10월 16일~ 10월 20일 동안의 보안 소식을 되짚다

[보안뉴스 박은주 기자] 〈퀴즈 이·보·소!〉는 한 주간의 보안 소식을 퀴즈로 되짚어 볼 수 있도록 정리한 코너입니다. 퀴즈를 풀며 이슈를 복습해 보고, 보안 지식을 넓혀보세요.

1. 한국과 미국 정부가 국내외 기업과 개인을 대상으로 ‘IT 인력 합동주의보’를 발표했다. 북한 IT 인력의 위장 취업과 관련한 활동을 돕지 않도록 주의 강화를 권고하는 내용이다. 이와 관련한 내용으로 옳은 것은?
① 이번에 한·미가 처음으로 ‘북한 IT 인력에 대한 합동 주의보’를 발령했다.
② 주의보에는 화상 면접·회의에 참여하지 않거나 피하고, 화면에 비친 장소, 외모 등이 일관되면 북한 IT 인력으로 의심할 필요가 있다고 지적했다.
③ 고용 후보자의 철저한 신원조사를 거치고, 고용자의 계좌와 실제 주소 확인을 당부했다.
④ 정부 승인 없이 북한 인력으로 용역을 받는 경우 ‘국가보안법’에 따라 처벌받을 수 있다.


정답: ③
설명: 한·미는 2022년 5월, 12월에도 ‘북한 IT 인력에 대한 합동 주의보’를 발령했다. 19일에 발표한 합동주의보에서는 북한 IT 인력이 신분 위장을 위해 활용하는 새로운 수법을 소개하고, 북한 인력 고용을 방지하는 조치를 안내했다. 주의보는 화상 면접·회의에 참여하지 않거나 피하고, 화면에 비친 장소, 외모 등이 일관되지 않으면 북한 IT 인력으로 의심할 필요가 있다고 지적했다. 이어 고용 후보자에 대해 철저한 신원조사를 거치고, 계좌와 실제 주소 확인을 위해 주의를 기울이라고 권고했다. 더불어 회사 네트워크와 비밀 정보가 보호되도록 보안 조치를 강화하는 방법을 제안했다. 정부 승인 없이 북한 인력으로 용역을 받는 경우 ‘남북교류협력법’에 따라 처벌받을 수 있다.


2. 분업화된 해킹조직으로 사이버침해사고가 증가하는 가운데, 정부가 피해 규모를 정확히 파악하지 못한다는 지적이 2023년 국정감사에서 나왔다. 이에 대한 틀린 것은?
① 과학기술정보방송통신위원회(과방위) 소속 박완주 의원은 한국인터넷진흥원(KISA) 국감에서 실효성 없는 대응인력 및 사업 추진을 비판했다.
② 지난 5년간 민간분야 침해사고 신고건수는 3,594건으로 매년 민간분야 사이버 침해 건수는 늘었지만, KISA 사이버침해대응본부 대응인력은 감소했다.
③ 과학기술정보통신부(이하 과기정통부)는 사이버 침해사고 추정을 위한 누적 데이터 등을 분석해 대응안을 마련하겠다고 밝혔다.
④ 정부는 사이버위협에 능동적으로 대응하기 위해 사이버보안 R&D 예비타당성 사업을 신청했고, 사업이 선정될 시 5년간 2,737억 원을 투자할 예정이다.


정답: ③
설명: 과기정통부는 사이버 침해사고 특성상 피해 범위 정의 및 피해기업의 보유 데이터 가치 산정이 어렵다고 밝혔다. 손해배상 및 복구비용 추정을 위한 누적 데이터 등이 마련되지 않아 피해 규모를 산정하기가 사실상 어렵다는 의견이다. 박완주 의원은 과기정통부가 사이버 침해 피해 규모와 복구현황을 의무적으로 관리하도록 하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안을 대표 발의했다. 개정안은 현재 국회 과방위에 계류된 상태다.


3. 글로벌 데이터 보호 기업 빔(Veeam)의 CIO 네이트 커츠(Nate Kurtz)는 기업의 CIO와 CISO가 협력을 통해 사업 확장과 보안 강화를 이뤄야 한다고 말한다. 이와 관련한 설명으로 옳은 것은?
① CIO와 CISO의 권한과 영역을 구분 짓지 말고, 융합된 팀으로 활동해야 한다.
② CISO는 생산에 적용되는 신기술(자동화, 인공지능, 데이터 분석 등)을 학습해야 한다.
③ CIO는 조직의 보안을 위해 각 부서 주요 인물과도 좋은 관계를 유지해야 한다.
④ 공통된 최우선 목표는 ‘규정준수’와 ‘보안 위생 향상’이다.


정답: ④
설명: 네이트 커츠는 ‘CIO와 CISO가 각기 독립된 팀으로서 활동하며, 각자의 권한과 영역을 분명하게 구분 짓는 것부터가 화합의 시작’이라고 말했다. 동시에 이들이 최우선 가치는 ‘규정준수’와 ‘보안 위생 향상’이라고 주장했다. 네이트 커츠는 CISO가 회사 전체의 보안을 책임지는 사람으로 리더쉽을 갖추고 회사가 제공하는 서비스와 업무에 대해 파악하고, 부서별·기능별 주요 인물과 좋은 관계를 유지할 것을 권장했다. CIO는 기술 혁신과 도입, 구축을 책임지는 사람으로 사업에 혁신을 이뤄갈 수 있도록 생산에 적용되는 신기술(자동화, 인공지능, 데이터 분석 등)을 학습해야 한다고 조언했다.


4. ‘이’ 기술은 인공지능을 이용해 사람의 얼굴이나 특정 부위를 합성한 영상편집 기술을 말한다. 기술 자체가 범죄는 아니지만 피해자의 얼굴을 합성해 음란물을 만들거나, 정치인, 국가 지도자 등의 얼굴을 합성해 유언비어를 퍼트려 사회 혼란을 일으키는 등의 문제가 발생했다. 이 기술은 무엇일까?


정답: 딥페이크(Deep Fake)
설명: 심층학습(Deep Learning)과 가짜(Fake)의 합성어로 인공지능을 이용해 사람의 얼굴·신체를 합성한 영상편집 기술이다. 러-우 전쟁 중 가짜 푸틴 대통령의 발표문이 중계되어 혼란을 일으켰고, 일론 머스크의 얼굴을 합성해 가짜 암호화폐 플랫폼으로 사람들을 유인해 코인을 구매하게 하는 등 피해가 발생했다. 반면, ‘분노의 질주 7’을 촬영할 당시 사망한 ‘폴 워커(Paul Walker)’를 영화에 등장시키기 위해 사용되기도 했다.


5. 보안 인식이 높아지며, 관리자 계정이 잘 보호되고 있다는 보안 외신의 발표가 있었다. 권한이 높은 관리자 계정을 보호하기 위해 길고 어려운 비밀번호를 사용하거나 2차 인증을 거치는 등의 방법을 사용하는 것으로 드러났다. 위 설명은 O일까 X일까?


정답: X
설명: 보안 외신 블리핑컴퓨터에 따르면 관리자 계정 4만 개 이상이 매우 기본적인 비밀번호로 설정되어 있다고 한다. 많은 IT 관리자가 조직의 중요한 자산을 보호하지 않는다는 것과 같은 의미다. 이들이 설정한 비밀번호는 admin 혹은 기본으로 설정된 비밀번호였다. 관리자 계정은 보통 높은 권한을 가지고 있어 철저한 보안이 요구된다. 전문가들은 해커들의 추측만으로 공격할 수 있는 비밀번호로 계정이나 시스템, 데이터를 보호할 수 없다고 전했다.


6. 미국의 비영리 단체이자 싱크탱크 ‘랜드(RAND)’가 탈옥 챗봇을 이용한 연구로 충격적인 결과를 발표했다. 이에 관한 설명으로 틀린 것은?
① 챗봇 개발사 측에서 일부 위험한 질문에 답하지 못하도록 조치했지만, 해킹포럼 등을 통해 탈옥한 인공지능을 찾는 일은 어렵지 않다.
② 탈옥한 인공지능 챗봇은 대량 학살을 위한 균의 종류·장단점·관리방법 등을 자세히 알려줬다.
③ 한 인공지능은 학살 계획을 누군가 의심할 때 어떻게 해명해야 하는지 설명하기도 했다.
④ 일본 지하철 가스 테러를 일으킨 ‘옴진리교’ 등 인공지능을 사용한 테러나 대형 범죄가 확산할 우려가 있다.


정답: ④
설명: 탈옥한 인공지능은 생화학 테러에 대한 △균 종류 △균의 장단점 △균 취급 방법 △테러 비용 등 자세하게 답했다. 랜드 측은 이와 같은 인공지능의 답변이 사소하지 않다고 판단했다. 1995년 일본에서 가스 테러를 시도한 옴진리교 사건을 예로 들며 “당시 ‘사린가스’에 대한 이해도가 떨어져서 공격이 그 정도 선에서 끝났다”며 “이때 탈옥한 LLM이 있었다면 이야기가 완전히 달라졌을 것”이라고 우려를 표했다. 이유 없이, 단순 증오 등에 의해 각종 테러 사건을 시도하려는 사람에게 LLM이 주는 정보가 심각하다는 지적이다. 랜드는 연구를 통해 인공지능의 도움으로 대량 파괴·학살이 이뤄졌을 때, 대비 방법을 논의하고자 했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>