20.09.21 ( 개인정보보호 연차보고서 - 국제적 활동과 협력, 랜섬웨어 사망 사건, 블루투스 BLESA 취약점 )

1. 개보위의 개인정보보호 연차보고서 - 국제적 활동과 협력

 

이번에는 국제적 환경 변화에 따른 대응과 국제협력 강화 부분을 살펴보도록 하겠습니다.

---

(1) 국제적 환경 변화에 따른 대응

 

가. EU GDPR 시행 대응

 

방송통신위원회(방통위)는 EU GDRP의 영향을 받는 기업을 대상으로 법률 이행과 대응 역량을 위한 다양한 사업을 실시 했다고 합니다. 우선 영세·중소기업 15개사 대상으로 주기적인 컨설팅을 실시했으며, GDPR 전문 상담창구를 운영하여 170여회 GDPR 관련 상담을 제공했다고 합니다.

 

또한, GDPR 홈페이지를 개편했다고 합니다. 이는 GDPR 관련 창구를 일원화하고 최신 동향을 빠르게 제공하기 위한것으로 GDPR 개요, EU 주요국의 법·제도, 신고 및 위반 사례 등 여러 정보를 제공했으며, GDPR 자가 진단도구를 개발하여 기업이 스스로 GDPR 준수 현황을 기초 진단하고, 이행이 필요한 사항을 점검할 수 있도록 했다고 합니다.

 

장기적 관점으로 실무자를 위한 GDPR 전문 교육 과정 8종을 개발하고, 18회의 교육을 실시했다고 합니다. 이러한 종합적인 지원 사업을 통해 방통위는 구체적이고, 현업에 바로 적용 가능한 도움을 제공했다고 하네요 :D

 

나. APEC CBPR 인증기관 활동

 

우리 정부는 한국인터넷진흥원(KISA)를 국내 CBPR 인증기관으로 지정하고, APEC의 심사 절차 지원을 위해 KISA의 CBPR 인증기관 업무 적합성에 대한 검토보고서를 19년 7월에 APEC에 제출했습니다. 이후 검토와 질의 응답을 거쳐 공식 승인됨으로써 우리 기업들이 CBPR 인증을 신청할 수 있게 되었습니다.

 

20년부터 국내 CBPR 인증제도가 시행되며, 확산과 활성화를 위해 CBPR 안내서 개발, 안내 페이지 개설, 사업자 대상 설명회 개최 등 다양한 활동을 수행할 예정이라고 합니다 :D

 

(2) 국제협력 강화

 

가. 개인정보 국제협력 기반 마련

 

행정안전부는 해외에서 발생한 우리 국민의 개인정보 피해를 구제하고 해외 진추 국내 기업에 개인정보보호 법제 정보를 제공하기 위해 홈페이지를 운영하고 있으며, 상담 서비스를 제공하고 있습니다. 해외 국가 정보, 자료실 메뉴 등이 있으며, 해외 국가 9개국의 개인정보보호 관련 법률 체계, 행정 체계, 피해 구제 체계 등 여러 자료를 제공하고 있다고 합니다.

 

나. 국제적 이슈에 대한 적극적 대처

 

나-1. 국제 개인정보보호 감독기구 협의체(GPA, Global Privacy Assembly)

GPA는 매년 1회 정기총회를 개최하며, 개인정보보호 분야 법제 동향·신기술 발전 등에 따른 주요 변화와 관련된 여러 사항을 논의해 결의안을 채택하고, 국제적 차원의 개인정보보호 토론의 장으로서 중요한 역할을 하고 있습니다.

 

나-2. 아시아-태평양 프라이버시 감독기구(APPA, Asia Pacific Privacy Authorities)

개인정보보호위원회는 APPA 회원으로 매년 포럼에 참석해 국내 개인정보보호 정책 현황 및 동향을 회원국에 소개하고, 개인정보보호 분야에 관한 이슈를 논의하고 있다.

 

51차와 52차 포럼에 참석하여 국내 "개인정보보호법" 개정 동향을 소개하고, 각국의 개인정보보호 법령정보 공유를 위한 공통 포털 개설을 제안했다고 합니다. 또한 AI 등 신기술 발달에 따른 국제 개인정보보호 이슈와 해외 우수 법제 및 집행 사례에 대해 논의하고 해외 개인정보보호 감독기구들과의 협력 관계를 공고히 했다고 합니다.

 

나-3. 유럽평의회 108호 협약(Convention 108) 자문위원회 활동

개인정보보호를 목적으로 구성된 108호 협약에 근거로한 자문위원회로, 해당 협약의 현대화 작업 및 주요 원칙 이행 확대·협력 사업을 통한 데이터 보호 분야의 법적·기술적 지원 제공, 개인정보보호 관련 보고서 및 가이드라인 발간 등의 업무를 수행하고 있다.

 

나-4. 국제 프라이버시전문가협회(IAPP, International Association of Privacy Professionls)

2000년에 설립된 개인정보보호 및 프라이버시 분야의 비영리기구로, 다국적 기업, 정부기관, 프라이버시 전문가 등 여러 분야의 관계자들이 참여해 국제 개인정보보호 인증 프로그램을 운영하고 다양한 교육 프로그램도 제공하고 있습니다.

---

 

2. 랜섬웨어로 인한 사망 사건 발생

 

독일 뒤셀도르프대학에서 운영하는 종합병원으로 최근 IT 시스템이 마비가 되어 사망한 사건이라고 합니다. 해커가 네트워크의 약한 부분을 침해했으며, 이는 널리 사용되는 상업용 소프트웨어라고 합니다.

 

해커의 공격으로 시스템이 마비가 되어 응급환자들과 수술이 예약되어 있었던 환자들이 다른 병원으로 이송되어야 했으며, 그 과정에서 1명이 사망했다고 합니다.

 

하지만 랜섬웨어라고 단정 짓지는 않았다고 합니다. 병원 측에 요구된 해커의 요구사항은 없었으며, 그냥 연락을 달라고 한 내용 뿐이었다고 합니다. 특히 받는 사람이 병원이 아닌 대학교로 되어 있다고 합니다.

 

경찰은 범인에게 대학이 아니라 병원이 마비되었고 환자들이 위험에 처해 있다고 설명했으며, 범인은 협박을 취소하고 데이터 복호화에 필요한 디지털 키를 제공했다고 합니다.

 

이렇게 실제 보안사고로 인해 사망하는 사건이 발생했습니다. 특히 이번 사건은 병원과 산업시설을 겨냥한 공격들이 이러한 사태로 이어질 가능성이 높다고 보안 강화를 주장했었던 부분으로 경각심을 일으킨 사건이 아닌가 생각합니다. 이 사건에서 병원의 '보안 강화 책임 소홀'이 얼마나 적용한 것으로 독일 사법부가 판단할지 주목되고 있다고 합니다.

 

 

3. 블루투스 BLESA 취약점

 

BLESA는 새로운 취약점으로 블루투스 저전력(BLE)에서 발견되었다고 합니다.

 

BLESA는 BLESA Spoofing Attacks의 준말로, 블루투스 연결이 재성립되는 과정에서 일어난다고 합니다. 공격자들은 재연결 시 필요한 인증과정을 BLESA를 통해 우회하여 자신들이 표적으로 삼은 장비에 접근해 데이터를 보낼 수 있다고 합니다. 장비가 의도치 않은 기능을 하거나 다른 역할을 하며 거짓 정보를 심는 것도 가능하다고 하네요 :D

 

BLE 프로토콜을 워낙 많은 곳에서 사용되기 때문에 상당히 광범위한 영향력을 발휘한다고 합니다. BLE은 에너지 효율을 높여주며 사용이 간편한데, 이 사용이 간편하다는 것은 페어링 할 때 사용자가 조작할 것이 거의 없다는 것이며, 여기서 문제의 근원이 나왔다고 합니다.

 

퍼듀대학의 보고서의 내용 중 일부 설명되어 있다고 합니다. "BLE 프로토콜은 BLE가 구현된 장비들끼리 얼마든지 연결되어 각종 정보를 주고받을 수 있도록 만들어졌습니다. 그래서 BLE 장비가 연결된 서버를 공격자가 발견하기만 하면 특성 정보를 쉽게 가져갈 수 있습니다. 그리고 BLE는 애드버타이징 패킷을 항상 평문으로 전송합니다."

 

이에 퍼듀대학은 보고서를 통해 2가지를 수정해야 한다고 합니다.

- 장비들 간 재연결 시 인증을 필수가 아닌 경우가 많다.

- 장비들 간 재연길 시 인증 절차가 두 가지로 제공된다.

 

현재 BLESA 공격이 가능한건 Linux, Android, IOS 체제 모두에서라고 합니다. 애플은 지난 이 취약점에 대해 CVE-2020-9770이라는 번호를 부여하며 패치를 발표했고, 구글은 아직 취약한 상태라고 합니다.

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91252&page=2&mkind=1&kind=2

[개인정보보호 연차보고서 톺아보기-7] EU GDPR 대응 등 국제적 활동과 협력

www.boannews.com/media/view.asp?idx=91282&page=1&mkind=1&kind=1

랜섬웨어 사망 사건, 독일 병원에서 터져

www.boannews.com/media/view.asp?idx=91250&page=2&mkind=1&kind=1

블루투스 재연결이 위험해! 새로 등장한 블레사 취약점