1월 20일~31일 동안 보안 소식을 되짚다
[보안뉴스 박은주 기자] <퀴즈 이·보·소!>는 퀴즈를 통해 이주간의 보안 소식을 짚어보는 코너입니다. 퀴즈를 풀며 보안 지식을 넓혀보세요.
1. 다음 중 ‘딥시크’에 관한 설명으로 틀린 것은?
① 중국 스타트업 딥시크에서 추론 특화 인공지능(AI) ‘R1’ 모델을 개발했다.
② 최근 대규모 사이버 공격을 당해 신규 사용자 등록이 중단됐다.
③ 서버구축과 데이터 관리 등에 막대한 비용이 든다.
④ 과도한 개인정보 수집으로 논란이 일고 있다.
[이미지=연합뉴스]
정답: ③
설명: 딥시크는 기존 AI 모델 보다 경제적이라는 이유로 주목받았다. 딥시크는 R1 모델 훈련에 55만6000달러(79억9800만원)를 투자했다. 메타가 최신 AI 기술을 구축한 비용의 10%에 불과하다. R1은 고성능 반도체를 사용하는 기존 AI와 달리, 성능이 떨어지는 칩을 사용해도 우수한 결과를 낸다. 벤치마킹, 문제 해결 시나리오에서 챗GPT 4o를 능가하기도 했다. 하지만 아직은 허술한 AI라고 평가된다. 여러 위험성이 존재하는데, 탈옥을 통해 악성코드나 폭발물 제조법 질문에 답하기도 했다. 사용자 정보를 과하게 수집하는 문제도 있다. 정보를 중국 내 서버에 저장하는데, 이는 프라이버시 침해 등으로 이어질 수 있다.
2. 빈칸에 들어갈 말은?
23일 국가정보원은 공공데이터 활용 촉진과 보안성 확보를 위한 (_______)을/를 발표했다. 핵심 개념은 정부 전산망을 업무 중요도에 따라 기밀·민감·공개 등급으로 분류하고, 보안 통제 6개 항목을 차등 적용해 보안성과 데이터 공유 활성화를 충족하는 것이다. 국정원은 이 내용을 골자로 한 가이드라인을 배포했다.
▲적용 절차[자료=국정원]
정답: 국가망보안체계(N²SF)
설명: 국가망보안체계는 ①준비, ②C/S/O 등급분류, ③위협식별, ④보안대책 수립, ⑤적절성평가 단계로 수행된다. 기초 정보를 습득한 후 기관 업무정보와 정보시스템에 대해 중요도에 따라 기밀(C), 민감(S), 공개(O) 등 3개 등급으로 분류한다. 이후 모델링 기법으로 위협을 식별하고 보안대책이 필요한 대상을 선정한다. 수립 단계에서 통제사항을 선택하고, 평가·조정 단계에서 적절성 평가 및 재조정·승인을 거친다.
3. ‘이것’은 무엇일까?
최근 세계적으로 ‘이것’을/를 악용한 악성 피싱 캠페인이 발견됐다. 미국 우체국을 사칭한 문자에 ‘이것’을/를 포함해 보내는 게 특징이다. ‘이것’은/는 일상에서 널리 사용되며 호환성이 뛰어나고 신뢰도가 높아 사용자를 쉽게 속일 수 있다. 공격자는 난독화 기술을 더해 보안 솔루션이 피싱 여부를 식별하기 어렵게 했다.
[이미지=보안뉴스]
정답: PDF 파일
설명: 최근 美 보안업체 짐페리움에서 PDF를 활용한 피싱 캠페인을 발견했다. PDF 파일 20개, 피싱 페이지는 630개 이상에서 악성 인프라를 확인했다. 50개국 이상 국가에 걸쳐 공격이 진행됐다. 공격은 美 우체국을 사칭한 메시지로 시작된다. 메시지에 포함된 PDF를 열면 우체국 페이지로 위장한 악성 페이지로 연결된다. 여기에 신용카드 정보와 전화번호 등 개인정보 입력을 유도해 정보를 탈취한다.
4. 최근 카카오페이와 애플이 동의 없이 이용자 정보를 국외로 이전하고, 이 사실을 알리지 않는 등 개인정보 보호법을 위반해 과징금 83억을 물었다. 이에 관한 설명으로 틀린 것은?
① 개인정보 국외이전 시, 정보 주체에게 동의를 구하고 이전 사실을 알려야 한다.
② 개인정보 처리를 외부에 위탁할 때, 위탁자가 정보 주체에 대한 책임을 져야 한다.
③ 개인정보 국외이전은 정보통신망법이 적용되며, 개인정보 보호법상 동의는 의무가 아니다.
④ 개인정보를 이전하는 것은 제3자 제공에 해당함으로, 적법 근거를 마련해야 한다
▲고학수 개인정보보호위원장[사진=개인정보위]
정답: ③
설명: 카카오페이와 애플은 고개 동의 없이 약4000만명 개인정보를 알리페이로 넘겨 과징금 처분을 받았다. 카카오페이는 이용자 동의 없이 개인정보를 애플과 애플의 수탁사인 알리페이에 넘겼다. 애플은 개인정보 처리 위탁과 국외이전 사실을 알리지 않았다. 개인정보 국외이전할 때는 정보주체에게 알리고, 개인정보 보호법에 따라 적법한 절차를 마련해야 한다.
5. 다음 설명은 O일까 X일까?
작년 하반기 서버해킹은 전년 대비 2배가 늘었고, 악성코드 감염률의 85% 이상은 랜섬웨어가 차지했다. 특히 중소·중견기업 침해사고 비중이 전체 94%를 차지했다.
[이미지=gettyimagesbank]
정답: O
설명: 한국인터넷진흥원(KISA)이 발표한 ‘하반기 2024 사이버 위협 동향 보고서’에 따르면 전체 침해사고 신고 건수는 988건으로 전년 동기대비 61% 늘었다. 이중 서버해킹이 553건이었다. 신고 유형 중 악성코드 감염률 85% 이상을 랜섬웨어가 차지했다. 직원 대상 랜섬웨어 예방 교육과 시스템 취약점 점검, 데이터 백업, 침해사고 시 긴급 대응 등 예방과 대책을 마련해야 한다.
6. 다음 중 국세청이 보낸 메일은?
▲국세청을 사칭한 해킹 메일[자료=보안뉴스]
정답: 없음
설명: 연말정산 시기가 다가오면서 국세청 사칭 피싱 메일이 기승을 부리고 있다. 메일은 세무조사 혹은 전자세금계산서 발급 등 형태로 유포된다. 메일 내 링크 클릭을 유도하고, 접속 시 네이버나 카카오 등 익숙한 포털 화면을 띄운다. 이에 로그인하도록 이끌어 정보를 탈취하는 식으로 공격이 이뤄진다. 국세청이 보낸 메일은 계정정보를 요구하지 않는다. 만일 메일 제목이 의심스럽거나 발신자가 불분명한 경우 함부로 열람하지 말고, 삭제 후 스팸메일 신고하는 것이 안전하다. 또한 국세청은 민원증명과 세금신고, 세무조사, 탈세제보, 가산세 관련 메일을 보내지 않음으로 피싱 메일에 속지 말아야 한다.
[박은주 기자(boan5@boannews.com)]
[보안뉴스 박은주 기자] <퀴즈 이·보·소!>는 퀴즈를 통해 이주간의 보안 소식을 짚어보는 코너입니다. 퀴즈를 풀며 보안 지식을 넓혀보세요.
1. 다음 중 ‘딥시크’에 관한 설명으로 틀린 것은?
① 중국 스타트업 딥시크에서 추론 특화 인공지능(AI) ‘R1’ 모델을 개발했다.
② 최근 대규모 사이버 공격을 당해 신규 사용자 등록이 중단됐다.
③ 서버구축과 데이터 관리 등에 막대한 비용이 든다.
④ 과도한 개인정보 수집으로 논란이 일고 있다.
[이미지=연합뉴스]
정답: ③
설명: 딥시크는 기존 AI 모델 보다 경제적이라는 이유로 주목받았다. 딥시크는 R1 모델 훈련에 55만6000달러(79억9800만원)를 투자했다. 메타가 최신 AI 기술을 구축한 비용의 10%에 불과하다. R1은 고성능 반도체를 사용하는 기존 AI와 달리, 성능이 떨어지는 칩을 사용해도 우수한 결과를 낸다. 벤치마킹, 문제 해결 시나리오에서 챗GPT 4o를 능가하기도 했다. 하지만 아직은 허술한 AI라고 평가된다. 여러 위험성이 존재하는데, 탈옥을 통해 악성코드나 폭발물 제조법 질문에 답하기도 했다. 사용자 정보를 과하게 수집하는 문제도 있다. 정보를 중국 내 서버에 저장하는데, 이는 프라이버시 침해 등으로 이어질 수 있다.
2. 빈칸에 들어갈 말은?
23일 국가정보원은 공공데이터 활용 촉진과 보안성 확보를 위한 (_______)을/를 발표했다. 핵심 개념은 정부 전산망을 업무 중요도에 따라 기밀·민감·공개 등급으로 분류하고, 보안 통제 6개 항목을 차등 적용해 보안성과 데이터 공유 활성화를 충족하는 것이다. 국정원은 이 내용을 골자로 한 가이드라인을 배포했다.
▲적용 절차[자료=국정원]
정답: 국가망보안체계(N²SF)
설명: 국가망보안체계는 ①준비, ②C/S/O 등급분류, ③위협식별, ④보안대책 수립, ⑤적절성평가 단계로 수행된다. 기초 정보를 습득한 후 기관 업무정보와 정보시스템에 대해 중요도에 따라 기밀(C), 민감(S), 공개(O) 등 3개 등급으로 분류한다. 이후 모델링 기법으로 위협을 식별하고 보안대책이 필요한 대상을 선정한다. 수립 단계에서 통제사항을 선택하고, 평가·조정 단계에서 적절성 평가 및 재조정·승인을 거친다.
3. ‘이것’은 무엇일까?
최근 세계적으로 ‘이것’을/를 악용한 악성 피싱 캠페인이 발견됐다. 미국 우체국을 사칭한 문자에 ‘이것’을/를 포함해 보내는 게 특징이다. ‘이것’은/는 일상에서 널리 사용되며 호환성이 뛰어나고 신뢰도가 높아 사용자를 쉽게 속일 수 있다. 공격자는 난독화 기술을 더해 보안 솔루션이 피싱 여부를 식별하기 어렵게 했다.
[이미지=보안뉴스]
정답: PDF 파일
설명: 최근 美 보안업체 짐페리움에서 PDF를 활용한 피싱 캠페인을 발견했다. PDF 파일 20개, 피싱 페이지는 630개 이상에서 악성 인프라를 확인했다. 50개국 이상 국가에 걸쳐 공격이 진행됐다. 공격은 美 우체국을 사칭한 메시지로 시작된다. 메시지에 포함된 PDF를 열면 우체국 페이지로 위장한 악성 페이지로 연결된다. 여기에 신용카드 정보와 전화번호 등 개인정보 입력을 유도해 정보를 탈취한다.
4. 최근 카카오페이와 애플이 동의 없이 이용자 정보를 국외로 이전하고, 이 사실을 알리지 않는 등 개인정보 보호법을 위반해 과징금 83억을 물었다. 이에 관한 설명으로 틀린 것은?
① 개인정보 국외이전 시, 정보 주체에게 동의를 구하고 이전 사실을 알려야 한다.
② 개인정보 처리를 외부에 위탁할 때, 위탁자가 정보 주체에 대한 책임을 져야 한다.
③ 개인정보 국외이전은 정보통신망법이 적용되며, 개인정보 보호법상 동의는 의무가 아니다.
④ 개인정보를 이전하는 것은 제3자 제공에 해당함으로, 적법 근거를 마련해야 한다
▲고학수 개인정보보호위원장[사진=개인정보위]
정답: ③
설명: 카카오페이와 애플은 고개 동의 없이 약4000만명 개인정보를 알리페이로 넘겨 과징금 처분을 받았다. 카카오페이는 이용자 동의 없이 개인정보를 애플과 애플의 수탁사인 알리페이에 넘겼다. 애플은 개인정보 처리 위탁과 국외이전 사실을 알리지 않았다. 개인정보 국외이전할 때는 정보주체에게 알리고, 개인정보 보호법에 따라 적법한 절차를 마련해야 한다.
5. 다음 설명은 O일까 X일까?
작년 하반기 서버해킹은 전년 대비 2배가 늘었고, 악성코드 감염률의 85% 이상은 랜섬웨어가 차지했다. 특히 중소·중견기업 침해사고 비중이 전체 94%를 차지했다.
[이미지=gettyimagesbank]
정답: O
설명: 한국인터넷진흥원(KISA)이 발표한 ‘하반기 2024 사이버 위협 동향 보고서’에 따르면 전체 침해사고 신고 건수는 988건으로 전년 동기대비 61% 늘었다. 이중 서버해킹이 553건이었다. 신고 유형 중 악성코드 감염률 85% 이상을 랜섬웨어가 차지했다. 직원 대상 랜섬웨어 예방 교육과 시스템 취약점 점검, 데이터 백업, 침해사고 시 긴급 대응 등 예방과 대책을 마련해야 한다.
6. 다음 중 국세청이 보낸 메일은?
▲국세청을 사칭한 해킹 메일[자료=보안뉴스]
정답: 없음
설명: 연말정산 시기가 다가오면서 국세청 사칭 피싱 메일이 기승을 부리고 있다. 메일은 세무조사 혹은 전자세금계산서 발급 등 형태로 유포된다. 메일 내 링크 클릭을 유도하고, 접속 시 네이버나 카카오 등 익숙한 포털 화면을 띄운다. 이에 로그인하도록 이끌어 정보를 탈취하는 식으로 공격이 이뤄진다. 국세청이 보낸 메일은 계정정보를 요구하지 않는다. 만일 메일 제목이 의심스럽거나 발신자가 불분명한 경우 함부로 열람하지 말고, 삭제 후 스팸메일 신고하는 것이 안전하다. 또한 국세청은 민원증명과 세금신고, 세무조사, 탈세제보, 가산세 관련 메일을 보내지 않음으로 피싱 메일에 속지 말아야 한다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
