 방안에 관한 개선안 제출
구글 제출 검색서비스 개선안(제1차~제3차) 주요내용 및 구글 개선안의 EU 수용여부
구분구글 제출 검색서비스 개선안
주요내용구글 개선안의 EU 수용여부
제1차(‘13.07)
o 광고와 유튜브·구글지도 등 자사
서비스를 별도로 묶어 노출
o 경쟁 침해행위 불식요건 미달
<수용거부>
제2차(‘13.09)
o 검색 결과 페이지에 경쟁업체의
로고가 나타나는 것을 허용
o 공정시장형성요소 미달
<수용거부>
제3차(‘14.01)
o 검색 결과 페이지에 경쟁업체
서비스가 동등하게 나오도록
시스템을 변경
o 개선안 잠정적 수용
o 5년 유예기간, 수행여부 관찰
구글은 지금까지 개선안을 2차례 제시하였으나, EU 측은 개선안 내용이 검색 시장 정상화를 위한 방안으로는 부족하다 판단하여 채택을 거부
EU는 구글이 제출한 제1~2차 개선안의 시장 테스트를 위해 200개 이상의 관련사업자 및 이해관계자집단들로부터 개선안에 대한 의견 수렴 ※ 유럽 연합법 9조에 근거, 조사위원회는 반독점관련 개선안 채택 전 소송과 관련한 이해관계
자들과의 협의아래 한 달 동안 개선안의 적합성 관련 의견수렴과정을 거쳐야함
EU는 제1~제2차 개선안과 관련하여 진행된 시장 테스트에 근거해 구글의 제3차 개선안 평가를 진행 ※ EU가 구글의 개선안을 받아들이지 않았을 경우 구글에게 연 매출액의 10%를(한화 5조 3천억원)
벌금으로 추징할 예정이었음
구글, 제3차 개선안 통과 관련 공식입장 및 개선(안) 전문 공개(`14.2.14)
l EU가 수용한 제3차 개선안에서는 구글 검색 결과 페이지에 최소 3개 경쟁업체 서비스가 모두 나오도록 시스템을 변경한다는 내용이 포함
특히, 구글은 앞으로 자사 광고와 관련된 검색 결과에만 사진정보를 제공하던 방식에서 경쟁업체와 관련된 사진정보를 결과에 동등하게 제공하며, 이러한 사항은 구글 모바일 검색엔진에도 적용할 예정
17 2014년 3월 2주
이를 위한 후속조치로서 EU는 법률 전문가(1인 이상)를 임명하여 5년간 유예기간 동안, 구글의 결정 사항 이행 여부를 지속적으로 관찰할 예정
l 또한 구글은 다음과 같은 세부 개선방안을 제시
(검색방식 수정) 검색결과 디스플레이 방식의 변경 및 결과값에 노출될지 여부를 선택할 수 있는 옵트아웃 신청서를 온라인상에 의무적으로 제공
‧ 구글은 일반검색결과(Generic Research Results)페이지에 함께 제공되는 특정검색결과(Google Specialized Result)값의 제공(Display)방식을 수정
‧ 구글은 EU 협의안 실행 3개월 이내에 웹사이트 소유자가 구글에서 검색되어 결과값에 노출될지 여부를 선택할 수 있는 옵트아웃(opt-out)신청서를 온라인상에 의무적으로 제공하도록 함
(애드센스(Adsense For Search)관련 개선) 애드센스 광고를 게재하는 웹사이트 소유주들이 애드센스와 계약하지 않은 광고를 동시에 게시할 수 있도록 허용
(애드워즈 API (Adwords API)관련 개선) 구글은 애드워즈 API 사용조항을 삭제하기로 하여 다양한 검색 플랫폼에서 동일한 광고기획을 할 수 있는 계기를 마련
‧ EU 협의안 이행시점 3개월 내에, 구글은 애드워즈와 관련한 계약서에 API 조항을 삭제하기로 함
‧ 완화되는 애드워즈 API와 관련된 조항은 소프트웨어 개발자들이 다양한 검색 플랫폼에서 동일한 광고기획을 할 수 있게 함
(공식이행 기준 일시(Effective Date)) 위원회가 발행한 공식통지서를 받은 날부터 이행
※ 법적근거: Article 9 of Council Regulation(EC) No 1/2003
(협의안 이행 기간(Duration)) EU가 정한 협의안 공식이행 시기부터 5년 3개월
(모니터링(Monitoring) 협의안) 구글은 EU 위원회의 사전허락 하에 법률 전문가를 임명하며, 위원회가 승인한 활동계획서의 임무에 따라 구글 개선안 실행여부 조사‧보고 수행
참고문헌
1. EU Press relases database, “Antitrust: Commission obtains from Google comparable display of specialised search rivals- Frequently asked questions”, 2014. 2. 5
2. Google Europe Blog, “Settlement with the European Commission”, 2014. 2. 14.3. ZDNet, “Google faces $5B antitrust fine in India — but this time it can't settle”, 2014. 3. 10
18 2014년 3월 2주
호주 정부, 2014년 3월 12일부터 개인정보보호법 수정안 발효
개요
l 호주 개인정보보호 위원회는 보안대책 및 관리미흡으로 개인정보가 유출된 조직에 대해 처벌이 가능한 개인정보보호법 수정안을 3월 12일 부로 시행할 예정이라고 발표(`14.3.5)
※ 호주의 개인정보보호법 수정안은 법률 수정 위원회를 통해 권고(‘08년)되어, `11년에 통과
되었으며, `14년 3월 12일에 발효 예정인프라보호단 전자정부보호팀
주요 내용
l 호주 정부는 민감한 고객의 데이터를 보호하기 위한 적절한 보안 대책을 적용하도록 지시
- 개인정보보호 사무국은 민감한 고객 데이터 보호 대책에 소홀한 조직에 대해 정부의 감사를 받을 가능성이 더욱더 높아질 것이라고 언급
- 또한, 연방 정보위원회 티모시 필그림(Timothy Pilgrim)에 따르면, 이번 법규는 즉시 시행될 것이며, 적용기한 연장은 없을 것이라고 밝힘
l 개인정보보호법 수정안은 호주 정부기관 및 연간 매출 3백만 달러 이상의 민간기업에 적용되나, 연 매출 3백만 달러 미만에 포함되는 비즈니스 영역에 대해서도 상세히 기술하고 있음
※ 건강관련 서비스, 아동관리센터, 사립학교, 사립교육기관, 전력/수도/통신 서비스, 신용정보제공
서비스, 공공 계약 서비스 등의 비즈니스 영역을 기술
l 또한, 개인 정보의 마케팅 목적의 사용 및 공개(7조)와 국경을 넘어선 개인정보의 공개(8조) 등을 포함하여 기존 개인정보보호법과 차이점 존재
- 공공 및 민간영역의 개인정보보호법 준수 평가를 수행, 개인정보보호 조치 위반에 대한 벌금 부과 등 호주정보위원회(OAIC)의 감독권한이 상승함
※ OAIC : The Office of the Australian Information Commissioner
l 개인정보보호 사무국은 3월 12일부터 신속하고 엄격하게 법을 집행하고, 법을 준수하지 않은 조직에 대해 법정 판례를 통한 선례를 남기고 싶다는 입장 표명
- 작은 규모의 조직은 큰 규모의 조직에 대한 판결을 고려하지 않는 경우가 많으며, 이런 이유로 사무국은 법을 위반하는 첫 번째 사례를 찾기 위해 노력할 것
- 수정법안의 강제적 접근법을 통해 호주 정부기관과 기업이 새로운 요구사항을 반영해야 한다는 것을 인지하게 만들 것
l 은행, 보험, 통신사업자 등 큰 규모의 조직의 경우, 이번 개인정보보호법 수정안을 반영하기 위해 노력할 것이나, 조직의 규모가 작은 중소기업의 경우, 수정안 준수를 위한 노력이 없을 것으로 판단
19 2014년 3월 2주
- 호주 정보위원회는 작은 규모의 조직이 법규 준수를 위해 ISO 보안 및 위험 표준을 참고할 수 있으며, 침해사고 발생시 자발적으로 사용자와 사무국에 위험을 고지하는 것만으로도 법 준수를 위한 최소단계의 조치를 취한 것으로 간주될 수 있음을 밝힘
l 이번 개인정보보호법 수정안은 민감한 고객데이터를 보유한 조직들이 데이터 보안 정책과 전략을 수정할 수 있게 강제하는 조치가 될 것
참고문헌
1. itnews, “Privacy Act audits will consider infosec budgets”, 2014.3.52. ZDnet, “Gearing up for the changes to the Privacy Act”, 2014.3.4
20 2014년 3월 2주
파이어아이, 아이폰 및 아이패드
사용자 감시가 가능한 보안
취약점 발견
개요
l 보안업체인 파이어아이(FireEye), 탈옥하지 않은 iOS7 단말기의 백그라운드 상에서 사용자의 터치 및 버튼 작동을 모니터링하는 것이 가능하다고 밝힘
침해사고대응단
침해대응기술팀
주요 내용
l 파이어아이에 의하면, 아이폰 및 아이패드 사용자를 감시할 수 있는 '모니터링' 앱이 존재하는 것으로 확인
백그라운드 모니터링 데이터 내용
- 화면 터치 좌표, 화면 드래그 좌표, 하드웨어 키의 사용, 터치ID 사용 등 저장된 모든 정보를 원격 서버로 전송 가능 및 모니터링 가능
※ 공격자는 X, Y축으로 구성된 화면 터치 좌표로 스크린 키보드의 어디를 터치했는지 파악 가능 ※ 터치ID : iOS7에서 제공하는 지문 인식 코드
- 악성 앱 설치는 소셜 엔지니어링 기술이 이용되거나, 기존 앱의 일부 보안 취약점을 이용해 백그라운드 모니터링을 하는 방법이 있음
- 또한, 터치스크린 캡처 기능을 숨겨 애플의 앱스토어 검수를 통과한 것으로 밝혀짐
l 해당 취약점을 이용한 백그라운드 모니터링은 iOS 버전 7.0.4의 iPhone5S에서 성공적으로 실행
- 위의 취약점은 아이폰 및 아이패드에서 백그라운드 앱을 실행하는 방법에 내재되어 있으며, iOS 버전 7.0.5, 버전 7.0.6 및 버전 6.1.X에서도 가능한 것으로 확인됨
- 파이어아이는 보안 취약점을 설명하기 위해 탈옥되지 않은 아이폰과 아이패드에 이 앱을 설치해 테스트했지만 악용의 소지를 이유로 그 방법에 대해서는 공개하지 않음
21 2014년 3월 2주
l iOS7의 일반 설정을 통해 ‘백그라운드 앱 새로 고침 설정’을 제공하여 백그라운드 상의 앱 활동을 제어할 수 있지만, 사실상 효과가 없음
- iOS 내에 '앱 백그라운드 업데이트' 설정을 사용하면 이를 방지할 수는 있지만 악성 앱이 음악 프로그램을 위장한다면 인식할 수 없음
- 실제로 음악 앱들이 해당 설정을 우회하여 백그라운드 상에서 음악을 계속적으로 플레이 가능하도록 동작하고 있음
- 마찬가지로 악성 앱들도 이 설정을 우회하여 백그라운드 상에서 사용자의 활동을 지속적으로 모니터링하는 것이 가능함
백그라운드 앱 새로 고침 설정 iOS7상에서 앱 종료 시키기
l 애플에서 해당 취약점에 대한 수정이 있기 전까지는, 사용자가 사용하지 않는 앱을 직접 강제 종료하여 제어하는 것이 유일한 예방책
※ 사용자는 홈 버튼 더블클릭을 통해 앱 관리자를 호출한 후 실행 중인 앱들을 강제 종료시킬 수 있음
l 폐쇄적인 iOS의 특성상 개방적인 플랫폼인 안드로이드에 비해 보안상 안전한 것으로 알려져 있으나, 이번 사례를 통해 iOS도 치명적인 보안 결함이 존재함이 증명
※ 안드로이드 플랫폼이 공개플랫폼의 성격상 악성코드의 수가 월등히 많은 것이지 iOS상에서 악성코드의
활동이 불가능한 것이 아님으로 계속적인 관심과 주의가 필요
- 설정을 통한 ‘백그라운드 앱의 새로 고침 중지’를 우회할 수 있다는 부분은 애플社 iOS의 보안 취약점 조치를 포함한 추가적인 업데이트가 필요함을 시사
- 정상 단말기에서 애플社의 검증을 통과한 앱을 통한 사용자 감시 모니터링이 가능했다는 점에서, 앱스토어를 통해 배포된 다른 앱들에 대해서도 악성행위 수행 여부를 의심해볼 필요가 있음
참고문헌1. http://www.fireeye.com/blog/technical/2014/02/background-monitoring-on-non-ja
ilbroken-ios-7-devices-and-a-mitigation.html”, FireEye, 2014.2.24
2. https://threatpost.com/ios-7-bug-could-allow-background-monitoring/104523”, threatpost, 2014.2.26
23 2014년 3월 2주
日 라쿠텐, 무료 메신저
Viber 인수개요
l 전세계 2억 8,000만 이용자를 확보한 VoIP 및 모바일 메신저 제공업체 Viber가 일본 대형 온라인 쇼핑업체 ‘라쿠텐’에 전격 인수됨
국제협력본부
해외진출지원팀
라쿠텐은 Viber Media를 9억 달러(약 9,600억원)에 인수할 예정이며, 3월 중 완료될 예정
Viber는 전 세계 가입자가 3억 명에 이르는 모바일 통신 서비스업체로 라쿠텐의 디지털 콘텐츠 사업 강화 전략을 보완하는데 적합
l 라쿠텐은 이번 인수에 따라, 라쿠텐은 세계 1위 인터넷 서비스 기업으로 도약하기 위해 새 디지털 콘텐츠를 확보함으로써 새로운 시장에 진출할 예정이라 밝힘
라쿠텐은 기존 전자상거래 및 금융 서비스 플랫폼 기반의 다양한 디지털 콘텐츠를 제공함으로써 시장을 확대할 수 있을 것으로 기대
Viber의 메시징 및 VoIP 서비스와 라쿠텐의 디지털 콘텐츠의 결합은 라쿠텐의 ‘쇼핑은 오락’(Shopping is Entertainment)이라는 경영철학과 부합
모바일 시대 e-커머스 경쟁구도 변화에 대응
l 일본 최대의 커머스 업체인 라쿠텐의 Viber 인수는 모바일 시대 e-커머스 경쟁구도 변화에 대응하는 움직임
Viber는 우수한 메시징 및 VoIP 외에도 잠재력이 큰 스티커 시장과 게임 플랫폼을 구축해 실질적인 시너지 효과를 낼 수 있는 서비스 체계를 보유하고 있음
최근 네이버의 ‘라인 몰’과 같이 타 모바일 부가서비스로부터 자체적으로 쇼핑 부문 연동을 강화하는 추세에 대응하는 행보
※ 라인 몰 : 네이버가 일본의 사용자 5천만 명을 대상으로 출시한 모바일 오픈마켓
라쿠텐의 글로벌 시장 진출 현황
※ 출처 : RAKUTEN
참고문헌
1. FINANCIAL TIMES, “Japan's Rakuten to buy Viber for $900m”, 2014.2.14.