2019.11.20

미국 출장 시 새로운 데이터 보안 규제에 대해 알아야 할 사항

Mike Elgan | Computerworld
모든 사람이 휴대전화와 노트북에 데이터를 복사하려고 한다. 사이버범죄자도 마찬가지다. 이런 때에 사용자가 자신의 권리를 보호하고 산업스파이를 피하는 방법을 알아보자. 

당신이 출장을 마치고 귀국할 때 출입국 관리소 직원이 휴대전화와 노트북에 있는 모든 데이터를 합법적으로 복사할 수 있나? 과거에는 일반적으로 그랬다. 미래에는 아마도 그렇지 못할 것이다. 

검색 횟수도 지난 몇 년 동안 매년 빠르게 증가했다. 지난주 미국의 한 연방판사는 세관국경보호국(CBP)이 합리적인 의심 없이도 공항과 국경에서 스마트폰과 노트북을 재량껏 검색할 수 있도록 한 트럼프 행정부의 정책을 기각했다. 

미국 시민자유연합(American Civil Liberties Union: ACLU)과 일렉트로닉 프런티어 재단(Electronic Frontier Foundation: EFF)은 이 판결을 지지했다. 두 단체 모두 미국으로 돌아오는 중에 기기를 수색당한 11명의 사람을 대신해 2017년 연방정부를 고소했다(판례는 알라사드(Alasaad) 대 맥커리넌(McAleenan)). 

과거에는 미국에 들어오거나 나가는 지점은 수정헌법 제4조의 ‘회색지대’로 취급돼 정부의 ‘불합리한 수색과 압수’에 대한 헌법의 금지조항이 적용되는지가 명확하지 않았다.

그 판결은 그것이 정말로 적용됨을 분명하게 했다. 보스턴의 데니스 캐스퍼 미국 지방법원 판사는 영장 없는 수색은 “한계가 없는 것이 아니며, 여전히 합리적이어야 한다”라고 판시했다.
 
ⓒU.S. Customs and Border Protection


ACLU의 변호사인 네이썬 웨슬러는 그 사건이 아직 끝나지 않았다고 전했다. 판사는 이 판결이 모든 사람에게 적용되는지 아니면 미국 시민권자와 미국 거주자에게만 적용되는지를 포함하여, 여전히 이 사건의 몇 가지 특정 요소들에 대해 판결을 내려야 한다. 

소피아 코프 EFF 수석 변호사는 이번 판결에 대해 “메뉴얼(기본)과 포렌식(첨단) 등 모든 기기 수색에 대해 합리적인 의심이 있어야 한다. 즉, 아동 포르노, 저작권이 있는 미디어, 기밀정보 등 디지털 밀수품을 검색하고 이를 차단하는 범위로 수색은 제한된다”라고 말했다.

결정적으로, 이 사건에서 판사는 불법행위의 일반적인 증거에 대한 광범위한 수색이 국경수색의 주요 목적인 밀수 금지와 관련이 없다는 것을 인정했다.

코프는 미국 정책의 한 가지 파장은 다른 나라들이 그것에 의해 영향을 받을 수 있다는 점이라고 지적했다. 그녀는 “우리는 항상 최악의 상태로 치닫는 것을 우려해왔다”라면서 이번 판결로 다른 나라들의 침략적인 국경 정책이 늦춰질 것이라는 희망을 내비쳤다. 

그녀는 “정부는 항소 여부를 60일 안에 결정할 수 있다”라고 밝혔다. 


미국 세관 수색에서 데이터를 보호하기 위해 알아야 할 사항

국토안보부 대변인은 CBP가 2019 회계연도(10월 1일에 시작되어 9월 30일에 끝남)에 40,913건의 전자기기 국경수색을 실시했다고 지난주에 말했다. 그는 이 수색이 그해 미국 입국장을 통과하는 여행객 4억1,400만 명 중 0.01%에도 못 미친다고 지적했다. 

CBP는 작년에 3만 200개의 기기를 수색했는데, 이는 2017년보다 약 60% 증가한 수다. 달리 말해, 수색 건수는 지난 몇 년 동안 매년 빠르게 증가해왔다. 

웨슬러는 판결에도 불구하고 출입국 관리들이 당신의 스마트폰이나 노트북을 압수해 모든 콘텐츠를 다운받을 가능성이 있으며, 그 순간에는 당신이 할 수 있는 일이 별로 없다고 말했다.

그는 그들에게 당신이 수색에 반대한다고 정중히 말하라고 충고했다. 이는 후속 소송에서 도움이 될지는 모르지만, 아마도 그렇지도 않을 것이다. 수색에 동의한다고 말하는 것은 향후 소송에서 당신의 사건에 해가 될 수 있다.

출입국 관리들이 당신의 데이터를 복사하는 것을 막을 수 있는 유일한 말은 특정 정보가 변호사-고객 면책특권에 해당한다는 것이다. 그 밖에, 정부는 ‘개인적인’ 데이터와 회사 기밀을 구별하지 않는다.
 
CBP에 의해 복사되는 당신의 데이터에 관한 위험은 단순히 당신이 통제할 수 없는 또 다른 복사본이 있음을 의미한다는 점이다. 그것은 사이버범죄자들을 위해 ‘프리랜서로 일하는’ 에이전트의 손에 들어갈 수 있다. 

세관이 데이터를 갖지 못하도록 하는 가장 강력한 방법은 다음과 같다. 즉, 클라우드에 저장하라. 

정부는 기기의 저장 매체에 저장된 데이터와 클라우드 내 장치를 통해 이용할 수 있는 데이터를 크게 구별한다. 

클라우드 데이터는 검색이 엄격히 금지되어 있다. 특히, ‘전자 기기의 국경 수색’에 관한 CBP 지침의 5.1.2항에 따르면, 그러한 수색은 ‘기기에 상주하며 기기의 운영 체제나 다른 소프트웨어, 툴 또는 애플리케이션을 통해 접근 가능한 정보만’ 관여할 수 있다. 또한, ‘관리들은 전적으로 원격으로 저장된 정보에 접근하여 의도적으로 사용해서는 안 된다.’

이 지침은 관리들이 “여행자에게 어떤 네트워크에 대한 연결을 비활성화하도록 요청하거나(예: 비행기 모드에 장치를 둠), 국가 보안, 법 집행, 관리 안전 또는 기타 운영상 고려사항에 의해 보장되는 경우, 관리들은 스스로 네트워크 연결을 비활성화할 것”을 요구한다.

분명한 것은 데이터를 클라우드에 보관하는 것은 합법적으로 미국 국경 관리가 접근할 수 없는 곳에 데이터를 배치하는 것이다.


산업스파이로 인한 더 큰 위험
국경 상황이 변하면서, 기존 산업스파이 활동 영역도 변하고 있다. 산업스파이에 관해 알아야 할 3가지 가장 중요한 사실들은 다음과 같다. 

1. 당신이 생각하는 것보다 흔하다. 
2. 증가 추세에 있다. 
3. 업무차 출장을 가는 사람들이 특히 취약하다. 

미 법무부는 산업스파이는 점증하는 위협이라고 언급했다. 

독일정보기술협회는 2016년부터 2018년까지 전체 독일 기업의 절반 이상이 스파이, 데이터 도난 또는 사보타주 등의 피해를 보았다고 밝혔다. 독일 기업들이 도난당한 데이터의 가치만 500억 달러 정도로 추산된다. 

미국 기업들의 경우 도난 데이터의 가치가 2년 전에 6,000억 달러로 추정되었다. 산업스파이는 많은 전문가가 생각하는 것보다 흔하다. 그 이유는 다음과 같다. 

랜섬웨어나 디도스 공격 등은 모두가 알고 있다. 그리고 그럴 만한 이유가 있다. 그 공격들의 중요한 요점은 당신이 그것들에 대해 확실히 알고 있다는 것이다.

산업스파이는 정반대다. 중요한 점은 당신이 확실히 그것들을 전혀 알지 못한다는 것이다. 

대부분 공격의 타격은 당신이 안다. 기업 데이터 도용으로 인한 타격은 잘 모른다. 결과적으로, 그러한 공격의 빈도는 과소평가된다. 

산업스파이는 완전히 첩보영화처럼 들리며, 종종 외국 스파이 기관들은 스파이 활동을 하고 있다고 가정된다. 사실, 그러한 공격들은 다른 직원들에 의해, 경쟁 회사들에 의해 실행된다. 때로는 해커들이 다크넷에서 당신의 데이터를 팔려고 하는 경우도 있다.

모든 해커 그룹에게 비즈니스 출장자들은 더 쉬운 목표대상이 될 수 있다. 그들은 물리적 보안에 의해 보호되지 않는다. 그들의 기기에는 대개 크리덴셜에 대한 데이터와 정보뿐만 아니라, 예를 들어 동료, 파트너 및 고객에 대한 연락 정보 같은 미래의 사회 공학 공격에 유용한 임의의 정보도 포함되어 있다.

산업스파이 공격은 항상 기업비밀이나 지적재산을 목표로 하는 것은 아니다. 때때로 그들은 고객 정보나 다른 비즈니스 첩보 정보를 찾고 있다.

산업스파이를 위해 비즈니스 출장자를 대상으로 하는 방법은 호텔 객실을 비우고 외출한 동안 객실의기기를 훔치는 것부터 당신이 술집에 있는 동안 스마트폰을 슬쩍하는 것까지 다양하다.

당신 자신과 당신 회사를 보호하는 법
2020년이 다가오면서, 보안 전문가의 규칙, 법률, 모범 사례와 악의적인 사이버 범죄자 및 정부의 최악의 관행에 대해 우리가 알고 있는 모든 것과 함께, 회사 데이터를 보호하기 위해 당신과 당신 회사의 출장자들이 해야 할 일은 다음과 같다. 

- 출장 전에 모든 장치에서 민감하거나 일시적으로 귀중한 데이터를 모두 제거하라
- 나중에는 보안되는 VPN 연결을 통해서만 그것들에 접근하라
- 출장 전 남아있는 비민감성 데이터는 백업해 두라
- 비밀번호로 보호될 수 있는 모든 것은 강력하고 좋은 비밀번호로 보호되는 것을 확인하라
- 휴대전화의 와이파이 자동연결을 꺼 두라
- 해외 출장에서 백업된 데이터를 가지고 귀국할 때 기기를 지우고 다시 시작하라

출장자들에게 또 다른 위험은 보안성이 없는 여행 앱의 존재다. 짐페리움(Zimperium)의 z랩스(Labs)의 모바일 보안 연구자들은 상위 30개 여행 앱 중 모든 iOS 앱이 개인 정보 보호와 보안 벤치마크에 실패했다는 것을 발견했다. 안드로이드 앱 중 45%가 개인정보 침해에, 97%가 보안에 실패했다. 그러므로 그것들을 조심하라. 

핵심은 비즈니스 출장자들이 특히 데이터 절도에 희생되기 쉽다는 것이다. 미국 세관은 여전히 하나의 위험이다. 그리고 산업스파이는 점증하는 위험이다. 안전한 출장을 위해 새로운 ‘규칙’을 이해하고 적용함으로써, 당신은 당신의 데이터와 당신 회사의 데이터가 잘못된 손에 들어가는 것을 막을 수 있다. ciokr@idg.co.kr



2019.11.20

미국 출장 시 새로운 데이터 보안 규제에 대해 알아야 할 사항

Mike Elgan | Computerworld
모든 사람이 휴대전화와 노트북에 데이터를 복사하려고 한다. 사이버범죄자도 마찬가지다. 이런 때에 사용자가 자신의 권리를 보호하고 산업스파이를 피하는 방법을 알아보자. 

당신이 출장을 마치고 귀국할 때 출입국 관리소 직원이 휴대전화와 노트북에 있는 모든 데이터를 합법적으로 복사할 수 있나? 과거에는 일반적으로 그랬다. 미래에는 아마도 그렇지 못할 것이다. 

검색 횟수도 지난 몇 년 동안 매년 빠르게 증가했다. 지난주 미국의 한 연방판사는 세관국경보호국(CBP)이 합리적인 의심 없이도 공항과 국경에서 스마트폰과 노트북을 재량껏 검색할 수 있도록 한 트럼프 행정부의 정책을 기각했다. 

미국 시민자유연합(American Civil Liberties Union: ACLU)과 일렉트로닉 프런티어 재단(Electronic Frontier Foundation: EFF)은 이 판결을 지지했다. 두 단체 모두 미국으로 돌아오는 중에 기기를 수색당한 11명의 사람을 대신해 2017년 연방정부를 고소했다(판례는 알라사드(Alasaad) 대 맥커리넌(McAleenan)). 

과거에는 미국에 들어오거나 나가는 지점은 수정헌법 제4조의 ‘회색지대’로 취급돼 정부의 ‘불합리한 수색과 압수’에 대한 헌법의 금지조항이 적용되는지가 명확하지 않았다.

그 판결은 그것이 정말로 적용됨을 분명하게 했다. 보스턴의 데니스 캐스퍼 미국 지방법원 판사는 영장 없는 수색은 “한계가 없는 것이 아니며, 여전히 합리적이어야 한다”라고 판시했다.
 
ⓒU.S. Customs and Border Protection


ACLU의 변호사인 네이썬 웨슬러는 그 사건이 아직 끝나지 않았다고 전했다. 판사는 이 판결이 모든 사람에게 적용되는지 아니면 미국 시민권자와 미국 거주자에게만 적용되는지를 포함하여, 여전히 이 사건의 몇 가지 특정 요소들에 대해 판결을 내려야 한다. 

소피아 코프 EFF 수석 변호사는 이번 판결에 대해 “메뉴얼(기본)과 포렌식(첨단) 등 모든 기기 수색에 대해 합리적인 의심이 있어야 한다. 즉, 아동 포르노, 저작권이 있는 미디어, 기밀정보 등 디지털 밀수품을 검색하고 이를 차단하는 범위로 수색은 제한된다”라고 말했다.

결정적으로, 이 사건에서 판사는 불법행위의 일반적인 증거에 대한 광범위한 수색이 국경수색의 주요 목적인 밀수 금지와 관련이 없다는 것을 인정했다.

코프는 미국 정책의 한 가지 파장은 다른 나라들이 그것에 의해 영향을 받을 수 있다는 점이라고 지적했다. 그녀는 “우리는 항상 최악의 상태로 치닫는 것을 우려해왔다”라면서 이번 판결로 다른 나라들의 침략적인 국경 정책이 늦춰질 것이라는 희망을 내비쳤다. 

그녀는 “정부는 항소 여부를 60일 안에 결정할 수 있다”라고 밝혔다. 


미국 세관 수색에서 데이터를 보호하기 위해 알아야 할 사항

국토안보부 대변인은 CBP가 2019 회계연도(10월 1일에 시작되어 9월 30일에 끝남)에 40,913건의 전자기기 국경수색을 실시했다고 지난주에 말했다. 그는 이 수색이 그해 미국 입국장을 통과하는 여행객 4억1,400만 명 중 0.01%에도 못 미친다고 지적했다. 

CBP는 작년에 3만 200개의 기기를 수색했는데, 이는 2017년보다 약 60% 증가한 수다. 달리 말해, 수색 건수는 지난 몇 년 동안 매년 빠르게 증가해왔다. 

웨슬러는 판결에도 불구하고 출입국 관리들이 당신의 스마트폰이나 노트북을 압수해 모든 콘텐츠를 다운받을 가능성이 있으며, 그 순간에는 당신이 할 수 있는 일이 별로 없다고 말했다.

그는 그들에게 당신이 수색에 반대한다고 정중히 말하라고 충고했다. 이는 후속 소송에서 도움이 될지는 모르지만, 아마도 그렇지도 않을 것이다. 수색에 동의한다고 말하는 것은 향후 소송에서 당신의 사건에 해가 될 수 있다.

출입국 관리들이 당신의 데이터를 복사하는 것을 막을 수 있는 유일한 말은 특정 정보가 변호사-고객 면책특권에 해당한다는 것이다. 그 밖에, 정부는 ‘개인적인’ 데이터와 회사 기밀을 구별하지 않는다.
 
CBP에 의해 복사되는 당신의 데이터에 관한 위험은 단순히 당신이 통제할 수 없는 또 다른 복사본이 있음을 의미한다는 점이다. 그것은 사이버범죄자들을 위해 ‘프리랜서로 일하는’ 에이전트의 손에 들어갈 수 있다. 

세관이 데이터를 갖지 못하도록 하는 가장 강력한 방법은 다음과 같다. 즉, 클라우드에 저장하라. 

정부는 기기의 저장 매체에 저장된 데이터와 클라우드 내 장치를 통해 이용할 수 있는 데이터를 크게 구별한다. 

클라우드 데이터는 검색이 엄격히 금지되어 있다. 특히, ‘전자 기기의 국경 수색’에 관한 CBP 지침의 5.1.2항에 따르면, 그러한 수색은 ‘기기에 상주하며 기기의 운영 체제나 다른 소프트웨어, 툴 또는 애플리케이션을 통해 접근 가능한 정보만’ 관여할 수 있다. 또한, ‘관리들은 전적으로 원격으로 저장된 정보에 접근하여 의도적으로 사용해서는 안 된다.’

이 지침은 관리들이 “여행자에게 어떤 네트워크에 대한 연결을 비활성화하도록 요청하거나(예: 비행기 모드에 장치를 둠), 국가 보안, 법 집행, 관리 안전 또는 기타 운영상 고려사항에 의해 보장되는 경우, 관리들은 스스로 네트워크 연결을 비활성화할 것”을 요구한다.

분명한 것은 데이터를 클라우드에 보관하는 것은 합법적으로 미국 국경 관리가 접근할 수 없는 곳에 데이터를 배치하는 것이다.


산업스파이로 인한 더 큰 위험
국경 상황이 변하면서, 기존 산업스파이 활동 영역도 변하고 있다. 산업스파이에 관해 알아야 할 3가지 가장 중요한 사실들은 다음과 같다. 

1. 당신이 생각하는 것보다 흔하다. 
2. 증가 추세에 있다. 
3. 업무차 출장을 가는 사람들이 특히 취약하다. 

미 법무부는 산업스파이는 점증하는 위협이라고 언급했다. 

독일정보기술협회는 2016년부터 2018년까지 전체 독일 기업의 절반 이상이 스파이, 데이터 도난 또는 사보타주 등의 피해를 보았다고 밝혔다. 독일 기업들이 도난당한 데이터의 가치만 500억 달러 정도로 추산된다. 

미국 기업들의 경우 도난 데이터의 가치가 2년 전에 6,000억 달러로 추정되었다. 산업스파이는 많은 전문가가 생각하는 것보다 흔하다. 그 이유는 다음과 같다. 

랜섬웨어나 디도스 공격 등은 모두가 알고 있다. 그리고 그럴 만한 이유가 있다. 그 공격들의 중요한 요점은 당신이 그것들에 대해 확실히 알고 있다는 것이다.

산업스파이는 정반대다. 중요한 점은 당신이 확실히 그것들을 전혀 알지 못한다는 것이다. 

대부분 공격의 타격은 당신이 안다. 기업 데이터 도용으로 인한 타격은 잘 모른다. 결과적으로, 그러한 공격의 빈도는 과소평가된다. 

산업스파이는 완전히 첩보영화처럼 들리며, 종종 외국 스파이 기관들은 스파이 활동을 하고 있다고 가정된다. 사실, 그러한 공격들은 다른 직원들에 의해, 경쟁 회사들에 의해 실행된다. 때로는 해커들이 다크넷에서 당신의 데이터를 팔려고 하는 경우도 있다.

모든 해커 그룹에게 비즈니스 출장자들은 더 쉬운 목표대상이 될 수 있다. 그들은 물리적 보안에 의해 보호되지 않는다. 그들의 기기에는 대개 크리덴셜에 대한 데이터와 정보뿐만 아니라, 예를 들어 동료, 파트너 및 고객에 대한 연락 정보 같은 미래의 사회 공학 공격에 유용한 임의의 정보도 포함되어 있다.

산업스파이 공격은 항상 기업비밀이나 지적재산을 목표로 하는 것은 아니다. 때때로 그들은 고객 정보나 다른 비즈니스 첩보 정보를 찾고 있다.

산업스파이를 위해 비즈니스 출장자를 대상으로 하는 방법은 호텔 객실을 비우고 외출한 동안 객실의기기를 훔치는 것부터 당신이 술집에 있는 동안 스마트폰을 슬쩍하는 것까지 다양하다.

당신 자신과 당신 회사를 보호하는 법
2020년이 다가오면서, 보안 전문가의 규칙, 법률, 모범 사례와 악의적인 사이버 범죄자 및 정부의 최악의 관행에 대해 우리가 알고 있는 모든 것과 함께, 회사 데이터를 보호하기 위해 당신과 당신 회사의 출장자들이 해야 할 일은 다음과 같다. 

- 출장 전에 모든 장치에서 민감하거나 일시적으로 귀중한 데이터를 모두 제거하라
- 나중에는 보안되는 VPN 연결을 통해서만 그것들에 접근하라
- 출장 전 남아있는 비민감성 데이터는 백업해 두라
- 비밀번호로 보호될 수 있는 모든 것은 강력하고 좋은 비밀번호로 보호되는 것을 확인하라
- 휴대전화의 와이파이 자동연결을 꺼 두라
- 해외 출장에서 백업된 데이터를 가지고 귀국할 때 기기를 지우고 다시 시작하라

출장자들에게 또 다른 위험은 보안성이 없는 여행 앱의 존재다. 짐페리움(Zimperium)의 z랩스(Labs)의 모바일 보안 연구자들은 상위 30개 여행 앱 중 모든 iOS 앱이 개인 정보 보호와 보안 벤치마크에 실패했다는 것을 발견했다. 안드로이드 앱 중 45%가 개인정보 침해에, 97%가 보안에 실패했다. 그러므로 그것들을 조심하라. 

핵심은 비즈니스 출장자들이 특히 데이터 절도에 희생되기 쉽다는 것이다. 미국 세관은 여전히 하나의 위험이다. 그리고 산업스파이는 점증하는 위험이다. 안전한 출장을 위해 새로운 ‘규칙’을 이해하고 적용함으로써, 당신은 당신의 데이터와 당신 회사의 데이터가 잘못된 손에 들어가는 것을 막을 수 있다. ciokr@idg.co.kr



X