.jpg)
4월 29일~5월 10일 간의 보안 소식을 되짚다
[보안뉴스 박은주 기자] 보안 소식을 퀴즈로 되짚어 볼 수 있게 정리한 코너입니다. 퀴즈를 풀며 이슈를 복습해 보고, 보안 지식을 넓혀보세요.
1. 지난 11월 행정전산망 먹통 사태에 이어 전자정부 서비스 곳곳에서 장애가 꾸준히 발생하고 있다. 지난 4월 ‘이’ 전자정부 서비스에서 타인의 서류가 발급되면서 개인정보가 유출된 사건이 뒤늦게 알려졌다. 정부 민원서비스, 보조금 등 정부혜택, 정책·기관정보 등을 확인하고, 각 기관 주요 서비스를 신청·조회·발급할 수 있는 대한민국 정부 대표 포털인 ‘이’ 서비스는 무엇일까?
정답: 정부24
▲대한민국 정부 로고[이미지=행정안전부]
설명: 4월 초 정부24에서 성적증명서 및 납세증명서 등을 발급할 때 타인 서류가 발행되는 오류가 발생했다. 해당 서류 유형에 따라 타인 이름 및 주민등록번호, 주소와 납세 내역, 학창시절 성적 등 민감한 개인정보가 담겨 있었다. 행정안전부는 시스템 점검을 통해 오류를 확인한 후, 삭제조치 및 당사자에게 피해 사실을 신속히 공지했다고 밝혔다. 현재 오류 발생 원인이 수정 및 보완돼 정상 발급되고 있다. 다만, 정확한 유출 규모나 유출 시기, 오류 원인 등은 밝혀지지 않았다. 전자정부 서비스 신뢰성에 흠집이 났다는 평가가 이어진다.
2. 최근 한국인터넷진흥원(KISA)을 사칭한 피싱 이메일이 유포되자 KISA는 공지를 발표하고 각별한 주의를 당부했다. 이에 관한 설명으로 틀린 것은?
① 범죄자는 KISA 스팸대응센터를 사칭해 사용자 메일이 악용됐다고 속이며 악성 링크 클릭을 유도했다.
② 피싱 메일에서 본인 확인을 하지 않을 때 과태료 처분 대상이 될 수 있다고 불안감을 유발했다.
③ 실제 KISA 주소를 사용하고 있어, 사용자가 맨눈으로 피싱 메일을 가려낼 수 없었다.
④ 이메일을 통해 연결된 사이트는 일단 의심하고, 되도록 출처가 불분명한 사이트는 클릭하지 말아야 한다.
[이미지=gettyimagesbank]
정답: ③
설명: 피싱 메일은 보낸 사람은 ‘한국인터넷진흥원’으로 표기되지만, 실제 메일 계정은 KISA 메일과 달랐다. 보낸 사람 계정 주소를 꼼꼼히 살핀다면 피싱을 예방할 수 있다. KISA는 피싱 메일과 관련해 △사용자는 송신자를 정확히 확인 및 모르는 이메일 및 첨부파일은 열람 금지 △이메일 수신 시 출처가 불분명한 사이트 주소 클릭 자제 △운영체제 및 자주 사용하는 문서 프로그램(아래한글 등) 등 최신 업데이트 수행 △바이러스 백신 업데이트 및 수시 검사 △이메일 수신 시 SPF(Sender Policy Framework)에서 KISA 메일서버 정보와 일치 유무 확인 등의 대응방안을 제시했다.
3. 다음 중 사이버 공간에서 안전하게 활동하고 있는 사람은 누구인가?
- ‘원호’는 토스증권 관계자라고 밝히는 문자 메시지를 받았다. 투자 상담과 주식 종목을 추천해 주는 리딩방이 있다는 소식을 듣고, 가입을 위해 문자에 적힌 번호로 전화를 걸었다.
- ‘창화’에게 테무 리뷰 체험단 활동 제안이 들어왔다. 우선 물건을 구매하고 리뷰를 작성하면 원고료를 지급하는 방식이다. 창화는 테무 공식 사이트에 적힌 번호로 전화해 체험단 활동을 확인했다.
- ‘태양’은 KISA로부터 자신 이메일이 스팸메일 전송에 악용됐다는 이메일을 받았다. 본인 확인을 진행하지 않으면 과태료를 물 수 있다는 경고를 보고, 링크에 접속해서 개인정보를 입력했다.
- ‘은원’은 코인 구매대행으로 수수료를 받을 수 있는 알바를 시작했다. 원화만큼 코인을 매수해 요청자에게 전송하면 수수료를 받고 있다.
[이미지=gettyimagesbank]
정답: 창화
설명: 원호, 최근 문자나 텔레그램으로 리딩방 가입 등을 유도해 금전을 요구하는 사기가 발생하고 있다. 토스증권은 공지를 통해 본인확인을 이유로 앱 설치나 금융정보를 요구하지 않고, 대표 번호가 아닌 별도의 번호로 고객에게 연락하지 않는다고 밝혔다. 공식 채널을 제외한 방법으로 고객 정보를 수집하지 않는다고 설명했다. 더불어 사칭 메시지에 번호로 연락할 경우 원격 애플리케이션을 설치하거나 개인정보가 유출될 수 있으니 연락하지 않도록 주의를 당부했다.
창화, 최근 리뷰 체험단 모집을 빙자한 신종 보이스피싱이 기승을 부리고 있다. 이용자는 사이트 링크를 전송해 가입을 유도할 땐 실제 홈페이지가 맞는지 먼저 확인하는 습관이 요구된다. 경찰청은 “대표번호가 맞는지 확인하고, 대표번호에 직접 전화를 걸어 확인해야 한다”며 “모르는 사이트 가입은 일단 의심하고, 현금 입금을 유도할 때는 진행을 그만두고, 사기가 의심된다면 112에 신고할 것”을 강조했다.
은원, 코인원에서 가상자산 투자자를 대상으로 전기통신금융사기 사고가 빈번하다며 공지를 통해 피싱에 주의할 것을 당부했다. 사기 유형은 △코인원 사칭 문자 △거래지원 여부에 대한 사칭 이메일 △코인원 사칭 이메일 및 5스피어 피싱 △구매대행 및 계정대여 관련 사기 △코인원 피싱 사이트 접속 △코인원 고객센터 사칭 등으로 다양하다. 위 보기에서 ‘은원’에 해당하는 내용은 구매대행 및 계정대여 관련 사기 유형으로 보이스피싱에서 돈세탁에 가담하는 과정이다. 의도하지 않았더라도 보이스피싱 범죄에 연루될 경우 민·형사상 책임이 발생할 수 있다.
KISA를 사칭한 피싱 이메일 예방법은 2번 문제를 통해 확인할 수 있다.
4. 다음 중 아동·청소년을 위한 개인정보보호 교육내용으로 옳은 것은?
① SNS 등 여러 사람이 열람할 수 있는 곳에 개인정보를 노출하지 말아야 한다.
② 모르는 사람이 개인정보를 요구하거나, 연락이 올 때 대화 주제를 돌릴 줄 알아야 한다.
③ 아동·청소년도 스스로 정보 주체임을 알고 문제가 발생했을 경우 스스로 해결할 수 있도록 대응방안을 숙지해야 한다.
④ 학급, 취미, 성씨 등 여러 사람이 공통으로 보유한 정보는 개인정보가 아니다.
[이미지=gettyimagesbank]
정답: ①
설명: 개인정보란 이름, 주소, 부모님 휴대폰 번호, 학급 등 개인이 가진 고유한 정보를 모두 포함한다. 여러 사람이 공통으로 보유한 정보라도 개인정보가 될 수 있다. 다른 정보와 결합해 특정인을 쉽게 알아낼 수 있는 정보까지 모두 개인정보에 포함되기 때문이다. 아동·청소년도 자기 스스로 정보 주체임을 알고 개인정보를 보호하려는 노력을 기울여야 한다. 다만 보호자와 긴밀한 소통이 필수적이다. 나이가 어리고 미숙해 스스로 개인정보를 보호하고 관리하는 데 한계가 있기 때문이다. 특정 광고 페이지에 접속하거나, 모르는 사람이 개인정보를 요구할 때 보호자에게 알릴 수 있도록 지도가 필요하다. 특히 개인정보가 유출되거나, 도용됐더라도 속이는 사람이 잘못한 일이라고 가르쳐야 한다. 만약 문제가 발생했을 경우 잘못을 저질렀다는 생각에 스스로 해결하려다가 오히려 문제가 더 심각해질 수 있다.
5. 다음 설명은 O일까 X일까? 8년 전 2016년 5월, 온라인 종합쇼핑몰 인터파크에서 고객 개인정보 1,030만 건이 유출되는 대형 사고가 벌어졌다. 당시 경찰청과 정부합동조사팀의 조사결과 내부자가 의도적으로 개인정보를 유출했고, 해당 자료를 다크웹에 판매한 것으로 드러났다.
[이미지=gettyimagesbank]
정답: X
설명: 2016년 발생한 인터파크 개인정보 유출 사고는 북한 해킹그룹 소행으로 밝혀졌다. 공격 영유지 IP나 해킹에 이용된 악성코드를 분석하니, 과거 북한이 사이버테러에 사용했던 것과 상당 부분 유사하다는 경찰청과 정부합동조사팀의 발표가 있었다. 한편, 〈보안뉴스 프리미엄 리포트〉의 ‘보안 역사, 그날’ 코너에서는 보안에 관련된 역사적인 해킹 사건을 베테랑 전문기자들 시선으로 재조명하고 있다.
6. 다음 중 진짜 네이버 로그인 페이지는?
[자료=ASEC]
정답: 오른쪽
설명: 왼쪽이 네이버 로그인 페이지를 모방한 피싱 페이지, 오른쪽이 정상적인 로그인 페이지다. 공격자가 사용자를 속이기 위해 정상 사이트 소스코드를 그대로 사용했기 때문에 눈으로만 봤을 때는 어느 쪽이 정상 페이지인지 구분하기 어렵다. 사용자 계정정보를 탈취하기 위한 목적으로, 메일이나 URL 형태로 유포되고 있다. 출처가 불분명한 메일이나 링크를 통한 로그인에 주의가 필요하다.
[박은주 기자(boan5@boannews.com)]
[보안뉴스 박은주 기자] 보안 소식을 퀴즈로 되짚어 볼 수 있게 정리한 코너입니다. 퀴즈를 풀며 이슈를 복습해 보고, 보안 지식을 넓혀보세요.
1. 지난 11월 행정전산망 먹통 사태에 이어 전자정부 서비스 곳곳에서 장애가 꾸준히 발생하고 있다. 지난 4월 ‘이’ 전자정부 서비스에서 타인의 서류가 발급되면서 개인정보가 유출된 사건이 뒤늦게 알려졌다. 정부 민원서비스, 보조금 등 정부혜택, 정책·기관정보 등을 확인하고, 각 기관 주요 서비스를 신청·조회·발급할 수 있는 대한민국 정부 대표 포털인 ‘이’ 서비스는 무엇일까?
정답: 정부24
▲대한민국 정부 로고[이미지=행정안전부]
설명: 4월 초 정부24에서 성적증명서 및 납세증명서 등을 발급할 때 타인 서류가 발행되는 오류가 발생했다. 해당 서류 유형에 따라 타인 이름 및 주민등록번호, 주소와 납세 내역, 학창시절 성적 등 민감한 개인정보가 담겨 있었다. 행정안전부는 시스템 점검을 통해 오류를 확인한 후, 삭제조치 및 당사자에게 피해 사실을 신속히 공지했다고 밝혔다. 현재 오류 발생 원인이 수정 및 보완돼 정상 발급되고 있다. 다만, 정확한 유출 규모나 유출 시기, 오류 원인 등은 밝혀지지 않았다. 전자정부 서비스 신뢰성에 흠집이 났다는 평가가 이어진다.
2. 최근 한국인터넷진흥원(KISA)을 사칭한 피싱 이메일이 유포되자 KISA는 공지를 발표하고 각별한 주의를 당부했다. 이에 관한 설명으로 틀린 것은?
① 범죄자는 KISA 스팸대응센터를 사칭해 사용자 메일이 악용됐다고 속이며 악성 링크 클릭을 유도했다.
② 피싱 메일에서 본인 확인을 하지 않을 때 과태료 처분 대상이 될 수 있다고 불안감을 유발했다.
③ 실제 KISA 주소를 사용하고 있어, 사용자가 맨눈으로 피싱 메일을 가려낼 수 없었다.
④ 이메일을 통해 연결된 사이트는 일단 의심하고, 되도록 출처가 불분명한 사이트는 클릭하지 말아야 한다.
[이미지=gettyimagesbank]
정답: ③
설명: 피싱 메일은 보낸 사람은 ‘한국인터넷진흥원’으로 표기되지만, 실제 메일 계정은 KISA 메일과 달랐다. 보낸 사람 계정 주소를 꼼꼼히 살핀다면 피싱을 예방할 수 있다. KISA는 피싱 메일과 관련해 △사용자는 송신자를 정확히 확인 및 모르는 이메일 및 첨부파일은 열람 금지 △이메일 수신 시 출처가 불분명한 사이트 주소 클릭 자제 △운영체제 및 자주 사용하는 문서 프로그램(아래한글 등) 등 최신 업데이트 수행 △바이러스 백신 업데이트 및 수시 검사 △이메일 수신 시 SPF(Sender Policy Framework)에서 KISA 메일서버 정보와 일치 유무 확인 등의 대응방안을 제시했다.
3. 다음 중 사이버 공간에서 안전하게 활동하고 있는 사람은 누구인가?
- ‘원호’는 토스증권 관계자라고 밝히는 문자 메시지를 받았다. 투자 상담과 주식 종목을 추천해 주는 리딩방이 있다는 소식을 듣고, 가입을 위해 문자에 적힌 번호로 전화를 걸었다.
- ‘창화’에게 테무 리뷰 체험단 활동 제안이 들어왔다. 우선 물건을 구매하고 리뷰를 작성하면 원고료를 지급하는 방식이다. 창화는 테무 공식 사이트에 적힌 번호로 전화해 체험단 활동을 확인했다.
- ‘태양’은 KISA로부터 자신 이메일이 스팸메일 전송에 악용됐다는 이메일을 받았다. 본인 확인을 진행하지 않으면 과태료를 물 수 있다는 경고를 보고, 링크에 접속해서 개인정보를 입력했다.
- ‘은원’은 코인 구매대행으로 수수료를 받을 수 있는 알바를 시작했다. 원화만큼 코인을 매수해 요청자에게 전송하면 수수료를 받고 있다.
[이미지=gettyimagesbank]
정답: 창화
설명: 원호, 최근 문자나 텔레그램으로 리딩방 가입 등을 유도해 금전을 요구하는 사기가 발생하고 있다. 토스증권은 공지를 통해 본인확인을 이유로 앱 설치나 금융정보를 요구하지 않고, 대표 번호가 아닌 별도의 번호로 고객에게 연락하지 않는다고 밝혔다. 공식 채널을 제외한 방법으로 고객 정보를 수집하지 않는다고 설명했다. 더불어 사칭 메시지에 번호로 연락할 경우 원격 애플리케이션을 설치하거나 개인정보가 유출될 수 있으니 연락하지 않도록 주의를 당부했다.
창화, 최근 리뷰 체험단 모집을 빙자한 신종 보이스피싱이 기승을 부리고 있다. 이용자는 사이트 링크를 전송해 가입을 유도할 땐 실제 홈페이지가 맞는지 먼저 확인하는 습관이 요구된다. 경찰청은 “대표번호가 맞는지 확인하고, 대표번호에 직접 전화를 걸어 확인해야 한다”며 “모르는 사이트 가입은 일단 의심하고, 현금 입금을 유도할 때는 진행을 그만두고, 사기가 의심된다면 112에 신고할 것”을 강조했다.
은원, 코인원에서 가상자산 투자자를 대상으로 전기통신금융사기 사고가 빈번하다며 공지를 통해 피싱에 주의할 것을 당부했다. 사기 유형은 △코인원 사칭 문자 △거래지원 여부에 대한 사칭 이메일 △코인원 사칭 이메일 및 5스피어 피싱 △구매대행 및 계정대여 관련 사기 △코인원 피싱 사이트 접속 △코인원 고객센터 사칭 등으로 다양하다. 위 보기에서 ‘은원’에 해당하는 내용은 구매대행 및 계정대여 관련 사기 유형으로 보이스피싱에서 돈세탁에 가담하는 과정이다. 의도하지 않았더라도 보이스피싱 범죄에 연루될 경우 민·형사상 책임이 발생할 수 있다.
KISA를 사칭한 피싱 이메일 예방법은 2번 문제를 통해 확인할 수 있다.
4. 다음 중 아동·청소년을 위한 개인정보보호 교육내용으로 옳은 것은?
① SNS 등 여러 사람이 열람할 수 있는 곳에 개인정보를 노출하지 말아야 한다.
② 모르는 사람이 개인정보를 요구하거나, 연락이 올 때 대화 주제를 돌릴 줄 알아야 한다.
③ 아동·청소년도 스스로 정보 주체임을 알고 문제가 발생했을 경우 스스로 해결할 수 있도록 대응방안을 숙지해야 한다.
④ 학급, 취미, 성씨 등 여러 사람이 공통으로 보유한 정보는 개인정보가 아니다.
[이미지=gettyimagesbank]
정답: ①
설명: 개인정보란 이름, 주소, 부모님 휴대폰 번호, 학급 등 개인이 가진 고유한 정보를 모두 포함한다. 여러 사람이 공통으로 보유한 정보라도 개인정보가 될 수 있다. 다른 정보와 결합해 특정인을 쉽게 알아낼 수 있는 정보까지 모두 개인정보에 포함되기 때문이다. 아동·청소년도 자기 스스로 정보 주체임을 알고 개인정보를 보호하려는 노력을 기울여야 한다. 다만 보호자와 긴밀한 소통이 필수적이다. 나이가 어리고 미숙해 스스로 개인정보를 보호하고 관리하는 데 한계가 있기 때문이다. 특정 광고 페이지에 접속하거나, 모르는 사람이 개인정보를 요구할 때 보호자에게 알릴 수 있도록 지도가 필요하다. 특히 개인정보가 유출되거나, 도용됐더라도 속이는 사람이 잘못한 일이라고 가르쳐야 한다. 만약 문제가 발생했을 경우 잘못을 저질렀다는 생각에 스스로 해결하려다가 오히려 문제가 더 심각해질 수 있다.
5. 다음 설명은 O일까 X일까? 8년 전 2016년 5월, 온라인 종합쇼핑몰 인터파크에서 고객 개인정보 1,030만 건이 유출되는 대형 사고가 벌어졌다. 당시 경찰청과 정부합동조사팀의 조사결과 내부자가 의도적으로 개인정보를 유출했고, 해당 자료를 다크웹에 판매한 것으로 드러났다.
[이미지=gettyimagesbank]
정답: X
설명: 2016년 발생한 인터파크 개인정보 유출 사고는 북한 해킹그룹 소행으로 밝혀졌다. 공격 영유지 IP나 해킹에 이용된 악성코드를 분석하니, 과거 북한이 사이버테러에 사용했던 것과 상당 부분 유사하다는 경찰청과 정부합동조사팀의 발표가 있었다. 한편, 〈보안뉴스 프리미엄 리포트〉의 ‘보안 역사, 그날’ 코너에서는 보안에 관련된 역사적인 해킹 사건을 베테랑 전문기자들 시선으로 재조명하고 있다.
6. 다음 중 진짜 네이버 로그인 페이지는?
[자료=ASEC]
정답: 오른쪽
설명: 왼쪽이 네이버 로그인 페이지를 모방한 피싱 페이지, 오른쪽이 정상적인 로그인 페이지다. 공격자가 사용자를 속이기 위해 정상 사이트 소스코드를 그대로 사용했기 때문에 눈으로만 봤을 때는 어느 쪽이 정상 페이지인지 구분하기 어렵다. 사용자 계정정보를 탈취하기 위한 목적으로, 메일이나 URL 형태로 유포되고 있다. 출처가 불분명한 메일이나 링크를 통한 로그인에 주의가 필요하다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
