미국 정보기관 제로데이 취약성 대응 활동의 법정책적 시사점

오일석

추천

검색

질문

자료유형: 학술저널

저자정보: 오일석 (국가안보전략연구원)

저널정보: 미국헌법학회 미국헌법연구 美國憲法硏究第30卷第2號

발행연도: 2019.8

수록면: 143 - 185 (43page)

이용수

📌

연구주제

📖

연구배경

🔬

연구방법

🏆

연구결과

초록· 키워드

오류제보하기

제로데이 취약성(Zero-day vulnerabilities)은 소프트웨어 개발 회사들이 인지하지 못하여 아직 패치가 개발되지 않은 취약성을 말한다. 이 취약성에 대응하거나 패치를 개발할 시간적 여유가 아예 없으며 모두가 지금 현재 취약하다는 점에서 이를 제로데이 취약성이라 한다. 제로데이 취약성을 이용한 사이버공격은 마치 레이더에 탐지되지 않는 스텔스 전투기를 이용하여 상대방의 중심부에 침투한 다음 치명적인 공격을 감행하는 것과 같다. 이러한 점 때문에 국가기관과 관련 기업들은 시장에서의 거래를 통해 제로데이 취약성 관련 정보를 축적하고 관리하고자 한다.
제로데이 취약성 거래 시장은 공개(White), 지하(Black), 회색(Gray) 시장으로 이루어져 있다. 공개 시장에서의 제로데이 취약성 가격은 회색시장이나 지하시장에 비하여 상대적으로 낮기 때문에 심각한 사이버공격을 초래하는 제로데이 취약성 정보가 거래되는 경우는 매우 드물다. 적성 국가나 조직범죄, 테러집단이 지하시장을 이용하여 제로데이 취약성을 이용한 사이버공격을 감행하는 경우 국가는 심각한 안보위기 상황에 직면할 수도 있다. 각국은 회색시장에서 제로데이 취약성 거래를 통해 사이버공간에서의 지배력과 억지력을 확보하고자 하고 있다. 그런데 이러한 활동은 첩보 정보를 수집하고, 테러정보를 식별하며 조직범죄에 대응하고 있는 정보기관에 의하여 수행되는 것이 유리하다. 그렇지만 정보기관의 제로데이 취약성 관련 활동에 대하여는 의회가 예산권 행사와 민주적 정당성의 측면에서 통제할 필요가 있다.
우리나라도 국가정보원으로 하여금 제로데이 취약성 정보에 대한 수집과 관리 등을 수행하도록 하여 국가적 사이버안보 위협에 대응하도록 하는 것이 긴요하다. 이 경우 국가정보원의 제로데이 취약성 관련 사이버안보 활동에 대한 감시와 통제도 강화할 필요가 있다. 따라서 국민의 대표기관이며 예산 심사권을 갖는 국회로 하여금 국가정보원의 이러한 활동을 감시 · 통제하도록 하는 것이 바람직하다.
이를 위하여 우선 ‘제로데이 취약성 정보공유 체계’를 구축하고, 국가정보원내에 ‘제로데이 취약성지원센터(가칭)’를 설립하는 것을 고려할 필요가 있다. 또한 국가정보원의 제로데이 취약성 관련 모든 활동에 대하여는 국회에 보고하도록 할 필요가 있다.

Zero-day vulnerability is a flaw that is unknown to the party or parties, especially the software vendors, responsible for patching or fixing it. Zero-day means there is no time to patch or cure it between the vulnerability is discovered and the first attack. Cyber attacks using Zero-day vulnerabilities would be attacks using stealth fighters in the physical battel field. Cyber attacks using Zero-day vulnerabilities would make great damages against business operations, critical infrastructures and national security interest. Therefore government authorities and business entities would like to collect, control and maintain Zero-day vulnerabilities.
To do this, these authorities and entities would like to trade Zero-day vulnerabilities in white, black or gray markets. However in white market it is very difficult to acquire critical or vital Zero-day vulnerabilities because of the cheap price. In the black market hackers can trade critical or vital Zero-day vulnerabilities to terrorists, terror organizations or adversary countries, which can use it in the cyber attacks threatening national security interests.
Therefore advanced countries such as U.S.A. would like to establish deterrence and governance in cyber space by trading Zero-day vulnerabilities in gray markets. Intelligence authorities have confronted with the organized crimes, terrorist and terrorist organizations. Therefore intelligence authorities shall collect, cumulate and maintain Zero-day vulnerabilities in gray markets by purchasing them. However intelligence authorities activities related with Zero-day vulnerabilities shall be controlled by congress allocating budgets with democratic justice.
To confront and respond national crisis in cyber space arising from Zero-day vulnerabilities in Korea, it shall be considered establishing a policy that National Intelligence Service(NIS) should have an important role in collecting, cumulating and controling Zero-day vulnerabilities. However NIS"s activities in this field shall be directed or supervised by National Assembly allocating budgets with democratic justice.
To support the NIS activities and to make National Assembly"s supervision, it is necessary to establish national wide governance system and revising or enacting laws and regulation. We recommend to establish ‘the Zreo-day Vulnerability Information Sharing System’ in government authorities, and to establish so called ‘the Zero-day Vulnerability Assist Center’ in NIS. In this case NIS shall report its activities to National Assembly.

#제로데이 취약성 #버그바운티(Bug Bounty) #국가정보원 #국회 통제 #제로데이취약성지원센터(가칭) #Zero-day Vulnerability #Bug Bounty #National Intelligence Service #National Assembly supervision #so called 'the Zero-day Vulnerability Assist Center'

참고문헌 (0)

참고문헌 신청

참고문헌이 DBpia에서 서비스 중이라면, [참고문헌 신청]을 통해 등록해보세요

함께 읽어보면 좋을 논문

논문 유사도에 따라 DBpia 가 추천하는 논문입니다. 함께 보면 좋을 연관 논문을 확인해보세요!

이 논문의 저자 정보

오일석

소속기관 국가안보전략연구원

주요연구분야 사회과학 > 법학 TOP 10% 사회과학 > 기타 사회과학

논문수 6 이용수 5,179

이 논문과 함께 이용한 논문

영상 딥러닝 모델을 이용한 End-to-End 악성코드 탐지

신종호 , 조민경 한국통신학회 학술대회논문집 2019 .01

디지털 증거 수집을 위한 온라인 수색의 허용가능성에 관한 연구

정대용 디지털포렌식연구 2018 .06

ARP 공격 시그니처 정보에 기반한 스푸핑 공격 탐지 및 차단 모델

최준호 , 이수원 , 서영건 디지털콘텐츠학회논문지 2022 .08

NIDPS기반 대용량 트래픽 제로데이 공격 피해 최소화를 위한 궤환 시스템

정장현 , 최성곤 한국통신학회 학술대회논문집 2020 .08

테러와의 전쟁과 입헌주의의 위기에 관한 헌법적 연구

김승대 법학연구 2014 .11

최근 본 자료

전체보기

UCI(KEPA) : I410-ECN-0101-2019-362-000966650

구분	그룹	데이터 항목
AI 학습용 데이터	원문	원문 PDF 파일
AI 학습용 데이터	원문 + 메타 (기본/상세)	원문 PDF 파일 및 서지정보 CSV
대량 구매용 데이터	B2B 구독 방식	특정 자료 한정으로 원문 접근 권한 부여
대량 구매용 데이터	URL 전달 방식	바로 PDF 뷰어를 열람할 수 있는 URL 제공

구분	그룹	데이터 항목
AI 학습용 데이터	기본 메타	발행기관명, 간행물명, 권호명, 권(vol), 호(issue), 통권, 발행연도, 발행월, 논문명, 저자명, 시작페이지, 종료페이지, 전체페이지, 상세페이지URL
상세 메타 데이터	발행기관 메타	발행기관 이명, 영문명, 창립연도, 홈페이지URL, 발행기관 소개
	간행물 메타	부제목, 간행물 유형, ISSN, ISBN, 최초발행연도, 폐간연도, 간행빈도, 발행주기, 등재사항, 이용수, 피인용수, 권호수, 논문수, 표지이미지
	논문 메타	작성 언어, 부제목, 대등제목, 목차, 키워드, 초록, 이미지, 참고문헌, 이용수, 피인용수, 논문활용도, DBpia통합주제분류, KDC분류, DDC분류, 한국연구재단분류, UCI, DOI
	저자 메타	소속기관, 소속부서, 직급, 연구분야, 연구키워드, 이용수, 피인용수, 저자 논문활용도

구분	그룹	데이터 항목
※ 결합형/맞춤형 메타 데이터는 신청 내용에 따라 다양하게 제공 가능
이용순위 정보	주제분야별 많이 이용된 논문	“인문학”에서 많이 이용된 논문 TOP100
	이용기관별 많이 이용된 논문	“중고등학교”에서 많이 이용된 논문 TOP100
	세부기관별 많이 이용된 논문	“서울대학교”에서 많이 이용된 논문 TOP100
	키워드별 많이 이용된 논문	“Chat GPT”에서 많이 이용된 논문 TOP100
키워드 정보	많이 이용된 키워드	특정기간/분야/저널 내 많이 이용된 키워드
	많이 발행된 키워드	특정기간/분야/저널 내 많이 발행된 키워드
	많이 검색된 키워드	특정기간/분야/저널 내 많이 검색된 키워드
	연구 트렌드 키워드	특정 키워드 연관 연구동향 분석 데이터 키워드

논문 기본 정보

초록· 키워드

AI 요약

연구주제

연구배경

연구방법

연구결과

주요내용

목차

참고문헌 (0)

함께 읽어보면 좋을 논문

이 논문의 저자 정보

이 논문과 함께 이용한 논문

최근 본 자료

댓글(0)