가. 무결성(Integrity)

기업과 기업의 소송에서 증거는 가장 확실한 승리를 보장한다. 미국의 E-Discovery는 미국 기업과 특허법이나 기타 민사소송에 휘말릴 수 있는 국내 기업들에게 아주 중요하고 큰 의미를 갖는다. 이를 위해서 미국과 관계된 국내 기업은 전자정보관리정책을 세우고 전자정보를 인덱싱하여 빠른 시간 내 검색할 수 있는 시스템구축이 필요하다.
지난 2005년 미국 월가의 초대형 금융투자회사 모건스탠리가 레블론사에 6억달러를 배상했다. 더 큰 손해는 명성에 입은 타격이었다. 결정적인 패소원인은 법원의 증거개시요청(Discovery)에 응하지 못했기 때문이다. 법원은 자문 내용이 담긴 이메일을 빠짐없이 제출하도록 요구했으나 모건스탠리는 이메일 검색 시스템 매뉴얼조차 갖추지 않고 있었다.또한 2006년 마이크로소프트는 Z4 테크놀로지와의 특허침해소송에서 패소, 250억원을 배상했다. 마이크로소프트 역시, Z4 테크놀로지로부터 이메일과 데이터베이스 증거개시요청(Discovery)을 받았으나 자료를 제출하지 못했다. 미국과 관계된 모든 기업에게 중요한 E-Discovery
미국과 비즈니스로 연결되어있는 모든 기업에게 E-Discovery는 매우 중요한 이름이 될 것이다. 1차적으로는 특허소송에서 위력을 발휘할 것으로 예측된다. 필자는 E-Discovery의 의미를 법률적으로 또 가능하다면 우리 기업에 미치는 경제적 영향까지 연구할 생각이다. 우선, E-Discovery가 과연 무엇인가? E-Discovery가 무엇인지 알기 위해서는 미국 민법에 존재하는 Discovery 절차를 알아야 한다. E-Discovery는 Discovery에 E를 붙인 것이기 때문이다. E-Discovery는 2007년 1월 미국 연방민사소송규칙 개정으로 등장했다. E-Discovery 이전에도 존재했던 E-Discovery에 이메일 등의 Electronic data를 포함시킨 것이 E-Discovery이다. 위 두 소송사례에서 볼 수 있듯이 Discovery의 중요 항목이 이메일과 데이터베이스 등 전자정보였다는 점을 볼 때 시대변화에 따른 법 개정이라 할 수 있다.  ㆍDiscovery는 무엇인가?증거의 발견과 공개이다. 디스커버리는 발견한다는 뜻이다. 법률상 디스커버리는 증거의 발견 및 공개를 의미한다. 미국소송절차는 우리나라 민사절차와 달리 소송에 처하게 된 당사자가 소송과 관련하여 자신이 무엇을 가지고 있는지 발견하여 상대방에게 공개해야 한다. 이 절차가 Discovery이다. ㆍDiscovery는 왜 하는가?시간절약과 깜짝 쇼 방지를 위해서다. 헐리우드 법정영화를 보면 유난히 깜짝쇼나 극적 반전이 많이 나온다. 그러나 실재재판과정에서는 드문 일이다. Discovery 로 미리 서로의 카드를 다 공개하기 때문이다. 증거를 공개하면 쟁점이 명확해지고 시간낭비가 줄어들며 자신이 이 소송에서 이길지 질지 예측도 가능하다. 깜짝 쇼로 인한 소송의 드라마화도 줄어들게 된다. 소송은 게임이 아니며 승패에 의하여 엄청난 재산이 오가는 심각한 일이기 때문이다.

상대방 요구 자료 제공의무 ‘Disclosure’
디스클로저는 상대방이 요구한 자료를 제공해야 하는 의무로 Discovery에 포함된다. E-Discovery상 매우 중요한 조항인 FRCP 26은 보호되거나 공개할 수 없는 정보를 제외한 이용 가능한 모든 정보를 Disclosure해야 한다고 규정하고 있다. ㆍDiscovery는 법원 개입 없이 소송당사자간에 이뤄진다Discovery 절차는 양 당사자 간에 이루어진다. 어느 한쪽의 요청을 상대방이 거부하여 분쟁이 생기면 법원이 개입하게 된다. 한쪽이 고의적으로 비용과 시간이 과중하게 드는 요청을 할 경우, 취소명령을 내릴 수 있고 반대로 한쪽이 Discovery 의무를 다하지 않을 경우, 강제명령을 내릴 수도 있다. Discovery는 요청서, 답변서, 항의서 등의 서면으로 이뤄지며 각 문서마다 변호사가 서명해야 한다. ㆍDiscovery 포함 사항 예 1. 중요정보를 가지고 있을 가능성이 있는 자의 이름, 주소, 전화번호2. 중요서류나 물건의 사본이나 설명3. 배상액의 계산방법과 계산방법의 근거가 된 자료의 사본4. 판결의 일부 혹은 전부를 지불할 보험자와의 보험계약5. 공판에서 이용될 가능성이 있는 전문가 증인의 신원6. 서명된 전문가증인의 자격, 의견, 근거를 포함한 보고서7. 공판에 출석시킬 증인, 증언 녹취 사본 등  ㆍDiscovery 제외 사항변호사와 의뢰인, 부부 등 법으로 보호되는 특별한 관계간의 진술 내용이다. ㆍDiscovery에 응하지 않았을 때는?Discovery에 필요한 증거를 제출하지 못했을 때, 혹은 상대편이 요구한 자료를 제출하지 못했을 때 소송당사자는 법원이 납득할 수 있는 정당한 이유를 댈 수 있어야만 한다. 만일 그렇지 못할 경우, 사실의 고의적 은폐에 해당되어 소송에서 패소할 확률이 커진다.

E-Discovery로 달라지는 것은 무엇인가?

소송비용의 증가이다. 기업 내 문서가 종이로 되어있을 때와 현재처럼 전자데이터로 되어있을 때 가장 큰 차이는 무엇인가? 바로 자료의 양이다. 이메일은 첨부파일의 CC와 포워딩 등을 통해 무한 복제된다.한 사람이 쓰는 이메일, 메신저 정보량만 해도 엄청난데 대기업 전체 네트워크에서 오고간 데이터를 3년에서 5년까지 검색해 법원에 제출해야 한다고 생각해보자. 실제로 판례는 이메일 20만개를 검색하는데 $84,060 우리나라 돈으로 약 8천만원이 들었다는 엄청난 비용자료를 보여준다. [Rowe Entertainment v. The William Morris Agency, 205 F.R.D. 421 (S.D. N.Y., 2002)]   검색 이후 검토 비용은 이 비용의 4배를 상회했다고 한다. 국내 한 대기업에서 소만사 메일아이가 하루에 처리하는 이메일수가 200만개임을 생각할 때 이메일 20만개 검색에 8천만원은 실로 엄청난 비용이다. 또한 Discovery를 위한 자료탐색 및 검토 시간이 길어지면 길어질수록, 변호사비용은 상승한다.  그렇다면 기업은 어떻게 대처해야 하는가? E-Discovery는 법으로는 초기단계이다. 필자 역시, 자료를 통해 앞으로의 흐름을 추측할 뿐이다. 그러나 대체적인 의견은 전자정보는 이메일로 국한되지 않을 것이며 기업이 합리적인 전자정보관리정책을 세우고 전자정보를 인덱싱하여 빠른 시간 내 검색할 수 있는 시스템을 구축한다면 법적 책임을 다할 뿐 아니라 막대한 소송비용 역시 줄일 수 있을 것이라는 것이다. 반대로 평소에 정책이 부재했고 전자정보를 시스템으로 관리하지 않은 기업에게 E-Discovery는 대재앙이 될 것이다.

앞서 언급한 모건스탠리와 마이크로소프트 판례를 다시 보면, 증거개시 즉 Discovery를 하지 못함은 곧 패소판결로 이어졌다. 두 굴지의 기업이 정말 은폐한 것인지, 이메일과 데이터베이스 기록관리 시스템의 문제였는지 알 수는 없다. 그러나 원인에 상관없이 법원은 증거의 고의적 은폐, 의무의 불이행으로 판단, 막대한 손해배상의무를 부과했다. 이는 미국기업과 특허법이나 기타 민사소송에 휘말릴 수 있는 국내기업들에게 의미하는 바가 크다. 결국 기업 대 기업 소송은 증거 대 증거의 싸움일 수밖에 없기 때문이다.

구글이 사용자 단말기에 설치된 안드로이드 애플리케이션을 원격으로 지울 수 있다고 합니다. 구글이 최근 안드로이드마켓에 올라 있던 애플리케이션 2개를 삭제하고 사용자 단말기에서도 원격으로 삭제하는 기능을 사용한 것이  외신을 통해 보도가 되었습니다.

PC 매거진에 소개된 관련 기사 보기  (영문)

Google Remotely Deletes Android Apps

http://www.pcmag.com/article2/0,2817,2365651,00.asp

원문참조: http://www.boannews.com/media/view.asp?idx=21620&kind=0

  최근 KT는  고객을 위해  여러 보안위협에 대한 예방을 위해  그룹 차원에서의 정보보호를 강화하겠다고 밝혔었는데요..     KT그룹사 정보보호에 대한 책임을 가지고있는 KTDS의 강석모 인프라본부장과의  보안뉴스 인터뷰 내용을 통해   KT의 정보보호 사례를 정리해보았습니다.

1. KT의 정보보호 활동현황 및 KTDS의 역할

 KT는 최대의 유무선 고객을 보유하고 있는 만큼, 고객의 소중한 정보를 보호하기 위해 사내 정보보호전문 조직을 중심으로 정보보호 활동을 전개하고 있다. KTDS는 KT의 영업·경영·무선계 등 IT시스템뿐만 아니라 고객DB를 위탁 관리하는 등 막중한 업무를 담당하고 있는 만큼 정보보호를 위해 그동안 축적된 경험과 노하우를 바탕으로 KT의 정보보호 수준 향상에 최선을 다하고 있다. 특히 KT가 고객으로부터 더욱 신뢰받는 기업이 될 수 있도록 ICT 파트너로서의 역할을 충실히 하고 있다.

2.ISSAMS이란

 ‘ISSAMS(Information System Security Audit Management System)’는 정보보호 수준 진단을 과학적으로 측정하기 위한 시스템으로 ISO27001 등 국내외 정보보호 경영체계의 요구사항을 준수해 설계 됐다. 내·외부 위협에 의한 시스템 장애 및 정보 유출을 사전에 대비하기 위한 관리체계로 점수화해 관리하고 있다. 특히 내용의 타당성을 높이기 위해 관련 담당자와 심층 인터뷰를 실시했으며, 결과는 지속적으로 공유해 효율적으로 관리 진행하고 있다.

3. 자체 진단 역량 강화를 위한 사전·사후 교육 프로그램

  시스템 구축·운영 시 개발자, 운영자가 정보보호에 관련된 고려사항과 수준진단을 이해하는 것은 매우 중요하다고 생각한다. 그런 점에서 정보보호가 효과적으로 수행될 수 있도록 담당자를 대상으로 사전 교육을 실시하고 있으며, 진단 후 주요 취약점 및 조치를 위한 교육을 실시해 역량을 강화하고 있다. 지난 4월 정보보호수준진단 설명회, 서버운영자를 위한 서버보안 교육, AP개발자·운영자를 위한 보안 교육 등을 실시했으며, 100여명이 교육을 완료했다.

4. 모의 해킹 강화

  보안 취약점에 대해 패턴을 중심으로 점검 하는 자동 진단툴과 취약점을 연계해 해커의 공격패턴과 유사하게 취약점을 진단하는 모의 침투 테스트를 동시에 활용하는 것이 종합적이고 입체적인 예방적 정보보호라 할 수 있겠다. 서버 보안, 웹AP에 대한 진단툴, 스크립트 활용, 모의 침투 테스트로 상호보완적이고 효율적인 정보보호 활동을 하고 있다. 특히 통계청에 따르면, 국내 시스템의 해킹사고가 지난해 보다 33%나 증가했다고 하는 만큼 해킹 사고는 언제 어디서 발생할지 모르며 그 피해는 상상할 수 없을 만큼 심각하다. 그런 이유로 KT그룹은 이런 피해가 발생하지 않도록 전문화된 내부 모의 침투 테스트 인력을 통해 지속적으로 취약점을 발견·보완하고 있다.

5. 기술적인 보호조치 보다 중요한 것

  첫 단추를 잘 꿰어야 하듯이 기초는 무척 중요하다. 또한 취약점에 대해 해당되는 기술적 조치를 취하는 것도 중요하다. 그러나 무엇보다 중요한 것은 사전에 규칙적으로 점검하고 취약점을 꾸준히 개선해 나가려는 의지와 인식이라 여긴다. 잘못된 정보보호로 인한 피해는 기업의 신뢰와도 관련되어 있는 만큼 종합적이고 효율적인 방법으로 관리적·기술적인 대책을 적용하려는 인식이 반드시 필요하다.

6. 기업이 정보보호에 대해 관심과 보호조치를 취해야할 이유

정보보호에 대한 주의와 성실의 의무라는 것이 있다. 정보보호가 기업의 생존과도 직결될 수 있는 부분도 있지만 기업은 고객과 사회에 대해 신뢰와 상생을 위해 최선을 다해야 하는 것이다. 그런 부분에서 정보보호가 포함되는데, 얼마 전 발생한 도요타 리콜 사태에서 경험했듯이 기업의 고객에 대한 책임 있는 태도는 필수인 것이다.

1. SSL 암호로 보호되는 https://twitter.com 을 사용하여  트위터를 이용하세요. 일반 웹페이지인  http://twitter.com 에서 주고받는 데이타는 네트웍을 통해 모니터링 될 수 있습니다.
   –> 저는 개인적으로  http://twtkr.com 을 많이 이용하는데  어서 빨리 https://twtkr.com 서비스도 시작하길…
2. 트위터 패스워드를 복잡하게 사용하세요. 문자/기호/숫자를 모두 혼합하여 사용하세요. 기존 웹사이트나 이메일에서 사용되는 패스워드와 동일하게 사용해서는 안됩니다.
3. PC나 모바일기기에서 사용하는 트위터 어플리케이션은 믿을만한 프로그램으로 이용하세요.  추천어플: Tweetdeck, seesmic, gravity, twitterberry, tweety 등…
4. 단축URL의 미리보기 기능을 지원하는 인터넷브라우저를 이용하여 트위터를 즐기세요. 그렇지않으면 나도 모르는 사이에  트위터의 계정/패스워드를 훔치려고하는 위험한 사이트에 접속하게 됩니다.
5. 백신을 PC에 설치하고 패턴을 항상 최신으로 유지하여  악성코드가 PC에 설치되는 것을 차단하세요
6. 트위터는 절대로  사용자에게 무엇을 다운로드하라고 요구하지않으며  이메일로 패스워드를  묻지않습니다.  만약 그런 메시지를 받으셨다면  그것은 피싱메시지입니다.
7. 써드파티 프로그램을 이용할때 Oauth프로토콜을 이용하고 ,  팔로워를 늘려준다는 유혹에 혹하여 아이디와 패스워드를 공유해주지 마세요.
8. 트위터 계정을 여러개 소유하고 있다면 계정간에 같은 패스워드를 사용하지 마세요
9. 해커들은  트위터와 유사해보이는 사이트를 통해  여러분 스스로가  아이디와 패스워드를  입력하도록 유도할 것입니다. 올바른 트위터 사이트인지 확인하세요.. 그렇지 않으면  해커가 여러분의 계정을 소유하게되어  여러분들의 명의로  스팸을 보내거나  여러가지 다른 위해를 가하게 될 것입니다.
10. 잘 모르는 사람으로부터 URL링크가 포함된 DM을 받게되면 클릭하시 마세요.  피싱사기는 이런 DM을 통해 여러분을 노리고 있습니다.

원문링크: http://www.boannews.com/media/view.asp?idx=21522&kind=1

   스마트폰의 활성화와 더불어 스마트폰 보안에 대한 우려가 나타나고 있는 가운데 스마트폰 보안을 노트북이나 PC보안과는 다른 관점에서 봐야한다는 의견이 제기됐다. 

  스마트폰 블랙베리의 제조사인 리서치 인 모션(RIM)의 샌 모이(Zane Moi) 리서치 인 모션 아태지역 이사는 15일 서울 웨스틴조선 호텔에서 개최된 스마트폰 보안 간담회에서 “스마트폰은 노트북과 달리 제품의 특성과 활용도가 달라 모바일의 특징을 고려한 보다 섬세한 보안 장치와 정책을 수립할 필요가 있다”고 말했다.

최근 스마트폰에서 나타나는 보안위협
1. 스마트폰 분실에 따른 위협
2. 스마트폰에 탈장착 가능한 플래시 메모리 도난,
3. 탈옥폰(Jail Breaking)에 대한 보안 위협
4. 앱스토어에 올려 진 어플리케이션에 삽입된 악성코드
5. 설치된 어플리케이션 업데이트 푸시에 삽입된 악성코드  

샌 모이 이사는 “아직까지는 공격자들이 수많은 스마트폰OS에서 어떤 플랫폼을 해킹할지에 대한 고민이 많아 공격의 수와 파워가 크지는 않지만, 앞으로 스마트폰 공급이 점차 늘어나면서 결국 각 OS에 대한 전문적인 해킹 공격이 나타날 것”이라며 “앞으로는 PC보다 스마트폰의 출하량이 많아지고 스마트폰에 담긴 정보가 개인적이고 기밀정보라는 점을 파악한 공격자들은 점차 스마트폰을 공격대상으로 여길 것”이라고 경고했다.

 특히 사용자들이 애플리케이션 다운로드에 대한 불감증이 점차 늘어나 무분별하게 다운받는 애플리케이션도 늘어나게 되면, 공격자들은 이 점을 노리고 악성코드를 심게 될 것이라고 우려를 나타냈다. 그보다 더 큰 위협은 초기에는 정상적인 애플리케이션으로 제조사나 사용자에게 신뢰를 얻은 후, 업데이트 푸시(업데이트를 알려 다운받도록 하는 기능)을 통해 악성코드를 심을 수 있다고 지적했다.  그리고 스마트폰은 노트북은 같은 이동형 디바이스지만 사용에 있어 배터리 외에 전원확보가 쉽지 않고 통화와 연락을 위해 끄지 않고 있어야 하는 특성이 있기 때문에, 광범위한 영역에서 사용이 가능하지만 보안적인 관점에서는 노트북과 다른 형태를 가지고 있어야 한다는 주장을 펼쳤다.  샌모이 이사는 “가령 노트북의 경우 안티바이러스 프로그램을 이용한 실시간 악성코드 감시와 감염 여부를 확인하기 위해 전체 검사가 가능하지만, 스마트폰의 경우 배터리의 한계로 실시간 감시가 쉽지 않고 통화 등 대기 작업 때문에 전체검사를 하기 힘들다”면서 “만약 스마트폰으로 전체검사를  몇 번 할 경우 배터리가 다 소모될 수 있다”고 말했다.  

  결국 이런 복잡한 환경을 감안해 스마트폰보안은  ‘사용성’과 ‘보안 이슈’ 간의 균형이 이뤄야 한다고 주장했다. 즉, 스마트폰 사용자는 교육을 통해 패스워드 설정이나 위험한 애플리케이션 다운을 지양하는 등 노력이 필요하다는 지적이다.  특히 기밀정보를 가지고 있는 기업에서 스마트폰을 도입하려는 경우에는 반드시 모바일 보안 정책을 수립해야한다고 설명한다.  그는 “기본적으로는 기업내에서 와이파이 같은 무선통신 암호화와 스마트폰 자체에도 암호화를 해야 하며, 스마트폰의 특징과 성능에 있어서 중앙 집중적 통제와 관리가 가능할 수 이도록 기술과 환경을 구축해야한다”면서 “어플리케이션 다운로드 및 설치에 대한 제어가 가능한 모바일 보안 장치를 도입해야한다”고 말했다

원문참조: http://www.etnews.co.kr/news/detail.html?&mc=m_014_00002&id=201006150090

‘아이패드’ 보안 허점을 증명해낸 해커그룹 고츠시큐리티와 미국에서 아이패드3G 모델을 공급하고 있는 AT&T가 날선 공방을 주고받았다.  지난 주 고츠가 아이패드3G 이용자 11만4000명의 이메일 주소를 빼낸 것에 대해 AT&T가 강하게 비난하자 고츠는 AT&T의 해킹 위험 은폐 의혹을 제기했다. 

  워싱턴포스트, 포브스 등은 14일(현지시각) AT&T가 아이패드 이메일 주소가 노출된 고객들에게 보낸 이메일에서 “해커들은 AT&T가 고객들이 쉽게 접속할 수 있도록 만든 과정을 악의적으로 공격했다”며 “유출된 것은 이메일과 네트워크 접속 번호뿐 다른 개인정보는 해커들의 손에 넘어가지 않았다”고 밝혔다고 보도했다. 

고츠는 지난 9일 아이패드의 3G 네트워크 접속 인증 과정에서 아이패드 사용자의 이메일을 얻을 수 있다는 사실을 알아낸 후, 이메일을 추출해 이를 고커닷컴(gawker.com)에 넘겨 보도토록 했다.  AT&T의 비난에 대해 고츠 시큐리티는 “AT&T가 잠재된 위험에 대해 정직하지 않은 태도를 유지해왔다”고 반격했다.  고츠의 리더인 에스처 아우언하이머는 “AT&T는 고츠가 이런 위험을 공개할 때까지 그 이슈를 은폐해왔고 보안을 경시했다”고 비판했다. 또 “우리는 이용자들의 보안을 위해 폭로한 것”이라고 덧붙였다. 

특히 그는 “아이폰과 아이패드에 탑재된 사파리 브라우저가 또 다른 보안 취약점을 갖고 있다”며 “해커들이 아이패드 사파리 브라우저의 약점을 이용해 해킹할 수 있다”고 지적했다. 한편 FBI는 지난 주 이메일 주소 유출에 대해 공식 조사에 착수했다.