보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[퀴즈 이·보·소] 개인정보위가 밝힌 2024년 주요업무 추진계획은?

입력 : 2024-02-25 22:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2월 12일~ 2월 23일 동안의 보안 소식을 되짚다

[보안뉴스 박은주 기자] <퀴즈 이·보·소!>는 퀴즈를 통해 한 주간의 주요 보안 소식을 되짚어 볼 수 있도록 정리한 코너입니다. 퀴즈를 풀며 이슈를 복습해 보고, 보안 지식을 넓혀보세요.

1. 개인정보보호위원회가 2024년 주요업무 추진계획을 밝히며 3대 정책 방향과 6대 핵심 추진과제를 발표했다. 이에 관한 설명으로 틀린 것은?
① 개인정보위는 ‘국민 삶이 풍요롭고 개인정보가 안전한 AI 시대’를 비전으로 제시했다.
② 3대 정책 방향은 신뢰받는 AI로 국민 삶의 질 제고, 일상이 안전한 개인정보 안심사회 실현, 글로벌 규범을 선도하는 개인정보 생태계 조성이다.
③ 6대 핵심추진 과제 중 ‘보이스 피싱 등 사이버 범죄 근절’이 포함됐다.
④ 일상이 안전한 개인정보보호체계 구축을 위해 스마트카·인공지능·슈퍼앱 분야를 선제적으로 실태점검하겠다고 밝혔다.

[이미지=gettyimagesbank]


정답: ③
설명: 개인정보위가 발표한 6대 핵심 추진과제는 ①신뢰할 수 있는 AI 성장 여건 조성 ②국민이 체감하는 마이데이터 확산 기반 마련 ③일상이 안전한 개인정보보호체계 구축 ④디지털 시대 정보주체 권익 강화 ➄데이터 경제를 지원하는 개인정보 생태계 조성·확산 ➅글로벌 개인정보 규범 형성 선도다. 일상이 안전한 개인정보보호체계 구축을 위해 국민 일상에 불편·위험 초래 우려가 있는 국민밀착 3대 분야(교육·학습 서비스, 식음료 주문 서비스, 정보방송통신 서비스)를 선제적으로 대응하겠다고 밝혔다. 또한 개인정보 처리의 투명성 확보가 요구되는 신산업 3대 분야인 스마트카, 인공지능, 슈퍼앱에 대해 선제적으로 실태점검을 추진할 계획이다.

2. 과학기술정보통신부는 2024년 디지털 심화 및 혁신 가속화를 뒷받침할 수 있도록 4,393억원을 투자해 ‘이’ 사업을 추진하겠다고 밝혔다. 국가 디지털 도약의 핵심으로 꼽히는 ‘이’ 사업은 무엇일까?
① 안전한 인공지능 개발을 위한 ‘인공지능 보안 내재화(AI Security by Design)’
② 디지털 100만 인재양성을 목표로 한 ‘디지털 전문 인재양성’
③ 데이터 공유 및 활용을 위한 ‘망 분리’
④ 사생활 노출 우려에 따른 ‘개인정보보호 제품 PbD 인증제’

[이미지=gettyimagesbank]


정답: ②
설명: 과기정통부는 2024년 4,393억원을 투자해 디지털 전문 인재 4만명 이상 양성 계획을 밝혔다. 이는 2026년까지 디지털 100만 인재를 양성하겠다는 ‘디지털 인재양성 종합방안(2022년 8월 발표)’의 일환이다. 디지털 기술의 세계 경쟁력을 확보할 수 있도록 고급인재 양성을 확대 및 강화한다. 대표적으로 생성형 AI 모델 보유기업 주도의 산학 협력 프로젝트를 통해 ‘생성형 AI 선도인재 양성과정’을 생성할 예정이다. 이 밖에도 디지털 교육 혁신을 확산하고, 실무 인재를 기르기 위한 교육과정·아카데미를 개설하겠다는 계획을 밝혔다.

3. 최근 국가정보원은 독일의 정보기관인 ‘헌법보호청(BfV)’과 함께 북한의 방산 분야 사이버 공격 피해를 예방하기 위해 ‘이것’을 발표했다. 전 세계 방산 첨단기술을 탈취해 무기개발에 악용하는 북한에게 경고한다는 의미를 담은 ‘이것’은 무엇일까?

[이미지=gettyimagesbank]


정답: 한독 합동 사이버 보안 권고문
설명: 국가정보원은 독일 헌법보호청(BfV)과 함께 북한의 방산 분야 사이버 공격 피해를 예방하기 위해 2월 19일 ‘한독 합동 사이버 보안 권고문’을 발표했다. 권고문에는 북한의 방산 패킹 대표적인 사례 2가지와 공격 수법 등이 소개돼 있다. 이번 권고문은 2022년 ‘김수키 해킹조직의 구글서비스 악용 공격’ 발표에 이어 두 번째 발표이다. 양 기관은 북한의 사이버상 해킹행위는 무기 기술을 획득하기 위한 저비용의 효율적인 수단으로, 앞으로도 절대 포기하지 않을 것이라며, 방산 분야 보안을 더욱 강화할 필요가 있다고 강조했다.

4. 세계 최대 규모의 랜섬웨어 그룹 ‘록빗(Lockbit)’이 영국과 미국 등 수사기관의 공조로 장악됐으며, 각 수사기관에서 피해 조직을 위한 복호화 키를 생성하고 있다. 이 사실은 O일까 X일까?

[이미지=gettyimagesbank]


정답: O
설명: 영국 국가범죄청(NCA), 미국 법무부·FBI, 유로폴(EU 경찰조직) 등 수사기관이 국제 공조를 통해 록빗을 장악했다. 전 세계 사법당국에서는 체포, 기소 및 인프라와 자산 압류 등 조치가 이어지고 있다. 록빗은 계열사를 이룬 기업형 랜섬웨어 그룹으로 그간 어린이 병원, 정부기관을 포함한 다양한 기관을 대상으로 무자비한 공격을 감행했다. 록빗 검거로 인해 ‘정의가 실현됐다’는 의견이 이어지는 한편, 록빗의 자리를 대체하려는 많은 범죄조직 역시 저지해야 한다는 주장도 제기된다.

5. 최근 국내 건설 관련 협회 홈페이지에서 보안 프로그램으로 위장한 악성코드가 유포됐다. 로그인 시 필요한 보안 프로그램을 설치할 때 덩달아 악성코드가 다운로드 돼 각별한 주의가 요구된다. 이와 관련한 설명으로 틀린 것은?
① 인포스틸러·백도어 악성코드가 설치된다.
② 설치 파일은 유효한 인증서로 서명돼 있다.
③ 사용자는 악성코드가 설치됐는지 알아차리기 어렵다.
④ 새로운 유형의 악성코드다.

▲국내 건설사 관련 협회 홈페이지의 로그인 과정[이미지=ASEC]


정답: ④
설명: 사용자는 로그인할 때, 홈페이지에서 요구한 보안 프로그램을 설치하는 것만으로 위험할 수 있다. 보안 프로그램 사이 섞인 악성코드는 공격자가 도용한 유효한 인증서로 서명돼 있다. 따라서 웹 브라우저의 다운로드 검증 단계에서 탐지를 회피한 것으로 예상된다. 또한, 악성코드는 백그라운드에서 실행돼 사용자가 악성코드 설치 여부를 알아차리기에 어려움이 따른다. 해당 악성코드는 악의적 행위를 수행하는 백도어와 감염 시스템의 정보를 수집하는 인포스틸러(TrollAgent)이다. 위협 사실을 발견한 안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 과거 북한이 원자력 발전소나 국내 연구기관을 대상으로 유포한 악성코드와 유사한 것으로 드러났다.

6. 글로벌 시장 조사업체 가트너(Gartner)가 ‘2024년 주요 사이버 보안 트렌드 6가지’를 발표했다. 이와 관련한 설명으로 옳은 것은?
① 생성형 AI는 단기적으론 회의적이지만, 장기적으론 희망적이다.
② 사이버 보안 투자 전략을 수립할 때, 공격 시나리오를 활용해야 한다.
③ 인적 리스크를 줄이기 위해서는 인재 채용이 가장 중요하다.
④ 서드파티로 인한 위험을 줄이기 위해서는 서드파티와 기존 솔루션의 활용이 중요하다.

[이미지=gettyimagesbank]


정답: ①
설명: 가트너는 올해 사이버 보안 트렌드를 주도할 요소로 △생성형 AI △안전하지 않은 직원 행동 △서드파티 리스크 △지속적인 위협 노출 △이사회와의 의사소통 격차 △ID 우선 보안 접근 방식을 꼽았다.

가트너의 시니어 디렉터 리처드 애디스콧(Richard Addiscott) 애널리스트는 “생성형 AI의 진화는 시작에 불과하며, 당장은 피로감을 느낄 수 있지만, 장기적인 전망은 밝다”고 말했다. 사이버 보안 투자 전략을 수립할 때는 결과 중심 지표(ODM, Outcome-Driven Metrics)를 활용해 조직의 방어 수준을 직관적으로 이해할 수 있도록 돕는 게 중요하다. 또한 인적 리스크를 줄이기 위한 행동보다는 문화 프로그램의 중요성을 강조했다. 더불어 서드파티로 인해 리스크가 발생했을 경우, 서드파티 서비스의 위험 관리를 강화하고 주요 파트너와 상호 이익이 되는 관계를 구축해 자산을 지속적으로 보호해야 한다는 설명이다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)