2024년 12월 30일~2025년 1월 10일 간의 보안 소식을 되짚다
[보안뉴스 박은주 기자] <퀴즈 이·보·소!>는 퀴즈를 통해 이주간의 보안 소식을 짚어보는 코너입니다. 퀴즈를 풀며 보안 지식을 넓혀보세요.
1. 최근 주류 제조업체 ‘하이트진로’가 ( A ) 공격을 당했다. 공격에 이어 ( B )이/가 유출됐다는 의심이 커지고 있다. 다음 중 빈칸에 들어갈 말로 올바르게 짝지어진 것은?
①A: 디도스, B: 기밀정보
②A: 랜섬웨어, B: 회계 정보
③A: 랜섬웨어, B: 개인정보
④A: 표적 해킹, B: 제조기술
[로고=하이트진로]
정답: ③
설명: 하이트진로는 지난 1일 랜섬웨어 공격을 당했다. 공격 이후 개인정보 유출이 의심된다고 밝혔다. 의심되는 항목은 △성명 △전화번호 △이메일 △주소 △생년월일이다. 하이트진로는 “해당 정보는 암호화된 채로 저장·관리되고 있다”고 말했다. 그러나 전문가들은 암호화된 정보를 해커가 복호화할 가능성이 있다고 주장했다. 유출된 개인정보 악용 시 금융사기나 신분 도용 등 2차 피해가 발생할 수 있다.
2. 빈칸에 들어갈 말은?
일상에서 QR코드 사용 빈번하다. QR코드 악용 ( ) 공격이 급증세다. QR코드를 스캔하면, 곧바로 인터넷 사이트로 연결된다. 공격자는 이 편리함을 노렸다. 사용자는 QR코드만 보고 사이트 주소를 확인할 수 없다. 따라서 보안상 문제가 있는지 확인하기 어렵다.
[이미지=gettyimagesbank]
정답: 큐싱(Qshing)
설명: 큐싱은 QR코드(Quick Response Code)와 피싱(Phishing)을 더한 말이다. QR코드를 스캔하면 공격이 이뤄진다. 연결된 인터넷 페이지를 통해 악성 앱 설치, 피싱 사이트 접속 등을 유도하는 사기 수법이다. 무료 쿠폰이나 상품권으로 위장한다. 심지어 대여형 이동 수단 QR코드 위에 악성 QR코드를 덧붙여 해킹을 꾀한다. 큐싱 예방법에는 △출처가 불분명하거나 신뢰할 수 없는 QR코드 스캔 금지 △QR코드 스캔 시 연결된 URL 확인 △QR코드로 접속한 사이트에서 개인정보 및 금융정보 입력 시 신중할 것 △백신 및 탐지 앱 설치 등이 있다.
3. 다음 중 ‘더블클릭재킹’에 관한 설명으로 틀린 것은?
① 클릭재킹 공격에서 한 단계 진화한 공격방법이다.
② 브라우저에 기본 탑재된 더블클릭재킹 방지를 활성화해 공격을 막을 수 있다.
③ 인터넷 사이트에서 아무거나 무심코 클릭하지 말아야 한다.
④ 클릭재킹에 대한 방어 기술을 우회하며, 피해자 눈 속이기 용이한 방법이다.
[이미지=gettyimagesbank]
정답: ②
설명: 아직 더블클릭재킹 공격을 예방하는 제품이 개발되지 않았다. 브라우저 개발사가 방어 제품을 만들 때까지 기다려야 한다. 그전까지 사용자는 기존 클릭재킹 공격에 대한 경계심을 가져야 한다. 인터넷을 사용할 때 ‘속지 말아야 한다’는 생각이 중요하다. 더블클릭을 요구하는 창이나 안내 문구는 함부로 클릭하지 말아야 한다.
4. ‘이것’은 무엇일까?
‘이것’은/는 개인정보는 포함하지 않는 가상 데이터다. 원본 데이터를 학습해 비슷한 구조와 속성을 가진다. 개인정보 유출 없이 데이트를 안전하게 사용할 수 있는 대안으로 떠오른다.
[이미지=gettyimagesbank]
정답: 합성데이터
설명: 인공지능과 빅데이터 기술이 발전하며 데이터 수요가 폭증했다. 데이터가 부족한 문제가 발생한다. 합성데이터 중요성이 커지는 이유다. 합성데이터는 컴퓨터 시뮬레이션이나 알고리즘을 통해 만든다. 원본 데이터가 가진 통계적 속정과 패턴을 재현한 데이터다. 실제 개인정보는 포함되지 않는다. 개인정보 보호법을 준수하면서 데이터를 자유롭게 활용할 수 있다. 데이터 구매 비용이 줄고, 데이터 접근성 향상이 기대된다. 지난달 개인정보보호위원회는 ‘합성데이터 생성·활용 안내서’ 발간했다.
5. 다음 대화에서 말하는 보호법은 어느 나라 법일까?
우주: 세계적인 흐름에 따라 디지털개인데이터보호법 마련은 의미 있는 일이야.
영묵: 보호법을 약어로 DPDP라고 해. 법안 설명서도 함께 나왔어.
서현: 중국보다 인구가 많은 나라니까, 개인정보 보호가 중요하겠네.
인호: 사용자 동의에 대한 의존도가 높은 법안이네.
[이미지=gettyimagesbank]
정답: 인도
설명: 세계 인구 1위 인도에서 디지털개인데이터보호법을 마련했다. 세계 최대 시장을 가지고 있는 만큼 추세에 따른 법안을 준비한 것. 보호법에는 △데이터 고지 △동의 관리자 등록 및 의무 △국가나 기관에서 서비스 제공 및 발급을 위한 처리 등 내용이 담겨있다.
6. 최근 GS리테일이 ‘이’ 공격을 받아 개인정보 유출 사고가 발생했다. ‘이’ 공격에 대한 설명 중 틀린 것은?
① 여러 경로로 수집한 계정정보를 무작위로 대입하는 공격이다.
② 공격 예방에 다중인증(MFA), 비밀번호 관리 프로그램이 효과적이다.
③ 계정마다 같은 비밀번호를 사용하면 더 위험하다.
④ 복잡한 비밀번호를 사용하면 완전히 예방할 수 있다.
[로고=GS리테일]
정답: ④
설명: 최근 GS리테일이 크리덴셜 스터핑(Credential Stuffing) 공격을 당했다. 고객 △이름 △성별 △생년월일 △연락처 △주소 △아이디 △이메일 등 7개 항목이 유출됐다. 크리덴 스터핑은 공격자가 여려 경로에서 수집한 계정정보를 특정 사이트에 무작위로 대입해 로그인하는 공격이다. 계정마다 같은 비밀번호를 사용할수록 위험하고, 해킹 위험이 크다. 제로트러스트 기반 복잡한 대응 체계나 MFA 도입으로 예방할 수 있다.
[박은주 기자(boan5@boannews.com)]
[보안뉴스 박은주 기자] <퀴즈 이·보·소!>는 퀴즈를 통해 이주간의 보안 소식을 짚어보는 코너입니다. 퀴즈를 풀며 보안 지식을 넓혀보세요.
1. 최근 주류 제조업체 ‘하이트진로’가 ( A ) 공격을 당했다. 공격에 이어 ( B )이/가 유출됐다는 의심이 커지고 있다. 다음 중 빈칸에 들어갈 말로 올바르게 짝지어진 것은?
①A: 디도스, B: 기밀정보
②A: 랜섬웨어, B: 회계 정보
③A: 랜섬웨어, B: 개인정보
④A: 표적 해킹, B: 제조기술
[로고=하이트진로]
정답: ③
설명: 하이트진로는 지난 1일 랜섬웨어 공격을 당했다. 공격 이후 개인정보 유출이 의심된다고 밝혔다. 의심되는 항목은 △성명 △전화번호 △이메일 △주소 △생년월일이다. 하이트진로는 “해당 정보는 암호화된 채로 저장·관리되고 있다”고 말했다. 그러나 전문가들은 암호화된 정보를 해커가 복호화할 가능성이 있다고 주장했다. 유출된 개인정보 악용 시 금융사기나 신분 도용 등 2차 피해가 발생할 수 있다.
2. 빈칸에 들어갈 말은?
일상에서 QR코드 사용 빈번하다. QR코드 악용 ( ) 공격이 급증세다. QR코드를 스캔하면, 곧바로 인터넷 사이트로 연결된다. 공격자는 이 편리함을 노렸다. 사용자는 QR코드만 보고 사이트 주소를 확인할 수 없다. 따라서 보안상 문제가 있는지 확인하기 어렵다.
[이미지=gettyimagesbank]
정답: 큐싱(Qshing)
설명: 큐싱은 QR코드(Quick Response Code)와 피싱(Phishing)을 더한 말이다. QR코드를 스캔하면 공격이 이뤄진다. 연결된 인터넷 페이지를 통해 악성 앱 설치, 피싱 사이트 접속 등을 유도하는 사기 수법이다. 무료 쿠폰이나 상품권으로 위장한다. 심지어 대여형 이동 수단 QR코드 위에 악성 QR코드를 덧붙여 해킹을 꾀한다. 큐싱 예방법에는 △출처가 불분명하거나 신뢰할 수 없는 QR코드 스캔 금지 △QR코드 스캔 시 연결된 URL 확인 △QR코드로 접속한 사이트에서 개인정보 및 금융정보 입력 시 신중할 것 △백신 및 탐지 앱 설치 등이 있다.
3. 다음 중 ‘더블클릭재킹’에 관한 설명으로 틀린 것은?
① 클릭재킹 공격에서 한 단계 진화한 공격방법이다.
② 브라우저에 기본 탑재된 더블클릭재킹 방지를 활성화해 공격을 막을 수 있다.
③ 인터넷 사이트에서 아무거나 무심코 클릭하지 말아야 한다.
④ 클릭재킹에 대한 방어 기술을 우회하며, 피해자 눈 속이기 용이한 방법이다.
[이미지=gettyimagesbank]
정답: ②
설명: 아직 더블클릭재킹 공격을 예방하는 제품이 개발되지 않았다. 브라우저 개발사가 방어 제품을 만들 때까지 기다려야 한다. 그전까지 사용자는 기존 클릭재킹 공격에 대한 경계심을 가져야 한다. 인터넷을 사용할 때 ‘속지 말아야 한다’는 생각이 중요하다. 더블클릭을 요구하는 창이나 안내 문구는 함부로 클릭하지 말아야 한다.
4. ‘이것’은 무엇일까?
‘이것’은/는 개인정보는 포함하지 않는 가상 데이터다. 원본 데이터를 학습해 비슷한 구조와 속성을 가진다. 개인정보 유출 없이 데이트를 안전하게 사용할 수 있는 대안으로 떠오른다.
[이미지=gettyimagesbank]
정답: 합성데이터
설명: 인공지능과 빅데이터 기술이 발전하며 데이터 수요가 폭증했다. 데이터가 부족한 문제가 발생한다. 합성데이터 중요성이 커지는 이유다. 합성데이터는 컴퓨터 시뮬레이션이나 알고리즘을 통해 만든다. 원본 데이터가 가진 통계적 속정과 패턴을 재현한 데이터다. 실제 개인정보는 포함되지 않는다. 개인정보 보호법을 준수하면서 데이터를 자유롭게 활용할 수 있다. 데이터 구매 비용이 줄고, 데이터 접근성 향상이 기대된다. 지난달 개인정보보호위원회는 ‘합성데이터 생성·활용 안내서’ 발간했다.
5. 다음 대화에서 말하는 보호법은 어느 나라 법일까?
우주: 세계적인 흐름에 따라 디지털개인데이터보호법 마련은 의미 있는 일이야.
영묵: 보호법을 약어로 DPDP라고 해. 법안 설명서도 함께 나왔어.
서현: 중국보다 인구가 많은 나라니까, 개인정보 보호가 중요하겠네.
인호: 사용자 동의에 대한 의존도가 높은 법안이네.
[이미지=gettyimagesbank]
정답: 인도
설명: 세계 인구 1위 인도에서 디지털개인데이터보호법을 마련했다. 세계 최대 시장을 가지고 있는 만큼 추세에 따른 법안을 준비한 것. 보호법에는 △데이터 고지 △동의 관리자 등록 및 의무 △국가나 기관에서 서비스 제공 및 발급을 위한 처리 등 내용이 담겨있다.
6. 최근 GS리테일이 ‘이’ 공격을 받아 개인정보 유출 사고가 발생했다. ‘이’ 공격에 대한 설명 중 틀린 것은?
① 여러 경로로 수집한 계정정보를 무작위로 대입하는 공격이다.
② 공격 예방에 다중인증(MFA), 비밀번호 관리 프로그램이 효과적이다.
③ 계정마다 같은 비밀번호를 사용하면 더 위험하다.
④ 복잡한 비밀번호를 사용하면 완전히 예방할 수 있다.
[로고=GS리테일]
정답: ④
설명: 최근 GS리테일이 크리덴셜 스터핑(Credential Stuffing) 공격을 당했다. 고객 △이름 △성별 △생년월일 △연락처 △주소 △아이디 △이메일 등 7개 항목이 유출됐다. 크리덴 스터핑은 공격자가 여려 경로에서 수집한 계정정보를 특정 사이트에 무작위로 대입해 로그인하는 공격이다. 계정마다 같은 비밀번호를 사용할수록 위험하고, 해킹 위험이 크다. 제로트러스트 기반 복잡한 대응 체계나 MFA 도입으로 예방할 수 있다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
