GN⁺: Ask HN: 나는 FCC 커미셔너로서 IoT 보안 업데이트 규제 제안 중
(news.ycombinator.com)-
- IoT에서 심각한 취약점이 흔하며, 이러한 문제가 최종 사용자 장치에서 패치되는 데 너무 오래 걸립니다.
- 제품의 보안 업데이트를 위해 제조업체가 장치를 지원하는 기간이 판매 시점에 통보되지 않는 경우가 많습니다.
- FCC가 최근 연결된 장치에 대한 사이버 보안 라벨링 프로그램을 위한 제안 규칙 공고를 발행했습니다.
- 제품이 보안 업데이트를 받을 기간을 공개하는 것이 이러한 기준 중 하나가 되도록 강력히 주장했습니다.
- 많은 제조업체들이 보안 업데이트에 대한 어떠한 약속도 하기를 반대하고 있습니다.
- FCC와 백악관은 장치 제조업체의 이야기만 듣는다면 강력한 입장을 취할 가능성이 낮습니다.
- 당신이 불안전한 프로토콜, 노출된 개인 키 등의 끔찍한 보안을 경험했습니다.
- '왜 이런 것들에 대한 규칙이 없는가?'라는 질문을 받았습니다.
- 이것이 규칙이 어떻게 되어야 하는지에 대한 당신의 생각을 말하고 기록에 남기는 기회입니다.
- 영향을 미치고 싶다면, 2023년 9월 25일 (ET 자정)까지 규칙 제정 절차에 의견을 제출해야 합니다.
- FCC는 당신의 논거를 고려해야 합니다.
- 저는 당신의 의견을 듣고 배우기 위해 여기에 있습니다.
- 저의 법률 고문인 Marco Peraza도 질문에 답변할 것입니다.
- FCC의 동료들도 당신의 아이디어를 수용하고, 심지어 저가 틀렸다는 것을 인정하는 데 열려 있기를 바랍니다. 감사합니다!```
Hacker News 의견
- FCC 위원이 IoT 보안 업데이트 규제를 제안하고 HackerNews 커뮤니티와 토론 및 피드백을 위해 소통하고 있다.
- FCC는 이 제안에 대한 공식적인 의견을 9월 25일까지 온라인으로 제출 받고 있다. 모든 의견은 최종 규칙에 반영될 것이다.
- 토론에는 펌웨어 엔지니어들의 견해를 포함한 다양한 관점이 포함되어 있으며, 이들은 보안 결함의 정의, 원격 업데이트의 잠재적 보안 위험, 그리고 취약한 장치에 대한 공격으로 인한 제조업체의 손해 책임에 대해 질문을 제기한다.
- 일부 의견은 IoT 장치와 관련된 사이버 범죄의 증가, 특히 충돌 지역에서, 그리고 이러한 장치가 불법 감시 또는 공격 조정에 사용될 가능성을 강조한다.
- 제조업체, 특히 소규모 팀이 취약점을 파악하고 보안을 유지하는 데 직면한 도전과, 그들이 사업을 폐업하거나 웹사이트가 침해당할 경우에 대한 우려가 있다.
- IoT 장치가 중앙 서비스와의 연락 없이 작동할 수 있어야 하며, 내재된 보안 위험을 피하기 위해 분리된 또는 자체 관리 환경에서의 최소 기능을 요구하는 규칙이 있어야 한다는 제안이 있다.
- 제조업체가 최소한의 기간 동안 그들의 장치를 지원하고 지원이 끝나면 전체 소스 코드를 공개해야 하며, 이를 통해 소비자가 펌웨어를 제어하고 장치가 사용 불능 상태가 되는 것을 방지할 수 있어야 한다는 요구가 있다.
- 제안된 규제의 집행 가능성에 대한 우려, 특히 해외 제조업체에 대한 것, 그리고 강력한 IoT 플랫폼이 장치를 감사하고 기준을 충족하지 못하는 것들을 금지해야 할 것이라는 제안이 있다.