4월 1일~ 4월 12일 동안의 주요 보안 소식 복습하기

[보안뉴스 박은주 기자] 는 퀴즈를 통해 주요 보안 소식을 되짚어 볼 수 있도록 정리한 코너입니다. 퀴즈를 풀며 이슈를 복습해 보고, 보안 지식을 넓혀보세요.

1. 미국의 소프트웨어 기업이자 글로벌 보안기업인 ‘이’ 회사의 보안 제품에서 취약점이 끊임없이 발견되고 있다. 2024년 총 11개 취약점이 발견됐고, 그중에는 초고위험도 취약점 다수와 2건의 제로데이 취약점이 포함돼 있다. 최근 발견된 취약점은 힙 오버플로우 취약점 2개와 널 포인터 역참조, XXE 취약점이다. 끝내 CEO가 직접 나서 보안을 강화하겠다고 약속한 ‘이’ 회사는 어디일까?

[이미지=gettyimagesbank]

정답: 이반티(Ivanti)
설명: 이반티에 따르면 전 세계에서 이반티를 사용하는 기관과 기업은 약 4만 곳 이상이다. 지속적으로 발견되는 취약점으로 인해 고객은 불안을 떨칠 수 없는 상황이다. 취약점이 발견된 이반티 제품은 △커넥트시큐어(Connect Secure) △폴리시시큐어(Policy Secure) △EPMM(Ivanti Endpoint Manager Mobile, 모바일아이언 코어 최신버전) △모바일아이언 코어(MobileIron Core) △스탠드얼론 센트리(Standalone Sentry) △뉴런(Neurons, ITSM)으로 총 6개다. 이에 이반티 제프 애봇(Jeff Abbott) CEO가 보안을 강화하겠다고 약속했지만, 최근 발표된 바에 의하면 이반티가 관리하던 포춘 100대 기업 수가 96개에서 85개로 줄었다.

2. 최근 인플루언서 등 다수의 구독자를 보유한 유튜브 계정을 해킹해 악성코드를 유포하는 사이버 위협이 이어지고 있다. 이에 관한 설명으로 틀린 것은?
① 공격자는 유튜브 동영상과 설명, 댓글에 악성코드를 내려받을 수 있는 링크를 첨부했다.
② 과거 채널을 개설해 악성코드를 유포하던 수법에서 발전된 형태다.
③ 랜섬웨어, 제로마이너, 인포스틸러 등의 악성코드를 유포했다.
④ 어도비(Adobe) 등 상용 프로그램의 크랙 버전을 주제로 한 동영상을 올렸다.

▲80만 구독자를 보유한 유튜브 계정에 악성코드가 업로드됐다[이미지=ASEC]

정답: ③
설명: 공격자는 Vidar(비다르), LummaC2(룸마C2) 등 모두 인포스틸러를 유포하는 것으로 드러났다. 해킹된 계정 중에는 구독자 수가 80만 명이 넘는 계정이 포함돼 있었다. 가수를 비롯한 인플루언서의 채널도 발견됐다. 주제는 스포츠, 종교, 애니메이션 등으로 다양했다. 어도비(Adobe) 등 상용 프로그램의 크랙 버전을 주제로 한 동영상을 올리고, 본문이나 댓글에 다운로드 링크를 첨부했다. 악성코드는 MediaFire(미디어파이어)라는 무료 웹하드에 업로드돼 있었다. 사용자는 불법 프로그램을 내려받는 행위를 지양하고 정품 소프트웨어 사용을 생활화해야 한다. 의심스러운 웹사이트나 P2P 이용은 자제하는 것이 안전하다.

3. 다음 설명은 O일까 X일까? 유럽연합(EU)에서 통과한 인공지능법(AI Act)에 따르면, 앞으로 인공지능 기술로 사업을 영위하려는 기업이 인공지능법을 어길 시 총 연간 수익의 7% 혹은 3,800만 달러(약 520억)라는 벌금을 내야 한다.

[이미지=gettyimagesbank]

정답: O
설명: 인공지능법에 의한 인공지능 관련 리스크는 △수용 불가 △고위험군 △중위험군 △저위험군으로 분류된다. 만일 수용 불가 판정을 받을 시 해당 인공지능 앱은 즉시 시장에서 판매 금지가 된다. 유럽의 개인정보보호 규정인 GDPR이 개인정보 보호법의 표준처럼 여겨지듯, 유럽의 인공지능법을 토대로 각종 규제가 생겨날 것이라고 전문가들은 입을 모은다.

4. 최근 중소기업에서 개인정보나 중요 정보 저장 및 백업 용도로 사용하는 NAS 서버를 노린 공격이 성행하고 있다. 이와 관련한 설명으로 틀린 것은?
① NAS 서버의 주요 보안 위협은 악성코드·랜섬웨어 감염, 데이터 유출, 데이터 위변조다.
② 실제 공격에 성공한 사례는 없지만, 하루 2,000건 넘는 공격이 발생하고 있다.
③ 허술한 인증, 취약한 비밀번호 사용, 암호화 부재 및 업데이트 관리 등이 문제로 꼽힌다.
④ KISA는 NAS 관련 보안 가이드를 배포하고, 보안수칙 실천을 권고했다.

[이미지=gettyimagesbank]

정답: ②
설명: 2021년 6월에는 특정 브랜드의 NAS 기기 다수가 공장 초기화되는 대형 사고가 발행했다. 파일이 삭제되고, 앱 로그인도 불가능했다. 2021년 12월 대학, 기업의 NAS 장치가 해킹됐고, 2022년 5월 주요 브랜드 3곳의 NAS 장비에서 다수의 취약점이 발견됐다. 최근에도 NAS를 통한 정보탈취 시도가 지속해서 탐지되는 상황이다. 이에 KISA는 ‘안전한 데이터 보호를 위한 NAS 보안수칙’을 배포했다. 수칙은 △암호화 사용 △접근 제어와 권한 관리 △네트워크 보안 △펌웨어 및 소프트웨어 업데이트 △백업 및 복원 전략 △감사 로깅과 모니터링 △안전한 앱 사용 △랜섬웨어 방지 등 총 8가지다.

5. 다음은 최근 맞춤형 광고 활용과 관련한 온라인 행태정보 흐름을 이야기하고 있다. 틀린 설명을 하는 사람은 누구인가?
– 지은: 유럽연합(EU)은 개인정보보호 규정과 개인정보보호 지침, 디지털 시장법을 통해 행태정보 통제를 강화하고 있어.
– 동진: 세계 각국 정부에서 행태정보를 가치 있는 데이터로 활용하기 위해 활발히 움직이고 있네.
– 현서: 미국은 행태정보 기반 온라인 광고 자율규제가 중요한 역할을 하고 있어.
– 민형: 일본은 개인정보보호법에서 개인관련정보 개념을 신설하고, 전기통신사업법을 통해서도 행태정보 보호를 강화하고 있어.
– 경주: 한국 개인정보보호위원회는 온라인 행태정보 보호 민·관 협의체를 구성하고, ‘맞춤형 광고 가이드라인’을 개정·발표할 예정이래.

[이미지=gettyimagesbank]

정답: 동진
설명: ‘행태정보’는 웹사이트와 앱 등 방문 이력, 구매·검색 이력 등 개인의 관심, 흥미, 기호, 성향 등을 추론하거나 분석할 수 있는 온라인 활동 정보를 말한다. 이를 통해 온라인 맞춤 광고뿐만 아니라 서비스 성능 개선, 부정행위 방지 등 다양한 목적으로 활용될 수 있다. 동일한 행태정보더라도 처리 방법 및 환경에 따라 개인 식별성에 관한 판단이 달라질 수 있다. 이에 민간 기업에서 온라인 행태정보를 다양하게 활용하려고 하는 반면, 각국 정부에서는 국민들의 온라인 행태정보를 보호하려는 추세를 나타내고 있다.

6. 과학기술정보통신부는 보안이 취약한 중소기업을 지원하는 ‘중소기업 정보보호 지원사업’을 대폭 개편했다. 이에 관한 설명으로 틀린 것은?
① 스마트 시티, 스마트 조선·해양·공장, 디지털 의료 분야 등 지역 특색에 맞게 보안 내재화가 꼭 필요한 산업을 선별 지원한다.
② 지역 전략 산업 맞춤형 보안 솔루션을 지원하게 된다.
③ 지역별 차별화된 중소기업의 보안 내재화 지원 수요를 발굴할 예정이다.
④ 보안 인력이 부족한 지역 소재 중소기업의 보편적 지원에 초점을 맞췄다.

[이미지=gettyimagesbank]

정답: ④
설명: 중소기업 정보보호 지원사업은 지역의 정보보호 역량 강화를 위해 지역 정보보호지원센터를 중심으로 정보보호 컨설팅 및 보안 솔루션, 클라우드 기반 보안 서비스 도입을 지원하는 사업이다. 그간 정보보호 투자 여력과 보안 인력이 상대적으로 부족한 지역 소재 중소기업의 꾸준한 수요 등을 감안해 보편적 지원을 추진했다. 그러나 전체적으로 예산을 나눠 보편적으로 지원하니, 실질적인 효과 측정에 어려움이 따랐다. 보안 필요성이 부족한 사례도 있고, 지원 효과를 깊이 파악하는 데 한계가 있었다. 이에 과기정통부는 사업 효율성과 효과성 측면에서 재검토하고 정보보호 지원의 필요성·시급성이 높은 분야를 선별적으로 지원하기 위해 ‘중소기업 정보보호 지원사업’ 개편에 나섰다.
[박은주 기자([email protected])]