EU의 알고리즘 규제 이슈와 정책적 시사점

 뉴딜코리아 홈페이지 

▣ EU의 알고리즘 규제 이슈와 정책적 시사점

최근 인공지능 기술ㆍ서비스가 크게 확산되면서 정보의 생산과 유통 주체가 사람이 아닌 인공지능 알고리즘에 의해 가능해지기 시작했다.

그런데 인공지능의 산업적 편익 못지 않게 그것에 대한 반작용으로 인공지능의 기술적ㆍ사회적 부작용이나 역기능에 대한 규범적 대응, 예컨대 ‘알고리즘 책무성(algorithmic accountability)’ 또는 ‘알고리즘 투명성’을 규범화하려는 논의도 활발하게 전개되고 있다.

그러한 논의의 출발점은 인공지능 알고리즘이 공정하고 중립적인 것이 아니라 특정한 알고리즘의 선택이나 알고리즘 기반의 의사결정이 차별적 ㆍ배제적인 결과를 초래한다는 데 있다.

예컨대 최근 미국 대선에서도 논란이 있었듯이, 구글이나 페이스북의 추천 및 검색 알고리즘이 정치적으로 편향된 여론 형성을 초래할 수도 있다는 우려인 셈이다.

그래서 올해 미국 오바마 행정부는 널리 상용화된 빅데이터 분석 알고리즘이 사회적 편견과 왜곡, 특히 성차별, 인종 차별의 문제를 야기시킬 수 있음을 경고하기도 했다.

따라서 알고리즘도 인간의 판단이나 선택에 의해 구성되므로 편향성, 차별성을 내포할 수밖에 없기 때문에 알고리즘 설계ㆍ개발 및 활용과정 전반에 대한 규제의 필요성이 자연스럽게 제기된다.

알고리즘규제(algorithmic regulation)와 관련한 본격적 논의는 최근 유럽연합 (EU)의‘개인정보보호규정(GDPR: General Data Protection Regulation)’이 알고리즘 투명성(algorithmic transparency)과 관련해서 프로파일링(profiling) 등 자동화된 개인적 의사결정에 대해 ‘설명을 요구할 권리(right to explanation)’를 적극 포함한 데서 비롯되었다.

알고리즘이 단순히 자동화되어 작동하는 ‘기계의 영역’이 아니라 ‘공공의 영역’에서 사회적 감시와 규제를 받아야 하는 존재로써 부각되기 시작한 셈이다.

EU GDPR의 ‘설명을 요구할 권리’ 규정은 인공지능 시대 알고리즘규제의 중요한 전환점을 제공한 것으로 평가 받는데, 본고는 이 ‘설명을 요구할 권리’를 중심으로 최근 EU의 알고리즘 규제 이슈 및 그 정책적 시사점을 검토하고자 한다


◆ 알고리즘 기반 사회의 도래

○ 자동화, 무인화로 특징지어지는 인공지능(AI) 기술의 급격한 진전은‘알고리즘(algorithm)’으로 대표되는 소프트웨어 주도형 사회로의 변화를 가속화시킴

- 예컨대 검색ㆍ추천 알고리즘이 디지털 상품의 거래구조를 근본적으로 변화시키고, 알고리즘에 의한 노동대체도 가속화되는 등 알고리즘의 사회경제적 영향력이 급증하고 있음

- 실제로 알고리즘이 이용자의 행위를 기반으로 음악, 방송, 영화 등의 상품이나 서비스를 추천, 선택하는 경우도 늘어나고 있음

- 심지어 ‘로봇 저널리즘’의 예와 같이 저널리즘 영역에서도 뉴스 콘텐츠를 알고리즘(기계)이 자동화하여 생산, 유통하는 사례도 급증 하고 있음(오세욱, 2016)


○‘알고리즘’이란 “컴퓨터 혹은 디지털 대상이 과업을 수행하는 방법에 대한 설명으로 명확히 정의된 한정된 개수의 규제나 명령의 집합”(Goffey, 2008: 15)으로 정의됨

- 즉 특정한 값(value)이나 값의 집합을 받아 처리해 또 다른 값이나 값의 집합을 내놓은 사전에 잘 정의된 계산 절차, 즉 ‘데이터를 처리하는 규칙’이라고 할 수 있음(오세욱ㆍ김수아, 2016: 17)

- ‘코드는 법(Code is Law)’이라는 로렌스 레식(Lessig, 1999)의 명제가 있듯이, 알고리즘도 우리가 접하는 정보의 취사선택 및 의사결정에 큰 영향을 미친다는 점에서 일종의 ‘미디어 프레임(media frame)’으로 기능함 (최수진, 2016)


○ 그런데 알고리즘의 사회경제적 활용이 급증하고 있지만 알고리즘이 과연 공정하고 중립적이고 객관적인가에 대한 문제들이 지속적으로 제기되고 있음

- 알고리즘이 내리는 자동화된 의사결정에는 우선순위 결정, 분류, 관련짓기, 필터링이라는 과정(Diakopoulos, 2015, 2016)이 존재하는데, 이 과정이 인간 개입에 따른 오류와 편향성, 검열의 가능성 등 본질적으로 차별적인 성격을 내포하기 때문임

- 알고리즘은 정의된 명령에 따라서만 작동하는 것이 아니라 이용하는 사람 혹은 객체와의 상호작용 속에서 끊임없이 수정 및 조정 되므로 인간(소프트웨어 개발자)의 편견이나 선입견이 반영될 가능성 상존

- 특히, 알고리즘은 과거로부터 쌓여온 데이터를 학습하면서 인종차별, 성차별 등 역사적 편향성을 반영할 가능성도 매우 높음

- 이와 관련해서 지난 2016년 5월, 미국 백악관은 ‘빅데이터: 알고리즘 시스템, 기회와 시민권(Big Data: A Report on Algorithmic Systems,Opportunity, and Civil Rights)’이라는 제목의 보고서에서 알고리즘이 4가지의 편향된 데이터를 반영할 가능성을 제기


○ 따라서 인공지능, 로봇, 소프트웨어의 숨은 명령어로서의 알고리즘에 의한 비의도적인 차별성, 편향성, 편협성 등의 같은 윤리적, 정치사회적 문제가 계속 발생

-  (인종차별) 2016년 7월, 인공지능을 활용한 온라인 국제미인대회에 출전한 참여자들의 프로필 사진을 심사하는 인공지능 프로그램 ‘뷰티닷에이아이(Beauty.AI)’가 백인을 제외한 유색인종 여성들을 전혀 입선하지 않았던 사건(Levin, 2016)

-  (알고리즘 조작) 지난 2016년 5월, 미국의 IT매체 ‘기즈모도’가 페이스북이 특정 미국 대선후보를 낙선시키기 위해 자신의 뉴스편집 서비스‘트렌딩 토픽’의 알고리즘을 조작했다는 의혹을 제기한 사건(Nunez, 2016)

- (미국 대선 여론 조작) 기계학습의 알고리즘적 편견이 반영된 개인 추천 시스템(personal reccommendation system)이 미국 대통령 선거후보자에 대한 유권자들의 선택에 영향을 미쳤다는 주장도 제기(Polonski, 2016)

※ 예컨대 미국 대선동안 유투브의 인공지능 동영상 추천시스템이 80% 이상의 동영상을 트럼프 후보에 우호적인 결과물로 검색, 추천하였는데, 이 추천의 대부분이 가짜 뉴스(fake news)에 의한 추천인 것으로 밝혀짐(Chaslot, 2016).

- (인터넷 극단주의) 최근 가디언(The Guardian)지는 구글의 검색 및 자동완성 알고리즘이 극우적 편견을 포함한 허위정보를 확산시키는 극우집단의 디지털 수단으로 악용될 우려를 경고하기도 했음(Solon & Levin, 2016).


○ 알고리즘을 구축하는 단계에서 개발자의 성향과 판단, 사회적 풍토, 외적인 압력이 개입되기 때문에 알고리즘은 편향적일 수밖에 없으며, 기술적이든 제도적이든 알고리즘의 책임성, 공정성, 투명성을 제고하기 위한 사회적 제어 노력이 요구됨

- 알고리즘은 사회적 상호작용과 독립된 것이 아니라 그 자체가 사회적 상호작용의 한 기능이므로, 사용자들의 피드백이 어떻게 시스템에 선입견이나 편향을 주입하는지에 대한 철저한 고려가 필요

- 그래서 미국 정부는 잘못된 데이터를 학습한 빅데이터 알고리즘의 부작용(차별, 편견, 배제 등)을 우려하고 이에 대한 정책 대응의 필요성을 역설(FTC, 2016.1; Executive Office of the President, 2016.5)

- 최근 독일의 메르켈 총리도 알고리즘 투명성의 결여는 우리의 인식을 왜곡시키고 토론문화와 공론장을 위험에 빠트릴 수 있다며 경고한바 있음(Conolly, 2016)

- 특히 유럽연합(EU)은 개인정보보호 차원에서 알고리즘 규제를 제도화 하려는 노력을 적극 추진하고 있는데, 지난 2016년 4월 개인정보의 수집, 저장, 사용에 대한 포괄적인 규제를 담고 있는 법안인 ‘개인정보보호 규정’(General Data Protection Regulation, Regulation (EU) 2016/679, 이하 ‘GDPR’)4)을 발표

- EU의 GDPR은 머신러닝이나 의사결정 알고리즘 등 새로운 IT기술에 대비하기 위한 규제의 일환으로 정보주체에게 알고리즘 의사결정에 대해 ‘설명을 요구할 권리(right to explanation)’를 제안

- 본 고는 EU의 알고리즘 규제를 가장 체계적으로 정리한 것으로 평가받는 굿맨과 플랙스맨(Goodman & Flaxman, 2016)의 논의를 중심으로 그 내용을 검토하고자 함(Goodman & Falxman, 2016)5)

- 이러한 알고리즘 규제의 흐름은 이제 알고리즘이 단순히 자동화되어 작동하는 ‘기계의 영역’이 아니라 ‘공공의 영역’에서 사회적 감시와 비판을 받아야 하는 존재임을 시사함(최수진, 2016)


☞ 추가 상세내용은 첨부파일을 참고 바랍니다
▶ 이 원 태(정보통신정책연구원 연구위원)

GDPR 교육 및 컨설팅 | ISMS 인증 컨설팅
(070-7867-3721, ismsbok@gmail.com)

EU의 인공지능 新규제메카니즘 설명가능 인공지능(XAI)

 뉴딜코리아 홈페이지 

EU의 인공지능 新규제메카니즘 설명가능 인공지능(XAI)

2018년 5월25일부터 발효되는 EU의 일반정보보호규정(GDPR) 내용중, 최근 이슈가 되고 있는 머신러닝 인공지능 관련된 규정의 내용과 시사하는 바를 요약, 정리하였습니다.

ㅇ 머신러닝 AI가 문제 해결능력이 뛰어나고, 빅데이터를 통한 효과적인 의사결정으로 비즈니스 활용 수요가 증가하는 한편,
- 알고리즘의 조작가능성, 의사결정의 편향성 등 부작용이 세상에 알려지면서 머신러닝 AI에 대한 신뢰성 문제가 제기

ㅇ EU는 적절하고 안전하며 신뢰할 수 있는 알고리즘 기능뿐만 아니라 기본 권리를 보장하기 위한 규제 메카니즘을 구축 - 정보주체가 인공지능의 의사결정에 대해 설명을 요구할 수 있는 권리를 법제화함으로써 AI규제에 대한 중요한 전환점으로 평가

ㅇ 이러한 안전장치의 핵심은 공정과 신뢰의 도덕적 원칙이 알고리즘을 통해 발현될 수 있도록 기업을 독려하는 것으로,
- 기업으로 하여금 공정한 알고리즘의 설계, AI윤리의 선포, 설명가능 AI 기술개발, 품질관리 등 자발적 규제준수 노력을 요구

Ⅰ. 개요
Ⅱ. EU의 ML/AI 신 규제 메카니즘
Ⅲ. 신뢰의 ML/AI를 향한 자발적 조치
Ⅳ. 시사점

본 보고서는 EU의 일반정보보호규정(GDPR) 보고서 및 , ‘Regulatory Mechanisms and Algorithms towards Trust in AI/ML, Eva Thelisson 등 3인 공저, 2017’ 논문을 요약․정리한 것으로 원문에 대한 저작권은 EU 및 논문 저작자에 있습니다.

작성 및 문의
- 정책본부 미래전략센터 김동현 수석(053-230-1288, kimdh@nia.or.kr)​

첨부파일 :
EU의 인공지능 新규제메카니즘: ‘설명가능 인공지능(XAI)

GDPR 컨설팅 & DPO교육
(070-7867-3721, ismsbok@gmail.com)

EU 일반개인정보보호규정(GDPR)으로 인한 조직 정보보호 문화의 변화

 뉴딜코리아 홈페이지

EU 일반개인정보보호규정(GDPR)으로 인한 조직 정보보호 문화의 변화
GDPR: ICO chief says new law should change culture around data protection within business

영국 정보보호위원회(ICO)의 엘리자베스 데넘(Elizabeth Denham) 위원은 유럽연합의 일반정보보호규정(GDPR)이 2018년 5월 25일 유럽 전역에서 효력이 발효됨에 따라 조직의 데이터 프라이버시에 대한 태도 자체가 변화할 것이라고 주장했다.

데넘 위원은 개인정보보호 실무자 컨퍼런스(Data Protection Practitioners Conference) 2017에서 기조연설을 통해 새로운 법률이 데이터 프라이버시와 보안 이슈가 모든 유형의 조직에 공통 이슈로 다루어지기를 희망한다고 말했다.

그녀는 보다 포괄적인 개인정보 보호 프로그램을 표준으로 상정하고, 이를 기업이 이용자 정보를 보다 잘 보호하도록 하는 문화가 만들어지기를 바란다고 말했다.

유럽연합의 GDPR은 모든 기업과 조직이 프라이버시 문화를 고양하는데 활용될 수 있는 프레임워크이며, 단순히 기술자들이 아닌 조직 전체 구성원이 취해야 하는 임무와 책임에 관한 것이라고 그녀는 강조했다.

그럼에도 불구하고, 아직 많은 수의 개인정보보호 담당자들이 개인정보 유출에 따른 고지 의무 및 불이행 시 따르는 처벌 등 개인정보 보호와 관련된 주요 법률적 내용과 중요성을 조직 차원에 널리 인식시키기 위해 노력하고 있다고 그녀는 말했다.

아울러 그녀는 장기적으로 개인정보보호 의무를 충실히 이행하지 않을 경우 브랜드 명성과 비즈니스 활동에 부정적인 영향이 미칠 수 있다고 경고했다.

만일 기업이 자신의 비즈니스 정책과 이행에 있어 데이터 보호를 위한 모범을 보이지 못한다면, 기업의 공적 명성과 경제적 이익에 피해를 입을 것이라고 그녀는 말했다.

그러나 GDPR를 준수함으로써 보다 책임있는 기관, 조직으로서의 위상과 그에 따른 혜택이 있기를 바란다고 그녀는 덧붙였다.

그녀는 개인정보를 보다 철저히 보호함으로써 더 나은 법적 컴플라이언스 환경을 구축하게 되고, 이를 통해 경쟁우위를 차지할 수 있을 것이라고 지적했다.

GDPR은 유럽연합 전역에서 강력한 집행력을 갖게될 것으로 전망된다.

이 법률을 어길 경우 전 세계 매출액의 최대 4%까지 벌금이 부과될 수 있다.

그러나 법률 위반이 발견될 경우 처음부터 엄격한 벌칙 조항이 적용되지는 않을 것으로 보이며, 조직이 개인정보를 보호하기 위해 어떠한 노력을 했는가에 따라 벌금 규모가 줄어들 수도 있을 것으로 보인다.

유럽 지역에서는 GDPR을 비롯하여 향후 수년내 데이터 보호, 개인정보 보호 및 컴퓨터 보안과 관련된 여러 가지 새로운 법률이 제정되어 적용될 전망이다.

역자의견:
기술의 발전에 따라 데이터 유출 규모와 양이 증가함에 따라 이를 방지하기 위한 법제 노력이 전 세계적으로 이루어지고 있다.

특히 유럽연합은 GDPR과 더불어 네트워크 정보보호 법률, 프라이버시 보호 법률 등의 제정과 이행을 추진 중이다.

이러한 국제적 추세에 맞추어 법규 전반에 걸친 끊임없는 검토와 개정이 필요할 것으로 보인다.

GDPR 교육 및 컨설팅 | ISMS 인증 컨설팅

(070-7867-3721, ismsbok@gmail.com

 

5G 이노베이션(innovation)

 뉴딜코리아 홈페이지 

2020년, 4G가 시장에 선 보인지 9년 만에 20배 이상 빠르고 에너지 효율과 연결 가능 디바이스도 10배 이상 안정적으로 수용이 가능하며 반응속도도 10배 이상 빠른 5G가 등장할 것으로 예상된다.

2011년 4G의 등장은 애플, 구글, 페이스북, 인스타그램, 아마존 등 모바일 산업을 대표하는 기업들의 엄청난 성장을 촉진시켰으며, 우버, 위츠앱, 스포티파이, 옐프 등의 신흥 유니콘 스타트업들의 탄생을 주도하였다.

“5G는 과연 어떤 산업을 탄생시킬까?”,

“5G는 어떤 비즈니스를 성장시킬까?”에 대한 해답은 5G의 기술적인 특징을 세부적으로 살펴본다면 얻을 수 있다.

인공지능, IoT, 자율주행차, 몰입형 미디어 등 4차 산업혁명에서 언급되는 핵심기술 기반의 비즈니스들은 5G가 상용화되는 시점 이후 폭발적인 기술적 진보가 이루어질 것으로 예상된다.

- 첨부파일 참고 -

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급

(070-7867-3721, ismsbok@gmail.com

 

세계가 주목한 테크트렌드 2018 (NIA)

2018년 지능기술 트렌드 분석

-  해외 주요 컨설팅 회사와 미디어는 전문가가 선정한 ’18년 기술 트렌드를 제시, NIA는 빅데이터 분석을 통해 ’18년 ICT 이슈 선정

- 9개의 글로벌 보고서와 NIA 이머징 이슈를 토대로 주요 기술 트렌드를 요약·정리하고 분석

- 글로벌 보고서에서 특징적으로 나타난 기술 트렌드를 선별해 분석

< 보고서별 주요 기술 트렌드 >

♣ CB Insight
• 자동차 서브스크립션 모델
• 거대 동시 온라인 소셜 커뮤니티 출현
• 셀프 보안 유행
• 유통회사들의 변신

♣ Deloitte
• 새로운 노동모델 등장
• 기업 데이터 주권 부각
• API 전략
• 블록체인 혁신 능력 육성

♣ MIT TechReview
• 새로운 정치·경제 거버넌스 등장
• AI에 대한 노동분야 논점 전환
• 완전 자율주행 자동차 상용화 불투명
• 헬스케어 비즈니스 성장
• 증강현실 관심 지속
• 가상화폐로 인한 에너지 소비 증가

♣ Fjord
• 디지털과 물리세계 결합
• 이미지를 이해하는 컴퓨터
• 디지털 정보의 신뢰성 확보

♣ Frog Design
• 디지수티컬
• 컨텍스트 커머스
• 암호 민주주의

♣ O’Reilly
• 머신러닝 이론 발전
• 하드웨어 발전
• AI 개발도구 진화
• AI 자동화 확대
• 프라이버시와 윤리 이슈 부상

♣ GP Bullhound
• 대형 플랫폼 규제
• 가상화폐와 ICO
• 증강현실 보급

♣ Gartner
• 인공지능 기반기술
• 디지털 트윈
• 엣지 컴퓨팅
• 이벤트 기반 서비스

♣ NIA
• 데이터 신뢰성과 데이터 리터러시
• 설명가능한 인공지능
• 블록체인 기반 콘텐츠 거래 플랫폼

♣ 뉴딜코리아

• 블록체인 기반기술
• 빅데이터, AI의 의료 영역 확대
• 하이브리드 클라우드
• EU의 일반 정보보호 규정 (GDPR)

첨부파일 : 
http://cafe.naver.com/rapid7/3118

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급
(070-7867-3721, ismsbok@gmail.com

스펙터·멜트다운에 대처하는 7가지 방안

 뉴딜코리아 홈페이지 

▣ 스펙터·멜트다운에 대처하는 7가지 방안

2017년 6월, 구글 보안 분석팀 및 보안 전문가들은 마이크 로프로세서가 성능 개선을 위해 명령을 추측실행(Specula tive Execution)하는 방식을 악용한 해킹 메커니즘을 밝혀냈 다.

근본적인 원인은 보안상의 속도를 위해 최적화된 모든 최 신 프로세서의 설계 결함에 있으며, 이를 통해 해커는 운영체 제(OS) 커널로 보안돼야 할 메모리 내용을 읽을 수 있고, 따 라서 커널 작업을 손상시키거나 패스워드나 암호 키 등의 보 안 데이터에 접근할 수 있다.

이는 스펙터(Spectre)와 멜트다 운(Meltdown)이며, 현재까지 2가지의 스펙터 변종이 파악 됐다.

스펙터·멜트다운 익스플로잇(exploit)은 마이크로프로세 서가 추측실행을 구현하는 방식의 취약점을 노린다.

따라서 이러한 취약점을 제거하기 위해 코어 마이크로프로세서 설계 를 수정하는 장기적인 수단이 필요하다.

이 과정에서 마이크 로프로세서의 코어 아키텍처 수정이 가장 중요하며, 필요한 재설계가 이뤄지고 새로운 기기가 시장에 출시되기 까지는 최대 18개월에서 최대 24개월이 소요될 것으로 보인다.

많은 소프트웨어 업체들은 이러한 취약점을 즉각적으로 보완하기 위해 자체 업데이트와 패치에 집중하고 있다.

익스플로잇은 모든 컴퓨팅 디바이스에 영향을 미칠 수 있 다.

PC와 클라우드 서버가 가장 많이 노출되며 온프레미스 서버가 그 뒤를 잇는다.

네트워킹, 스토리지 장비, 스마트폰, 사물인터넷(IoT), 엔드포인트 등은 대개 엄격히 통제되는 코 드를 실행하므로 악성코드를 실행할 위험이 현저히 낮지만, 패치 설치에 따른 성능 문제가 발생할 가능성이 높다.

한편 기기에 탑재된 마이크로프로세서가 추측실행을 지원 하지 않는 경우, OS 업데이트를 적용하더라도 기능에 지장을 주지 않는다.

그러나 피해 입은 프로세서가 탑재된 기기를 업 데이트할 때와 마찬가지로, OS가 커널과 사용자 메모리 공간 을 전환하는 방식이 수정되기 때문에 성능 저하가 발생할 수 있다.

모든 프로세서와 소프트웨어가 이러한 익스플로잇에 동 일한 수준으로 취약한 것은 아니며, 시스템이 확인되지 않거 나 신뢰할 수 없는 코드 작동에 노출돼있는 정도에 따라 위험 수준이 달라진다.

기업의 비즈니스 정보 보안과 리스크 관리 책임자들은 분 명하고 실용적인 리스크 기반 시정 계획을 통해 이와 같은 위 험을 관리하고 해결할 수 있도록 준비해야 한다.

가트너는 IT 조직들에 자체 시스템이 해커 공격에 노출될 가능성을 사전 에 파악해 둘 것을 당부한다.

◆ 위험을 인식하고 현실적인 대응방안을 찾아라

구글 보안팀이 밝혀낸 익스플로잇은 그 심각성이 상당하지 만, 아직 실제 공격에 대해 알려진 바는 없다.

최신 OS와 하이퍼바이저는 모두 정형화되고 계층화된 권 한 모델에 기반해 보안 격리·분리 기능을 제공한다.

이와 같 이 악용 가능한 설계 취약점은 하드웨어에 있기 때문에, 그 위의 모든 소프트웨어 레이어들은 공격 대상이 될 수 있다.

바로 이러한 점 때문에 가트너는 현실적이고 빠른 대응에 나 설 것을 권고한다. 공격으로부터 안전한 메모리는 처음부터 있을 수 없다.

웹에서 자바스크립트를 통해 패치되지 않은 PC나 노트북, 모바일 기기 등에 공격을 취하면 즉각 위험이 발생한다. 

공급 업체의 펌웨어와 하이퍼바이저 레이어 업데이트가 이뤄지지 않은 퍼블릭 클라우드 인프라에서 구동되는 타 가상머신 (VM)에서 악성 애플리케이션이 실행될 수 있다.

개념증명(POC) 공격은 한 번에 한 비트씩 이뤄져 상대적으 로 속도가 느리지만, 공격 코드가 작아서 분명하게 확인하기 어렵다.

해커들은 패스워드 캐시, 암호화·비암호화 키, TLS (Transport Layer Security) 키, 인증서, 코드 서명 인증서, 토큰이나 이와 유사한 민감한 데이터, 암호 등을 주로 노린다.

이와 같은 위험이 있기는 하지만, 메모리는 읽힐 수는 있어 도 변경될 수는 없다는 점을 인식해야 한다.

결함을 악용하려 면 신뢰할 수 없는 코드를 대상 시스템에 삽입하고 실행해야 하는데, 이는 잘 관리된 서버에서는 상당히 어려운 작업이다.

또한 너무 성급하게 패치에 의존하지 않는 것도 좋다. 초기 패치들은 일부 바이러스 백신 제품과 충돌을 일으킨 바 있고 윈도우 데스크톱을 잠갔다.

 탑재된 AMD 마이크로프로세서 와 충돌해 시스템 부팅 장애를 일으킨 패치도 있었으며, 다른 초기 패치들 중에는 심각한 성능 저하를 일으켜 후속 패치로 해결된 사례도 있었다.

◆ 세부 인벤토리에서 시작하라

대부분의 최신 IT 시스템은 해당 취약점에 어느 정도 영향 을 받을 수밖에 없다.

보안 책임자들은 피해를 입은 시스템의 인벤토리를 시작점으로 삼아야 한다.

Y2K가 여러 시스템에 타격을 입히는 취약성을 갖고 있어서 의도적인 단계별 치료 계획이 필요했던 것이 아니다.

경우에 따라 패치하지 않는 것 이 적절한 결정일 때도 있다.

각 시스템마다 기기 또는 워크로드, 마이크로프로세서 버 전과 펌웨어 버전을 추적하려면 자세한 데이터베이스나 스프 레드시트가 필요하다.

 소프트웨어 레이어에는 OS 제조사, OS 버전과 하이퍼바이저 업체와 버전 목록을 만들어야 한다.

최종 사용자용 시스템의 경우 브라우저 업체와 버전이 추적 돼야 하며, 바이러스 백신 소프트웨어나 엔드포인트 보호 플 랫폼 소프트웨어가 갖춰진 시스템의 경우 이들의 버전도 추 적돼야 한다.

또한 스택의 각 레이어에서는 공급 업체로부터 패치 사용 이 가능한지, 신뢰해도 되는지 추적해야 한다.

◆ 위험을 최우선 순위에 둔 복구 계획을 마련하라

이번 사태를 통해 드러난 취약점은 원격 공격이 불가능하 다.

공격이 성공하려면 해커들이 시스템 상에서 코드를 실행 해야 하기에 모든 시스템에 대한 응용 프로그램 제어와 화이 트리스팅을 통해 알 수 없는 코드 실행의 위험성을 현저히 줄 일 수 있다.

 또한 비슷한 시스템과 애플리케이션 그룹의 대표 시스템 하나를 업그레이드해 실질적 성능 영향을 파악할 필 요가 있다.

초기에 OS와 펌웨어 업데이트 호환 문제가 있었던 AMD 윈도우의 경우 특히 이러한 작업이 필요하다.

리눅스(Linux)를 사용하는 기업의 경우 CPU와 리눅스 배 포본 내에서 프로세스문맥식별기(PCID) 지원이 가능한지 확 인해야 한다.

또한 IaaS에서 더 큰 인스턴스 유형으로 이동, 혹은 가상화 데이터 센터의 밀도 축소와 물리적 서버 추가 등 으로 시스템에 추가 용량을 적용할 준비가 돼 있어야 한다.

◆  복구를 우선시 하라

퍼블릭 클라우드 제공업체들의 펌웨어와 가상화 레이어의 패치가 시행됐는지 확인해야 한다.

클라우드 업체의 기본 펌 웨어와 하이퍼바이저 레이어 업데이트가 이뤄질 때까지 IaaS 공유 인프라는 특히 취약하기 때문이다.

기업들은 클라우드 제공업체가 이러한 패치 작업을 수행했는지 확인하거나, 수 행 시점을 파악하고 있어야 한다.

일부 클라우드 제공업체들 의 경우 VM 재부팅이 필요할 수 있다. AWS, 애저, 구글은 이미 패치 작업을 완료했다.

데이터 센터 내 가상 데스크톱 인프라(VDI) 서버가 네트워 크에서 격리돼 있지 않은 경우 패치는 반드시 필요하다.

이들 은 본질적으로 데이터 센터에서 운영되는 데스크톱이기 때문 이다. 우선 펌웨어 업데이트를 한 후, 하이퍼바이저 패치를 완료해야 한다.

그리고 모든 VM 내의 모든 OS를 패치해야 한다. 데스크톱, 노트북, 워크스테이션 역시 패치가 필요하 다.

자바스크립트를 이용해 사용자 모르게 브라우징되는 드 라이브 바이 브라우징(drive-by browsing)을 통해 정체불 명의 코드가 유입될 위험이 있기 때문이다.

대부분의 경우 고 객들은 소프트웨어 스택을 먼저 업그레이드 한 다음 펌웨어 업그레이드를 진행하는데, 이는 펌웨어 업데이트가 가능할 때까지BR>칩셋 버전이 공격에 취약한 경우, 자바스크립트 기반 공격 의 위험을 처리하기 위해 스마트폰 OS나 브라우저를 업데이 트해야 한다.

iOS 버전이 11.2.2 이상이고, 안드로이드 버전이 2018년 1월 이후의 보안으로 업데이트 됐는지를 확인해야 한 다.

펌웨어를 업데이트 한 후에는 데이터 센터에 사용된 가상 화 레이어를 패치해야 한다.

그 다음 퍼블릭 IaaS 혹은 프라이 빗 데이터 센터와 같은 외부 서버의 OS를 패치하고, 마지막으 로 IaaS, 프라이빗 데이터 센터, VMs과 같은 내부의 서버, 네 트워크, 스토리지, 보안기기, IoT 등을 확인해야 한다.

◆  패치가 항상 옳은 것은 아니다

정보보안책임자는 패치를 하지 않는 방안도 고려해야 한 다.

대표적으로 구 시스템에서 패치가 충분치 않은 경우가 이 에 해당된다.

네트워크나 스토리지 컨트롤러 등 위험의 감소 가 성능 저하를 상쇄하지 않을 경우도 마찬가지이다.

잘 관리 된 일부 서버 중에서도 향후 패치가 확실하게 수용 가능한 파 급력을 가질 때까지 성능 보호를 위해 패치를 건너뛰는 경우 가 있다.

펌웨어 업그레이드가 불가능하고 OS와 하이퍼바이 저 업데이트는 가능할 경우, 기업은 OS와 하이퍼바이저를 패 치해야 한다. 스펙터 변종 2와 같이 3가지 변종 중 하나만이 펌웨어 업데이트를 필요로 한다.

OS 벤더들 역시 항상 패치를 권장하는 것은 아니다.

예를 들어 마이크로소프트의 경우, 서버가 정체불명 혹은 신뢰할 수 없는 코드를 실행하지 않는 한 관리자의 추가적인 대응 행 동이 요구되지 않는다고 발표한 바 있다.

레드햇도 관리자가 직접 성능 보호를 위해 패치 적용 여부를 선택하도록 했다.

◆  강력한 시스템 운영 관리가 필요하다

패치되지 않았거나 부분적으로 패치된 시스템의 경우, 다 양한 대응(mitigating controls)으로 위험을 줄일 수 있다.

가장 중요한 점은 신뢰할 수 없는 정체불명의 코드를 디바 이스에 심는 기능을 제한하는 것이다.

정체불명의 코드를 제 한함으로써 위험의 상당 부분을 줄일 수 있다.

스펙터·멜트 다운 공격을 하기 위해서는 로컬 코드 실행이 필요하기 때문 이다.

즉, 모든 시스템이 서버 워크로드에 대해 ‘자동거부방식’을 택해야 한다.

예를 들어

 ▪ 제한된 물리적·논리적 로컬 네트 워크 액세스

 ▪ USB 포트 비활성화

 ▪ 런타임 보호를 위한 애 플리케이션 제어 및 화이트리스팅 설치

 ▪ 다형성 OS 생성 통 한 고급 커널 및 어드레스 공간 보호

 ▪ 강력한 변경 관리 제어 기능을 갖춘 관리 액세스용 PAM

 ▪ 외부 인터넷 연결 비활성 화

 ▪ 로컬 브라우저 및 이메일 계정 비활성화

 ▪ 웹서버, CWPP 에이전트와 같은 지원 소프트웨어와 OS의 다른 레이 어에 패치 적용

 ▪ CWPP 최신 버전 여부 확인

 ▪ 네트워크 기 반 공격 방어를 위한 네트워크 혹은 호스트 기반 IPS 보호 실 행 등을 활용할 수 있다.

향후 추가적인 대응을 위한 노력이 필요
이와 같은 문제점은 과거에도 존재해왔으며, 이번 사태도 그 연장선상에 있다.

새로운 유형의 공격을 발견하기 위해 추 측실행과 관련된 설계상의 결함에 대한 추가 연구가 필요하다.

향후 몇 년에 걸쳐 하이퍼바이저, OS, 브라우저와 펌웨어 업그레이드 등 추가적인 패치가 나와야 한다.

스펙터·멜트 다운은 새로운 차원의 취약점을 드러냈고, 이는 시작에 불과 하다. 스펙터·멜트다운 연구자들도 이와 같은 의견에 동의 한다.

보다 넓게 봤을 때, 추측실행으로 정보가 누출될 수 있는 다른 방법들이 있기 때문에 메모리 캐시에 국한된 대처 방안 만으론 충분치 않을 가능성이 높다.

물론 추측실행은 전원과 전자기 신호 등 기존 부수 채널에도 영향을 미치므로, 지금 언급되는 소프트웨어나 마이크로코드에 대한 대처방안은 향 후 연구로 나아가는 과도기적 수순으로 보는 것이 적절하다.

완전한 결함 차단을 위해서는 새로운 하드웨어가 필요하며, 이 하드웨어의 상용화는 다소 시일이 걸릴 것이다.

시스템 인벤토리가 향후 대응을 위한 노력의 주요 로드맵 역할을 하게 되는 이유가 여기에 있다.

가트너 연구는 그간 모든 유형의 취약점을 겨냥한 공격 위험에 대응하기 위해 서 버 상에서 애플리케이션 제어와 화이트리스팅을 사용할 것을 권장해 왔다.

아직 완료하지 않았다면, 지금 물리적, 가상, 퍼 블릭 클라우드, 컨테이너 기반 등 서버 워크로드의 종류에 관 계없이 서버 워크로드 보호를 위한 ‘자동거부방식’을 적용해 야 할 시점이다.

이는 표준 관행으로 자리 잡아야 하며, 2018 년 모든 보안과 리스크 관리 책임자들이 가장 우선시해야 할 부분이다.

출처 : 디비가이드넷

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급

(070-7867-3721, ismsbok@gmail.com

세상을 바꾸고 싶다면, 이불 정리부터 시작해 (윌리엄 맥레이븐, 미해군 대장)

 뉴딜코리아 홈페이지

세상을 바꾸고 싶다면, 이불 정리부터 시작해

 윌리엄 맥레이븐 (William McRaven, 미해군 대장)

​

화제가 된 맥레이븐 장군의 졸업연설.
우리를 동기부여 해준 한 남자의 감동 이야기를 들어보자.
 - 세상을 변화시키는 큰 일도. 침대를 정돈하는 사소한 일에서 시작된다는 것.
 - 그리고 대장에 오를 수 있었던 비결은 딱 한가지였다고 말한다.

그가 대장에 오를 수 있었던 비결이 연설문 안에 있습니다.

인물 정보
 윌리엄 맥레이븐 (William McRaven | William Harry McRaven) 해군
 출생:1955년 11월 6일, 미국
 경력:2011.08~2014.08 미국 특수작전사령부 사령관
      2008.03~2011.08 미국 합동특수전사령부 사령관
      미국 네이비 실 소대장

뭔가 제대로 큰일을 하고 싶다면 ~

세상을 변화시키고 싶다면 아침에 이불 개는 작은 것부터 제대로 이루면서 하루를 시작하라!

모든 이를 존중하라!
삶은 공평하지 않다는 것을 명심하라!
위험을 감수한다면 가장 어려운 순간 앞으로 나서라!
...
이렇게 한다면 우리 다음 세대~
그리고 그들을 따르는 세대는 지금보다 훨씬 나은 세상에서 살게 될 것이다.

[연설문 녹취]

세상을 변화시키고 싶으세요?
침대 정돈부터 똑바로 하세요.


매일 아침 침대 정돈을 한다면,
여러분들은 그 날의 첫번째 과업을 완수하게 되는 것입니다.


그것은 여러분에게 작은 뿌듯함을 줄 것입니다.
그리고 다음 과업을 수행할 용기를 줄 것입니다.


하루가 끝나면, 완수된 과업의 수가
하나에서 여럿으로 쌓일 것입니다.


침대를 정돈하는 사소한 일이
인생에서 얼마나 중요한 역할을 하는지 보여줍니다.


여러분이 사소한 일을 제대로 해낼 수 없다면
큰일 역시 절대, 해내지 못 할 것입니다.


그리고 혹시, 비참한 하루를 보냈다면
여러분은 집에 돌아와, 정돈된 침대를 보게 될 것입니다.
여러분이 정돈한 침대를요.
이것은 여러분에게 내일은 할 수 있다는 용기를 줄 것입니다.


해군 특수부대는 장시간 수영에 완벽해야 합니다.
그중 하나는 야간 수영입니다.
교관은 물에 들어가기 전, 훈련생들에게 즐겁게 설명을 합니다.
수 많은 상어들이 득실거리는 센클렌이라는 바다 안에서요.
하지만 그들은 장담했습니다.
아직까지 상어에게 잡혀 먹힌 훈련생은 없다고요.
적어도 그들이 기억하기엔 말이죠.
그러나 우리가 배운 것은
상어가 우리 주변을 빙빙 돌더라도
내 자리를 지켜야 한다는 것입니다.
헤엄쳐 도망가지 마세요.
두려워 하지 마세요.
만약 야심에 굶주린 상어가 당신에게 돌진한다면
모든 힘을 모아서 상어의 얼굴에 주먹을 날리세요.
그러면 돌아서서 도망갈 겁니다.


이 세상엔 수많은 상어들이 있습니다.
여러분이 수영을 완벽하게 하고 싶다면
상어도 다룰 줄 알아야 합니다.
그러니 세상을 바꾸고 싶다면
상어에게 등을 보이지 마십쇼.


고단한 훈련이 몇 주가 지나며
처음 150명이었던 훈련생들은
이제 고작 42명밖에 남지 않았습니다.
한 보트에 7명씩, 팀이 만들어졌습니다.
제 보트에는 키 큰 친구도 있었죠.
그러나 최고의 팀은
키 작은 훈련생들로 구성된 팀이었습니다.
난쟁이 선원이라고 불리곤 했죠.
165cm를 넘는 사람이 없었습니다.
난쟁이 보트에는 인디언 아메리칸 한명, 아프리카계 한 명, 폴란드계 한 명,
그리스계 한 명, 이탈리아계 한 명, 중서부에서 온 터프한 아이 두명이 있었습니다.


그들은 남들보다 더 많이 노를 저었고,
더 빠르게 뛰었고, 더 오래 헤엄쳤습니다.
다른 팀의 덩치큰 훈련생들은 물에 들어가기 전에는
그 난쟁이 선원들을 비웃었습니다. 그들이 작은 발에 신은 작은 오리발을 보면서요.


그런데 신기한 건, 이 작은 친구들은
세상 어디에서나 항상 마지막에 웃는 사람들이었다는 것입니다.
그들은 빠르게 헤엄쳐 나가 다른 훈련생이 허우적 될 때, 이미 해안가에 도착해 있었습니다.


SEAL은 매우 평등합니다.
성공하려는 의지, 그 밖에 어떤 것도 중요하지 않습니다.
당신의 피부색, 배경, 교육수준, 지위. 중요하지 않습니다.


당신이 세상을 바꾸고 싶다면
그들이 가진 오리발의 크기가 아니라.
사람들이 갖고 있는 마음의 크기를 보세요.


훈련 9주차는 지옥의 주입니다.
6일동안 잠을 자지 않고, 끊임없는 정신적, 신체적 고통이 밀려옵니다.
그리고 갯벌에서 특별한 하루를 보냅니다.
갯벌은 센디에고와 티후아나 사이에 있는데,
물이 빠지면서 티후아나 지옥이 만들어집니다.
당신을 완전히 늪으로 에워싸버리는 곳이죠.
그리고 지옥의 수요일이 되면
갯벌에 들어가서 15시간 동안 노를 젓습니다.
칼날 같은 추위와 매서운 바람속에서 생존하기 위해서
그리고 교관들은 끈임없이 포기하라고 압박해오죠.
수요일 저녁, 해가 지기 시작하면서
훈련생들이 열을을 맞추어 모이면 교관은 저희에게 말합니다.
"5명이 그만두면 진흙에서 나오게 해 주겠다!
딱 5명이다. 5명이면 된다. 그럼 그 얼음속에서 나오게 해 주겠다.
주위를 둘러봐라 누가 포기할지 알겠다.
해가 뜨려면 아직 8시간이 남았다. 8시간 더 있어야 한다."
그 살얼음에서 이빨은 계속 딱딱 부딛치고,
갯벌 전체가 훈련생들의 신음으로 뒤덮여서
다른 소리는 아무것도 들을 수 없었습니다.
그런데 한 목소리가 그 사이를 뚫고 퍼져 나갔습니다.
그 목소리는 노래로 퍼져 나갔고
목소리는 심하게 떨렸지만 뜨거움으로 가득 찼습니다.
한 목소리는 두 목소리가 되었고, 둘은 셋, 얼마 후 모두가 노래를 부리기 시작했습니다.
교관은 우리에게 협박을 했습니다.
노래를 계속 부르면 진흙 속에 더 오래 가둘 것이라고, 그러나 노래는 계속되었습니다.
그리고 무슨 이유에선지.. 진흙이 따뜻해지기 시작했습니다.


제가 세상을 돌아다니면서
배운 것이 하나 있다면 그것은 바로 희망의 힘입니다.
바로 한 사람의 힘. 워싱턴, 링컨, 킹, 만델라, 그리고 파키스탄의 젊은 소녀 마랄라까지.
한 사람이 세상을 변화시킬 수 있습니다.
사람들에게 희망을 보여줌으로써~
"세상을 변화시키고 싶습니까?"
"작은 일을 제대로 해내면서, 하루를 시작하세요."
"당신의 인생을 도와줄 사람을 찾으세요."
"각자를 존중하세요."
"삶은 공평하지 않다는 것을 알아두세요."
"실패도 할 것입니다."
"그러나 여러분이 위험을 감수한다면~ 가장 힘든 순간, 앞으로 나서세요"
"약자를 괴롭히는 사람을, 똑바로 맞서세요. 약자를 도우세요."
"절대로 포기하지 마세요!"
"당신이 그렇게 한다면 우리 후손들이 또 그들을 따르는 세대는
우리가 사는 세상보다 더 나은 곳에서 살게 될 것입니다."

[출처] William McRaven. 미해군 대장의 연설문|

EU 제29조 작업반 GDPR 가이드라인 발간 현황 (2018-03-02)

 뉴딜코리아 홈페이지 

EU 제29조 작업반 GDPR 가이드라인 발간 현황

(2018-03-02)

1. 제29조 작업반 GDPR 가이드라인 발간 현황

■ DPO 임명 (Data Protection Officer)
- 발간 현황 : 2017년 4월 최종 발간
- 향후 일정 :

■ 개인정보 이동권 (The right to data portability)
- 발간 현황 : 2017년 4월 최종 발간
- 향후 일정 :

■ 선임 감독기구 (The lead supervisory authority)
- 발간 현황 : 2017년 4월 최종 발간
- 향후 일정 :

■ 개인정보 영향평가 및 고위험 초래 개인정보처리
  (Data Protection Impact Assessment and determining whether processing is “likely to result in a high risk”)
- 발간 현황 : 2017년 10월 최종 발간
- 향후 일정 :

■ 과징금 부과 (The application and setting of administrative fines)
- 발간 현황 : 2017년 10월 최종 발간
- 향후 일정 :

■ 자동화된 의사결정 및 프로파일링 (Automated decision-making and profiling)
- 발간 현황 : 2017년 10월 초안 발간
- 향후 일정 : 최종 검토 중

■ 개인정보 유출 통지 (Data breach notification)
- 발간 현황 : 2017년 10월 초안 발간
- 향후 일정 : 최종 검토 중

■ 동의 (Consent)
- 발간 현황 : 2017년 11월 초안 발간
- 향후 일정 : 최종 검토 중

■ 투명성 (Transparency)
- 발간 현황 : 2017년 11월 초안 발간
- 향후 일정 : 최종 검토 중


2. 제29조 작업반 작업 문서(Working document) 발간 현황

▶ 적정성 평가 참고 자료 (Adequacy Referential)
- 발간 현황 : 2017년 11월 최종 발간
- 향후 일정 :

▶ 컨트롤러를 위한 구속력 있는 기업 규칙(Controller Binding Corporate Rules, BCR)
- 발간 현황 : 2017년 11월 최종 발간
- 향후 일정 :

▶ 프로세서를 위한 구속력 있는 기업 규칙(Processor Binding Corporate Rules, BCR)
- 발간 현황 : 2017년 11월 최종 발간
- 향후 일정 :


※ 가이드라인 및 작업 문서 발간은 초안 발간 > 의견 수렴 > 최종 검토 > 최종 발간 순으로 진행

발간 현황은 제29조 작업반의 추후 발간 일정에 맞춰 업데이트 할 예정입니다.
제29조 작업반 발간 GDPR 가이드라인은 아래의 링크에서 확인하실 수 있습니다.

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083