태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2010.08.25 21:02



모바일백신 'VGUARD', 안드로이드 어플 무단차단 파장
http://news.etomato.com/news/etomato_news_read.asp?no=108923

무법 백신 '브이가드', 금감원·코스콤이 보급 앞장
http://news.etomato.com/news/etomato_news_read.asp?no=108933

사용자 삽입 이미지

아직까지 안드로이드용 악성코드 기준이 확립되지 않은 초기라서 그런지 IMEI 나 USIM, 모델명, 일련번호 등의 단말기 정보 수집에 대한 기준이 모호한 상태인 것도 사실입니다. 시급히 정책 및 기준이 정립되어야 하겠지만 스마트폰 보안에 대한 이슈가 컴퓨터 보안 이슈에 비해서는 상대적으로 극히 드물고, 아직 실질적인 피해 보고 사례가 적은 부분도 기준을 정립하기 어려운 과제로 꼽히는 것 중에 하나일 것입니다. 이러한 과정에서 스마트폰 보안 제품이나 서비스 정책에 대한 무차별적인 비난이 거세지면 스마트폰 보안에 역기능으로 작용하지는 않을까 하는 우려의 목소리도 있습니다.

참고로,
통신비밀보호법 [通信秘密保護法]이 앞으로 스마트폰 악성코드 여부 판단에 중요한 근거 자료로 사용될 가능성도 고려해 봐야 겠습니다.

통신 및 대화의 비밀과 자유에 대한 제한은 그 대상을 한정하고 엄격한 법적 절차를 거치도록 함으로써 통신비밀을 보호하고 통신의 자유를 신장하기 위해 제정한 법(1993. 12. 27, 법률 제4650호).

1993년 제정된 뒤 2009년 5월 법률 제9752호까지 15차례 개정되었다. 통신이란 우편법에 따른 통상우편물·소포우편물과 전화·전자우편·회원제정보서비스·모사전송·무선호출 등과 같이 전자적 방식으로 음향·문언·부호 또는 영상을 송수신하는 전기통신으로 정의한다.

누구든지 법에 의하지 않고는 우편물의 검열·전기통신의 감청 또는 통신사실 확인자료를 제공하거나 공개되지 않은 타인간의 대화를 녹음 또는 청취하지 못한다. 또 정당한 업무이행을 위한 경우를 제외하고는 이동전화 단말기의 고유번호를 제공하거나 제공받지 못한다. 불법검열에 의한 통신의 내용은 재판 또는 징계절차에서 증거로 사용할 수 없다.

검사는 법원에 통신제한조치의 허가를 청구할 수 있다. 통신제한조치는 범죄를 계획 또는 실행하고 있거나 실행하였다고 의심할 만한 충분한 이유가 있고 다른 방법으로는 그 범죄의 실행을 저지하거나 범인 체포 또는 증거 수집이 어려운 경우에 한해 허가할 수 있되, 그 기간은 2개월을 넘지 못한다.

정보수사기관의 장은 국가안전보장에 상당한 위험이 예상되는 경우에 한해 허가를 받고 통신제한조치를 할 수 있다. 검사, 사법경찰관 또는 정보수사기관의 장은 긴급한 사유가 있는 때에는 허가 없이 통신제한조치를 할 수 있으나 36시간 안에 허가를 받지 못하면 즉시 중지해야 한다.

감청설비의 제조·수입·판매 등을 하려는 자는 정보통신부 장관의 인가를 받아야 한다. 불법감청설비탐지업을 하려는 자는 이용자 보호계획 등을 갖추어 방송통신위원회에 등록해야 한다. 통신제한조치로 취득된 내용은 범죄의 수사·소추 및 예방과 징계절차, 통신의 당사자가 제기하는 손해배상소송 등 법률의 규정에 따른 경우 이외에는 사용할 수 없다. 국회는 특정한 통신제한조치 등에 대해 보고를 요구할 수 있다.

전문 18조와 부칙으로 이루어져 있으며, 시행령과 시행규칙이 있다.

따라서, 현재 안드로이드용 보안 제품을 개발하는 기업들이 각기 고유의 보안 정책을 수립해서 사용하고 있기 때문에 업체마다 입장 차이를 보이고 있고, 자사의 정책과 상반된 경우 그것을 허용하지 않을려고 하기 때문에 종종 의도하지 않은 마찰이 발생하기도 합니다. 지금으로선 각각의 고객들이 개발사나 제품에서 정한 보안 정책 및 사용법을 숙지하여 정확한 내용을 인식하고 그에 따른 정책 마련이 우선시 되면 좋을 것 같고, 최대한 대화와 사전 협의를 거쳐 공공의 이익을 위한 합의점 도출을 위해서 함께 노력하는 자세가 필요한 시기가 아닐까 하는 생각도 듭니다.

윈도우 컴퓨터 환경에서도 초기에 단순 광고 목적의 프로그램들이 컴퓨터 정보를 수집하면서 애드웨어(Adware)라는 종류가 생겨났고, 이후에 사용자의 중요 개인 정보까지도 노리는 등 교묘해지고 지능화되면서 스파이웨어(Spyware) 개념으로 발전하기도 했으니깐 말이죠.

초기 단순 광고 프로그램들의 경우 Anti-Virus Vendor 들이 법적인 문제 등을 고려해서 대응하지 않았던 것도 사실이고, 광고 프로그램 기법이 다변화 되고, 사용자들의 불편함이 증대되면서 하나 둘씩 변화하고 대응하기 시작했었지요.

마찬가지로 앞으로 안드로이드용 악성코드 기준과 정의를 명확히 하기 위해서는 스마트폰 프로그램 개발사들이 모으는 단말기 및 개인 정보가 어떠한 목적으로 수집되고, 사용자들의 허가 및 동의를 거치거나, 외부로 발송되고 있다는 사실 등을 인지할 수 있도록 하는 정보 안내가 중요한 부분이 되어져야 할 것 같기도 합니다. 또, 수집된 정보를 어떻게 관리하고, 제 3자 유출이나 특정 집단의 이익을 위해서 악용되지 않도록 하는 가이드 라인이나 관리적인 정책도 필요하겠지요!

더불어 스마트폰 보안에 있어서 Anti-Virus 기술이나 Firewall 개념의 필요성에 대한 인식이 아직은 부족한 것이 사실이며, 현실적인 보안 위협들이 피부로 느껴지고 있지도 않는 환경에 놓여 있는 것도 현실입니다. 사용자들 나름대로 보안 어플리케이션의 필요성을 공감하지 못하고 있는 부분에 대해서는 앞으로 각계 각층의 전문가 집단에서 많은 정보를 공유하고, 관심을 가질 수 있도록 안내자 역할을 하는 것도 중요한 책무 중에 하나라고 생각되어 집니다.

보안이라는 명제에서 안전도 100% 라는 것은 장담할 수 없으며, 편의성에 절대적으로 의존하다보면 보안성은 떨어지게 마련일 것입니다. 편의성과 보안성의 두 부분을 충족시키기 위해서는 이용자의 사용능력과 충분한 사전 정보 습득 또한 필수적인 요소이겠지요.


Posted by viruslab