9월 11일~9월 15일 동안의 보안 소식을 되짚다

[보안뉴스 박은주 기자]〈퀴즈 이·보·소!〉는 한 주간의 보안 소식을 퀴즈로 되짚어 볼 수 있도록 정리한 코너입니다. 퀴즈를 풀며 이슈를 복습해 보고, 보안 지식을 넓혀보세요.

1. 19일~20일 코엑스에서 아시아 최대 규모의 사이버 시큐리티 콘퍼런스가 개최된다. 올바른 행사명은 무엇일까?
① SECON&eGISEC 2023
② PIS FAIR 2024
③ ISEC 2023
④ BLACK HAT 2023


정답: ③
설명: 올해로 17회째 이어지고 있는 ‘ISEC 2023(제17회 국제 시큐리티 콘퍼런스)’에서는 최신 기술 트렌드 및 보안 이슈에 대해 논의하는 콘퍼런스가 총 189개 기관 및 기업이 참여하는 가운데 18개 트랙, 82개 세션이 운영된다. 또한, 최신 보안 솔루션 소개 및 시연을 제공하는 전시부스가 총 129개사 141개 부스 규모로 마련됐다. 행사는 9월 19일~20일 양일간 코엑스 C 홀에서 열리며, 콘퍼런스와 전시 외에 각 산업별, 직무별 동시개최행사도 진행될 예정이다.

2. 최근 인공지능 발전의 영향으로 ‘이’ 기술이 급격히 성장하면서 금융 분야의 보안에 치명적이라는 우려가 이어진다. 목소리를 사칭하고, 가짜 보고서나 데이터를 생성해 사용자와 금융 종사자를 속일 수 있는 이 기술은 무엇일까?
① 딥페이크(Deepfake)
② 스푸핑(Spoofing)
③ 피싱(Phishing)
④ 사회공학기법(Social Engineering)


정답: ①
설명: 인공지능 발전의 영향으로 딥페이크 기술이 고도화되면서 진짜와 구분이 어려운 각종 가짜 콘텐츠가 생성되고 있다. 결정권자나 상사의 목소리로 위장해 각종 지시를 내릴 수 있고, 각종 보고서를 조작하고 시장의 신뢰를 떨어트려 시장 자체가 오염될 수 있다는 의견이 제시된다. 이에 각 분야에서 우려의 목소리가 이어지는데, 특히 치명적인 피해를 입을 수 있는 금융권에서 경각심을 드러내고 있다.

3. 최근 한 건설업체가 랜섬웨어 공격을 당하면서 ‘3AM’이라는 새로운 랜섬웨어가 발견됐다. 이와 관련한 설명 중 틀린 것은?
① 록빗의 랜섬웨어를 사용해 공격에 실패하자, 두 번째 공격에 사용한 랜섬웨어임
② 기존 랜섬웨어보다 치명적이라는 특징을 가짐
③ 오전 3시라는 테마를 가지고 공격을 시도함
④ 랜섬웨어 공격에 여러 개의 공격 도구가 사용되고 있음


정답: ②
설명: 3AM 랜섬웨어는 기존 랜섬웨어와 크게 다르지 않다. 시스템에 침투해 보안 도구를 차단하고, 소프트웨어 백업을 방해하며, 백업된 파일까지 암호화한다. 록빗의 랜섬웨어가 실패한 공격을 3AM 랜섬웨어가 성공하며 알려지게 됐다. 이처럼 예비 무기를 가지고 공격 성공률을 높이는 게 하나의 전략으로 굳어지고 있다.

4. 한국인터넷진흥원(KISA)와 금융보안원(FSI)이 제안한 ‘이것’이 국제전기통신연합 전기통신 표준화 부문(ITU-T)에서 국제표준으로 채택됐다. 비식별화된 데이터의 적정성을 평가하는 최초의 국제표준인 ‘이것’은 무엇일까?


정답: 데이터 비식별화 보증요건(X.rdda)
설명: 데이터 비식별화 보증요건(X.rdda)은 비식별화된 데이터의 적정성을 평가하기 위한 최초의 국제표준이다. 여러 국가에서 개인정보를 비식별화해 활용하기 위한 정책 및 제도 설계 시에 참고할 수 있는 준거가 된다. 그동안 국제적 기준이 없어 규제 불확실성에 대한 불안감을 가졌던 사업자들의 불안감도 해소하는 계기가 될 것으로 보인다.

5. 2023년 9월 15일 개정된 개인정보 보호법이 전격 시행됐다. 과징금 부과기준도 국제표준에 맞게 변화했다. ⓐ, ⓑ에 들어갈 말로 옳은 것은?
- 개인정보 보호법에 따르면 과징금 부과기준은 GDPR 등 국제 표준에 맞춰 ( ⓐ )의 3%로 산정된다. 다만, 책임의 범위를 벗어난 과도한 과징금 산정을 예방하기 위해 기업이 직접 소명한 ( ⓑ )을 전체 매출액에서 제외하기로 했다. 해당 자료는 개인정보보호위원회의 심사를 거친다.

① ⓐ전체 매출액, ⓑ위반행위 관련 매출액
② ⓐ위반행위 관련 매출액, ⓑ위반행위 기간의 매출액
③ ⓐ전체 매출액, ⓑ위반행위와 관련되지 않은 매출액
④ ⓐ위반행위 기간의 매출액, ⓑ보안 솔루션 구출 비용


정답: ③
설명: 개정된 법안에 따르면 ‘과징금 부과 기준’은 GDPR 등 국제 표준에 맞춰 ‘전체 매출액’의 3%로 산정하는 방식으로 개정됐다. 다만, 책임의 범위를 벗어난 과도한 과징금 산정을 예방하기 위한 목적이라는 단서가 붙었다. 기업이 직접 소명한 자료를 바탕으로 위반행위와 관련되지 않은 매출액을 전체 매출액에서 제외하는 방식이다. 이때, 해당 자료는 개인정보보호위원회(이하 개인정보위)의 심사를 거친다. 기존 법안에서는 개인정보위가 직접 산정하는 기준의 ‘위반행위 관련 매출액’으로 산정됐다. 이 과정에서 기업과의 갈등으로 소송에 휘말리는 등 과징금 부과에 어려움이 따랐다. 법안 개정으로 이 부분의 어려움을 해소하게 됐다는 평가다. 만일 기업에서 위반행위와 관련 없는 매출액을 소명하지 않는다면 기업의 전체 매출액의 3%를 부과하게 된다.

6. 애플 아이폰을 타깃으로 한 스미싱이 유포되고 있다. 문자의 링크를 클릭하면 애플페이지와 유사하게 제작된 피싱페이지로 접속되고, 계정 정보 입력을 유도하는 방식이다. 이에 사용자는 스미싱 피해를 막기 위해서 문자의 링크에 접속해 해당 페이지를 차단하는 방식으로 보안을 유지할 수 있다. 또한, 애플은 ID 계정이 탈취되면 자동으로 사용이 차단되고, 비밀번호 변경을 요청하는 등 강력한 보안을 자랑해 추가적인 피해는 없다. 위 설명은 O일까 X일까?


정답: X
설명: 발신자가 불분명한 사람이 보내온 문자 메시지 내 링크는 절대 클릭하면 안 된다. 링크에 접속하는 것만으로 해킹이 이뤄질 수 있다. 아이폰의 스미싱 공격을 조사한 이스트시큐리티 시큐리티대응센터에 따르면, 공격자는 악성 앱 설치가 어려운 아이폰의 보안을 우회하기 위해 애플 ID 계정 탈취를 노린다. 이후 사용자 아이클라우드에 접근을 시도하는 것으로 추정된다. 아이클라우드를 통하면 휴대폰을 해킹하지 않아도 스마트폰에 저장된 연락처, 사진첩, 메모, 이메일을 탈취할 수 있다. 이는 2차 공격에 활용될 수도 있어 이중인증을 사용하는 등 각별한 주의가 필요하다.

7. 시스코의 메시징 협업 플랫폼 ‘브로드웍스(BroadWorks)’에서 초고위험도 취약점이 발견됐다. 이에 관한 설명으로 틀린 것은?
① 대기업과 중소기업 등 전 세계 수많은 사용자가 사용하는 제품임
② 발견된 취약점의 위험도는 CVSS 기준 10점 만점을 받음
③ 사용자 ID를 보유한 공격자는 각종 통신을 가로채고, 민감한 데이터를 확보할 수 있음
④ 아직 패치가 이뤄지지 않아 큰 피해가 예상됨


정답: ④
설명: 시스코는 취약점을 패치했고, 이를 배포해 피해를 예방하고 있다. 브로드웍스에서 발견된 취약점은 ‘CVE-2023-20238’으로 브로드웍스 애플리케이션 딜리버리 플랫폼과 엑스텐디드 서비스 플랫폼을 구축하는 단계에서 발생했다. 사용자 ID를 보유한 공격자는 플랫폼의 싱글사인온(SSO) 기능을 익스플로잇 해 기존 사용자처럼 인증을 통과하게 된다. 이후에는 각종 통신 가로채기, 민감 데이터 확보, 사용자 사칭 피싱 공격, 디도스 공격으로 이어질 수 있다. 만일, 해당 계정이 관리자의 ID라면 더욱 민감한 정보를 열람할 수 있다.

8. 최근 세계 곳곳에서 랜섬웨어 공격이 발생해 여러 기업과 기관이 몸살을 앓고 있다. 다음 중 랜섬웨어 공격을 당하지 않은 곳은?
① 영국 그레이맨체스터 경찰국
② 뉴질랜드 오클랜드 교통국
③ 북미 수역관리 합동조직(IJC)
④ 독일 항공우주센터


정답: ④
설명: 독일 항공우주센터에서는 랜섬웨어 공격이 없었다. 다만, 지난 주 랜섬웨어 공격이 세계 곳곳에서 이어졌다. 영국의 그레이맨체스터 경찰국은 랜섬웨어로 인해 경찰국에 근무하는 요원들과 직원들의 개인정보 일부를 탈취당했다. 뉴질랜드 오클랜드 교통국 또한 랜섬웨어 공격으로 관할 시스템이 마비되고, 지역 교통 시스템에 장애가 발생했다. 특히, 티켓팅과 요금 처리 시스템이 제대로 작동하지 않아 큰 손실이 예상된다. 미국과 캐나다의 수역을 관리하는 합동조직 또한 랜섬웨어 공격을 당했다. 배후는 노이스케이프(NoEscape)라는 조직으로 추정된다.

9. 과학기술정보통신부는 9월 12일 ‘제16차 정보통신전략위원회’를 열어 디지털 전략을 의결했다. 이에 관한 설명으로 틀린 것은?
① 6대 디지털 혁신 기술(양자, 사이버보안, AI, AI반도체, 메타버스, 5G·6G)에 집중적으로 투자하기로 함
② ‘디지털 6대 분야 대학원’ 교육과정 및 인재 양성을 위해 해외 대학과 MOU를 맺음
③ 올해 처음으로 안전하고 막힘없는 ‘마이데이터 전송 기반’이 마련됨
④ ‘6대 디지털 혁신기술’ 투자에 총 8,059억원이 투입됨


정답: ②
설명: 과기정통부는 ‘디지털 6대 분야 대학원’ 교육과정 운영지원 및 인재 양성을 위해 융합보안 대학원 추가 설립을 발표했다. 융합보안 대학원(기존 8개)을 신규로 2개 추가 설립한다. 이 밖에도 AI(융합혁신) 대학원 신규 4개 설치, 메타버스 대학원 신규 3개 설치, AI반도체 대학원 신규 3개 설치 등이 포함됐다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>