인도 정부는 "인도 통신 보안 보증 요건(Indian Telecom Security Assurance Requirements)"이라는 이름으로 스마트폰 보안 요건을 대대적으로 개편하는 방안을 제안했습니다. 이 방안에는 인도의 거대한 스마트폰 시장에서 증가하는 온라인 사기 및 사이버 위협 속에서 사용자 데이터 보호를 강화하기 위한 83개의 보안 표준이 포함되어 있습니다.
애플과 삼성 같은 거대 기술 기업들은 이러한 조치에 반대 하며, 해당 패키지가 국제적인 전례가 없고 dent 특히 애플이 강력하게 보호하고 있으며 과거 미국이나 중국과 같은 국가와 공유하기를 거부해 온 소스 코드와 같은 독점적인 세부 정보와 영업 비밀을 노출할 수 있다고 주장합니다.
하지만 해당 국가는 이러한 요구가 세계 2위 스마트폰 시장인 인도의 사이버 보안을 강화하기 위한 나렌드라 모디 총리의 광범위한 전략의 일환이라고 주장합니다.
인도 정부, 휴대전화 제조업체에 요구 사항 제시
다음은 목록 . 이는 일부 기술 기업들의 물밑 반발을 불러일으켰습니다.
- 소스 코드 공개 의무화는 제조업체가 테스트를 수행할 뿐만 아니라 정부 지정 연구소에서 검토할 수 있도록 독점 소스 코드를 제공하도록 요구하며, 이를 통해 공격자가 악용할 수 있는 휴대폰 운영 체제의 취약점을dent할 것으로 예상됩니다.
- 휴대전화가 비활성화된 상태일 때 앱이 백그라운드에서 카메라, 마이크 또는 위치 서비스에 접근하는 것을 제한하는 백그라운드 권한 제한이 필요하며, 해당 권한이 활성화된 경우 상태 표시줄에 지속적인 알림이 표시되어야 합니다
- 기기에서 주기적으로 경고를 표시하여 사용자가 모든 앱 권한을 검토하도록 유도하는 권한 검토 알림 기능으로, 지속적인 알림이 제공됩니다.
- 1년 동안 로그를 보존해야 하며, 이를 위해 기기는 앱 설치 및 시스템 로그를 포함한 보안 감사 로그를 최대 12개월 동안 저장해야 합니다.
- 주기적인 악성코드 검사란 휴대전화가 주기적으로 악성코드를 검사하고 잠재적으로 유해한 애플리케이션을dent것을 의미합니다.
- 휴대폰 운영 체제에 기본으로 설치된 앱 중 기본적인 휴대폰 기능에 필수적인 앱을 제외한 나머지 앱을 삭제할 수 있는 옵션입니다.
- 주요 업데이트 또는 보안 패치를 배포하기 전에 정부 기관에 알리는 것.
- 루팅 또는 탈옥된 휴대전화를 감지하여 지속적인 경고 배너를 표시하고 시정 조치를 권장하는 변조 감지 경고 기능입니다.
- 보안 수준 저하를 방지하기 위해 제조업체에서 공식적으로 서명한 이전 버전의 소프트웨어라도 설치를 영구적으로 차단하는 롤백 방지 기능입니다.
기술 기업들이 요구 사항에 대해 어떻게 생각하는가
인도 정부는 이러한 보안 요구 사항이 자국민 보호를 위한 것이라고 주장하며, 나렌드라 모디 총리의 데이터 보안 강화 정책과 맥을 같이한다고 밝혔습니다. 그러나 삼성, 애플, 샤오미, 구글 등 주요 기업들을 대표하는 인도 산업 단체인 MAIT는 특히 소스 코드 공유와 관련하여 반대 입장을 표명했습니다.
스마트폰 제조업체들을 대표하는 단체인 MAIT는 정부 제안에 대한 답변으로 작성한 기밀 문서에서 "기밀 유지와 개인정보 보호 문제로 이는 불가능하다" dent " EU , 북미, 호주, 아프리카의 주요 국가들은 이러한 요건을 의무화하지 않는다"고 밝혔습니다.
그들은 탈옥된 휴대폰을 감지하거나 변조를 방지할 확실한 방법이 없다고 주장하며, 롤백 방지 시스템에 표준이 부족하고, 많은 사전 설치된 앱은 중요한 시스템 구성 요소이므로 유지해야 한다고 말합니다.
MAIT(산업통상자원부)는 해당 부처에 제안을 철회해달라고 요청한 것으로 알려졌다고 내부 사정에 정통한 소식통이 전했다. 해당 업체가 제출한 문서에는 정기적인 악성코드 검사가 휴대전화 배터리를 상당히 소모시키며, 소프트웨어 업데이트는 시의적절한 수정을 위한 것이므로 정부 승인을 받는 것은 "비현실적"이라는 내용도 포함되어 있다.
정부가 요청한 최소 12개월간의 통화 기록 보관과 관련하여, MAIT는 대부분의 기기가 그러한 기록을 저장할 수 있는 용량을 갖추지 못해 요청을 이행하는 것이 불가능하다고 주장합니다.
MAIT의 지적에 대해 S. 크리슈난 IT 장관은 업계의 정당한 우려 사항은 열린 마음으로 검토하겠다고 밝히면서, "이 문제를 더 확대 해석하는 것은 시기상조"라고 덧붙였습니다
한편, 해당 부처 대변인은 기술 기업들과 제안에 대한 협의가 진행 중이라며 더 이상의 언급을 거부했습니다.
