[주간보안동향] MS, 3월 보안 패치 배포…제로 클릭 공격 주의보 外

#KISA #MS #S2W #개인정보위 #개인정보유출사고 #딥페이크 #딥페이크탐지 #롯데카드 #보이스피싱 #사이버보안 #생성AI #제로데이 #제로클릭 #주간보안동향 #취약점 #코파일럿

김예지 yj@itdonga.com

2026.03.17.

[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

MS, 3월 보안 패치 배포…제로 클릭 공격 주의보

마이크로소프트(MS)가 지난 3월 10일(현지 시각) 79개 취약점에 대한 보안 업데이트를 배포했다. 이달 초 별도로 패치된 취약점 5건을 합산하면 총 84개의 보안 취약점이 해결됐으며, 여기에는 공개된 제로데이 취약점 2개가 포함됐다.

특히 이번 업데이트에서는 엑셀과 코파일럿(Copilot) 에이전트 간 데이터 처리 과정에서 발견된 ‘제로 클릭’ 취약점이 논란이 됐다. 제로클릭 공격은 사용자가 링크를 누르거나 파일을 여는 행위 없이도 시스템 내부 취약점으로 악성코드가 실행되는 방식이다. 이 취약점이 악용되면 코파일럿 에이전트가 권한을 오용해 민감한 재무 정보나 지적 재산을 외부로 유출할 위험이 있다. AI 에이전트 도입 확산에 따라 보안 과제가 중대해질 것으로 전망된다. 보안 업계는 시스템 패치와 최신 솔루션 유지 등 사전 예방적 조치를 강조했다.

한편, 최신 사이버 공격에 대응하기 위해 MS는 2026년 5월부터 윈도우 자동 패치의 기본 동작을 핫패칭 우선으로 변경한다고 밝혔다. 이를 통해 시스템 재시작 없이도 실시간 보안 업데이트를 적용해 높은 수준의 규정 준수를 달성하도록 지원한다.

롯데카드, 개인정보 유출로 과징금 96억 2000만 원 부과

지난해 9월 롯데카드는 해킹으로 이용자 약 297만 명의 신용정보가 유출됐다 / 출처=e브리핑

개인정보보호위원회(이하 개인정보위)는 지난 11일 롯데카드에 과징금 96억 2000만 원과 과태료 480만 원을 부과했다. 지난해 9월 롯데카드는 온라인 간편결제 시스템 해킹으로 이용자 약 297만 명의 신용정보가 유출됐고, 그중 45만 명은 주민등록번호까지 노출되는 피해를 입었다. 개인정보위 조사 결과, 롯데카드는 결제 로그 파일에 주민등록번호를 암호화 없이 평문으로 기록하는 등 보호 조치도 미흡했던 것으로 드러났다.

개인정보위는 이번 과징금을 산정하며 기준 범위를 롯데카드의 전체 매출이 아닌 온라인 결제 서비스 관련 매출로 한정했다. 개인정보위는 “2014년 주민등록번호 법정주의가 도입된 지 10년이 지났음에도 여전히 과잉 처리 사례가 확인됐다”며, “이를 계기로 금융권 전반의 주민등록번호 처리 실태 사전 점검할 계획”이라고 덧붙였다.

행정안전부, AI 딥페이크 탐지 기술 시연

행정안전부와 국립과학수사연구원과 ‘AI 딥페이크 탐지 분석 모델’을 공동 개발했다 / 출처=셔터스톡

생성형 AI를 악용한 딥페이크 범죄에 대응하고자 행정안전부가 2024년부터 국립과학수사연구원과 공동 개발한 ‘AI 딥페이크 탐지 분석 모델’ 시연회를 열었다. 공개된 모델은 기존 76% 수준이었던 탐지 정확도를 92%까지 끌어올린 것이 특징이다.

시연회에서는 기존 모델 1종과 개선된 영상 탐지 모델 5종, 음성 탐지 모델 5종 등 총 11종의 모델이 소개됐다. 경찰 바디캠 또는 선거 관련 영상 분석 시, 0~100 사이의 수치로 딥페이크 가능성을 보여준다. 100에 가까울수록 위조 가능성이 높음을 의미한다. 결과는 다수결 투표 방식으로 도출되며, 특정 모델 선택 시 프레임별 변화 확률을 세밀하게 확인할 수 있다.

특히 이번 기술은 얼굴뿐 아니라 영상 전체 영역과 주파수를 과학적으로 분석해 음성 위조 여부까지 검증한다. 이는 육안 구별이 힘든 정교한 영상의 위조 흔적을 입증하여 법적 처벌 근거를 명확히 하는 데 기여할 전망이다.

이번에 개발된 모델은 향후 디지털 범죄 수사뿐만 아니라 오는 6월 지방선거의 딥페이크 허위 정보 확산 방지에도 활용된다. 선관위는 AI 제작 영상 표시 여부와 관계없이 선거일 전 90일부터는 활용을 금지하며, 풍자 목적이 아닌 실제 오인 가능성이 큰 영상은 엄격히 제한할 방침이다. 만약 유권자가 실제와 구분하기 어려운 가상의 딥페이크 영상을 발견할 경우 선관위에 신고하면 된다.

중동 불안 틈탄 스미싱…‘주유 지원금’ 문자 주의

한국인터넷진흥원(KISA)이 중동 사태를 악용한 스미싱·보이스피싱 주의보를 내렸다. 최근 유가 불안 심리를 자극해 ‘긴급 유류비 지원’, ‘정부 에너지 바우처 특별 보상’, ‘방산주’, ‘중동 노선 결항에 따른 특별 보상’, ‘항공권 환불’ 등 맞춤형 문구로 클릭을 유도하는 사례가 급증했다.

문자 속 링크를 클릭하면 피싱 사이트로 연결되거나 악성 앱이 설치돼 개인정보를 탈취될 수 있어 주의한다. ‘지원금 대상 조회’ 등 관련 키워드를 악용해 포털 검색 시 피싱 사이트를 검색결과 상단에 노출시켜 접속을 유도하기도 한다. 전화를 통해 원격제어 앱 설치를 유도하는 보이스피싱도 기승을 부린다.

KISA는 출처가 불분명한 링크는 클릭하지 말고, 정부기관이나 금융회사가 전화나 문자로 원격제어 앱 설치를 요구하지 않는다는 점을 강조했다. 의심스러운 문자는 즉시 스팸으로 신고하고, 카카오톡 ‘보호나라’ 채널의 ‘스미싱·피싱 확인서비스’를 활용해 악성 여부를 확인하다. 알 수 없는 출처의 앱 설치 제한 설정을 유지하고 백신을 항상 최신으로 업데이트한다.

만약 URL을 클릭한 후 앱을 설치했다면 모바일 백신으로 악성 앱 여부를 검사한다. 악성 앱이라면 수동 삭제하고 비행기모드 전환 후 112 신고한다. 악성 앱이 휴대전화를 제어할 수 있으므로 다른 기기로 신고한다. 감염된 기기로 금융 거래를 했다면 즉시 인증서와 보안카드를 폐기하고 추후 재발급받는다. 스마트폰에 설치된 악성 앱이 주소록을 조회해 다른 사람에게 유사한 내용의 스미싱을 발송하는 등 2차 피해가 발생할 수 있으므로 주변 지인에게 스미싱 피해 사실을 알려야 한다.

S2W, 일본 정부기관 재계약…글로벌 보폭 넓혀

국내 AI 보안 기업 에스투더블유(S2W)가 지난 12일 일본 정부기관과 자사의 기업·기관용 보안 AI 솔루션 ‘퀘이사(QUAXAR)’ 재계약을 체결했다고 밝혔다. 퀘이사는 AI 기반 자동화된 데이터 수집 및 분석 기능을 통해 조직 내부의 보안 시스템으로는 감지하기 어려운 외부 위협을 모니터링하고 관리할 수 있는 사이버 위협 인텔리전스(CTI) 플랫폼이다. 계약 규모는 지난해 3월 첫 계약 대비 3.5배를 웃돈다. 이를 발판으로 S2W는 올해 상반기 중 일본 법인을 설립할 계획이다.

한편, S2W는 사이버 범죄 근절을 위해 인터폴이 주도한 국제 공조 작전 ‘시너지아 III(Operation Synergia III)’에 참여했다고 17일 밝혔다. 작년 7월부터 올 1월까지 6개월간 전 세계 72개국 법 집행기관이 함께한 작전에 S2W는 인터폴의 글로벌 민관협력 프로그램 ‘게이트웨이 이니셔티브’ 한국 유일 파트너로 참여했다.

자사 플랫폼 ‘자비스(XARVIS)’로 다크웹과 텔레그램, 불법 가상자산 네트워크 등 히든 채널을 모니터링, 추적·분석해 인텔리전스를 제공했다. 인터폴은 작전 결과 악성 IP 주소와 서버 4만 5000개 이상을 차단하고, 94명을 체포했다고 밝혔다. 이번에 참여한 게이트웨이 이니셔티브 파트너 3개사에는 S2W, 트렌드마이크로(Trend Micro), 그룹아이비(Group-IB) 등이 있다.

IT동아 김예지 기자 (yj@itdonga.com)