1월 22일~2월 1일 동안의 보안 소식을 되짚다

[보안뉴스 박은주 기자] <퀴즈 이·보·소!>는 퀴즈를 통해 보안 소식을 되짚어 볼 수 있도록 정리한 코너입니다. 퀴즈를 풀며 이슈를 복습해 보고, 보안 지식을 넓혀보세요.

1. 중국 해커가 국내 90여개 사이트 데이터베이스 계정정보를 노출하고, 설날 추가 공격을 예고했다. 이에 관한 설명으로 틀린 것은?
① 해커는 금전 갈취를 목적으로 해킹을 시도하는 것으로 드러났다.
② 해커의 취약점 공격에 국내 기관 및 기업이 피해를 보고 있다.
③ 한국인터넷진흥원은 ‘최근 침해사고 증가에 따른 기업보안 강화 요청’을 공지했다.
④ 국내 웹사이트 90여 곳의 데이터베이스 계정정보를 엑셀 파일로 텔레그램에 공유했다.


정답:①
설명: 해당 중국 해커는 제주특별자치도 농업기술원 제주농업기술센터, 경기도 어린이집 관리시스템 등 국내 90여개 사이트를 대상으로 공격을 시도하고 있다. 엑셀 파일로 텔레그램에 공유한 데이터베이스 계정정보에는 홈페이지 이름과 URL 주소, IP, Port, 아이디, 패스워드 등이 포함돼 우려가 이어진다. 해당 해커는 보복심과 유명세에 자극받아 국내 웹사이트를 해킹한다고 밝혔다. 해커의 취약점 공격에 국내 기관 및 기업이 피해를 보고 있어 보안강화 조치가 시급한 상황이다. 이에 한국인터넷진흥원은 웹 서버 등 주요 시스템에 대한 보안 패치, 취약점 점검·보완 사항을 담은 ‘최근 침해사고 증가에 따른 기업보안 강화 요청’을 공지했다.

2. 2023년 총 17억 달러(2조 2,693억 3,000만원)의 암호화폐가 도난당했다. 주로 암호화폐 거래 플랫폼 해킹과 연루된 피해다. 총 피해액 중 10억 달러(1조 3,354억원)를 ‘이’ 조직이 갈취한 것으로 드러났다. 암호화폐 시장의 큰 도둑으로 꼽히며 2022년엔 17억 달러, 2023년엔 10억 달러를 탈취한 ‘이’ 조직은 무엇일까?


정답: 북한 해킹 조직
설명: 김수키, 라자루스, 템프허밋, 안다리엘 등 북한의 해킹 조직이 암호화폐 시장을 좀먹고 있다. 2023년은 암호화폐 암흑기로 불리며 시장경제가 침체됐음에도, 북한 해킹 조직은 10억달러가량의 암호화폐를 갈취했다. 지난해에 사라진 암호화폐 중 절반 이상을 북한이 가져간 것. 심지어 이 돈이 미사일과 대량 살상무기 개발에 사용되고 있다. 북한의 해킹이 각국의 안보와 세계 평화를 위협하고 있는 셈이다. 전문가들은 앞으로 더 많은 공격이 이어질 것이라는 가능성을 시사하며, 암호화폐 시장의 피해를 확산하기 위한 노력이 필요하다고 목소리를 높이고 있다.

3. 최근 클라우드 컴퓨팅 기업 VM웨어(VMware)의 VM웨어 브이센터 서버에서 발견된 취약점 ‘CVE-2023-34048’이 중국의 ‘UNC3886’이라는 해킹 단체에 의해 제로데이 공격을 당한 사실이 드러났다. 이에 관한 설명으로 옳은 것은?
① 접근 제어 누락 취약점으로 임의 접근 및 데이터 탈취 위험이 있다.
② VM웨어는 공식 지원 기간이 끝난 버전은 사용을 자제해 달라고 권고했다.
③ ‘UNC3886’ 그룹은 2021년 하반기부터 2년간 제로데이 공격을 감행했다.
④ 취약점은 VMware의 버그바운티를 통해 발견됐다.


정답: ③
설명: 중국의 ‘UNC3886’이 해당 취약점을 2년 동안 제로데이 공격을 감행한 사실이 드러났다. 아웃오브바운드 라이트(out-of-bounds write) 취약점으로 익스플로잇에 성공한 공격자는 피해자의 브이센터 서버에 접근할 수 있다. 취약점을 발견한 보안기업 맨디언트(Mandiant)에 따르면 “원래 UNC3886은 들키지 않은 채 각종 공격을 수행하기 위해 제로데이를 자주 활용한다”고 설명했다. 취약점의 심각성에 따라 VM웨어는 공식 지원 기간이 끝난 버전들을 위해서도 패치를 개발해 배포했다.

4. 최근 임금 수령 통지서로 위장한 ‘이’ 메일이 유포되고 있다. QR 코드와 피싱(Phishing)의 합성어로 QR 코드를 스캔하면 악성 앱 설치 또는 피싱 사이트에 접속되는 공격 유형 중 하나인 ‘이것’은 무엇일까?


정답: 큐싱(Qshing)
설명: 최근 중화인민공화국 재정부를 사칭한 큐싱 메일이 유포돼 주의가 요구된다. 메일 본문에는 임금 보조금을 받기 위해서 휴대폰을 이용해 QR 코드를 스캔하도록 유도하는 문구가 포함돼 있다. QR 코드를 스캔하면 지원금 신청을 위한 사용자 이름, 아이디 번호 입력 및 카드·휴대폰 번호와 비밀번호 등 추가 입력을 요구하고, 입력된 사용자 정보는 별도의 주소로 전송된다. 큐싱으로 유출된 정보를 이용해 금전적인 피해 및 2차 피해로 이어질 수 있다. 공격자는 메일 주소를 사칭해 이메일을 전송함으로 메일 헤더를 확인하는 등 메일 열람에 주의를 기울여야 한다.

5. 사이버 공격 피해 대다수가 중소기업에 집중돼 중소기업의 보안 강화가 시급한 상황이다. 국가정보원 산업기밀보호센터는 한국산업기술보호협회와 함께 중소기업이 해킹에 의한 기술유출 피해를 보지 않도록 ‘중소기업 기술 유출 방지 IT 보안 가이드라인’을 배포했다. 이에 관한 설명으로 옳은 것은?
① 가이드라인은 구독형 결제 방식으로, 매달 새로운 보안 내용이 업데이트된다.
② 가이드라인은 임직원편·실무자편으로 구분해 활용성을 높였다.
③ 산업기밀보호센터 관계자는 “이번 보안 가이드라인으로 대부분 해킹 공격을 예방할 수 있을 것”이라며 적극적인 활용을 당부했다.
④ 중소기업에서 많이 사용 중인 MacOS 서버, CCTV 등 하드웨어와 한글·Word 등 소프트웨어를 대상으로 보안 조치를 담았다.


정답: ②
설명: 국정원 산업기밀보호센터와 한국산업기술보호협회와 함께 ‘별도의 비용 없이’ 보안역량을 향상하는 방안을 담아 ‘중소기업 기술 유출 방지 IT 보안 가이드라인’을 제작했다. 가이드라인은 임직원편·실무자편으로 구분해 임진원 보안수칙과 정보보호 실무자 보안수칙 등을 안내하며 활용성을 높였다. 가이드라인은 중소기업에서 많이 사용 중인 Windows서버·ipTIME 공유기 등 IT 장비와 한글·Word 등 소프트웨어를 대상으로, 국내외 발간한 ‘중소기업 기술 보호’ 자료를 분석해 최신 보안 조치 방안을 담았다. 산업기밀보호센터 관계자는 “이번 보안 가이드라인으로 모든 해킹 공격을 막을 수는 없겠지만, 정보보안 예산·인력이 부족한 중소기업의 정보보안 기초체력을 기르는 데 도움이 될 것”이라며 적극적인 활용을 당부했다.

6. 미국 정부는 ‘이’ 시설을 보호하기 위해 보안 가이드라인을 발표했다. 가이드라인에는 △사이버 사건이 발생할 때 빠르게 유관 기관에 알린다 △사이버 보안 향상을 위해 필요한 자원을 확보해 둔다 △같은 산업 내 기업들 사이의 협업을 모색하고 활성화한다는 실천 사항이 담겨 있다. 최근 사이버 공격이 증가해 CISA가 발 빠르게 나선 ‘이’ 시설은 무엇일까?


정답: 식수/폐수 처리 및 수자원 시설
설명: 미국의 사이버 보안 전담 기관인 CISA는 식수/폐수 처리 시설들을 위한 새로운 보안 가이드라인을 발표했다. 침해 사건에 대응하기 위한 방안을 강조하며 △조직 차원의 사건 대응 계획 수립 △탐지 기능을 집중적으로 강화 △외부 전문가와 정보를 적극적으로 공유 △소통 채널 △시나리오별로 사건 플레이북을 만들어 방어 훈련 수행 등을 강조했다. 수자원 시설은 생활은 물론 사회 구조에 긴밀하게 연결된 기반시설이다. 미국에서 수자원 분야를 겨냥한 사이버 공격이 잦아지고 있는 분위기에 CISA가 기민하게 대응했다는 평가다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>