정부가 '사이버 시큐리티 훈련 플랫폼'을 띄우고 기업 '해킹메일·분산서비스거부(DDos)' 대응 역량 강화를 도모한다. 정부 주도 사이버 모의훈련에 대한 참여율이 지속 증가한데다, 반복적 훈련으로 방어 능력이 향상된다는 사실이 수치로 확인된 만큼 상시적 훈련 체계를 확립한다는 목표다.

15일 과학기술정보통신부와 한국인터넷진흥원(KISA)는 서울 강남구 섬유센터에서 '2022년 하반기 민간 분야 사이버 위기대응 모의훈련' 실시결과를 발표하고 이같은 내용을 공유했다.

이원태 KISA 원장은 "일상화된 사이버 위협에 대응하는 방식 중 가장 효과적인 것은 반복 훈련을 통한 학습"이라며 "이러한 훈련들이 일시적 이벤트로 끝나는 것이 아니라 언제 어디서라도 상시 훈련이 가능한 플랫폼을 구축하는 것이 중요하다는 결론에 이르러 오늘부터 '사이버 시큐리티 훈련 플랫폼' 시범운영을 시작한다"고 말했다.

기업 해킹메일 감염률 20%↓, 탐지시간 36% 앞당겨

디지털전환(DT)이 기업 경쟁력을 좌우하는 핵심 요소로 거듭난 이후 사이버 위협 또한 기하급수적으로 증가했다. 문제는 고도화된 공격 뿐만 아니라 해킹을 목적으로 한 이메일, 디도스 공격 등 기존 방식에도 여전히 대다수 기업들이 취약한 모습을 보인다는 점이다.

이에 정부는 민간 기업을 대상으로 사이버 위협에 대응하는 모의훈련을 지속 실시해왔다. 참여 기업 수도 꾸준히 증가하고 있다. KISA에 따르면 올해 훈련에 참여한 기업은 488개사로 지난해(404개사)에 비해 약 21%가 증가했다.

지난달 초부터 약 3주간 진행된 하반기 모의훈련에는 294개사, 11만9130명이 참여했다. 이번 모의훈련은 ▲해킹메일 대응절차 점검 ▲디도스 공격 및 복구 점검 ▲기업 누리집 대상 모의침투 등으로 진행됐다.

먼저 해킹메일 훈련은 281개사 임직원을 대상으로 내부 보안담당자나 거래업체에서 발송한 것처럼 위장한 메일을 발송해 열람과 첨부파일 클릭을 통한 학성코드 감염을 유도하는 방식으로 진행됐다. 기업 유형별 맞춤형 해킹메일 시나리오는 전년(8종) 대비 60% 확대된 13종이 적용됐다. 훈련 결과 하반기 열람률은 27.3%, 감염률은 9.8%로 집계됐다.

눈 여겨볼 점은 훈련에 참여한 횟수가 많은 기업이 처음 참가한 기업보다 대응 측면에서 뛰어난 모습을 보였다는 점이다. 실제로 2회 이상 참여한 기업 감염률은 9.4%로 신규 참여 기업(11.3%)보다 약 20% 낮았다. 특히 5회 이상 반복적으로 참여한 경우(7.97%)에는 약 30% 이상 낮은 것으로 나타났다. 

양인승 KISA 책임은 "해킹메일에 의한 피해를 막기 위해서는 반복적 모의훈련을 통해 대응능력을 향상시키는 것이 중요하다는 것을 확인했다"고 말했다.

디도스 훈련의 경우 55개사 기업 누리집을 대상으로 실제 공격을 수행하고 기업별 탐지시간과 대응시간을 측정해 점검했다. 그 결과 평균 탐지시간은 12분, 대응시간은 24분으로 상반기(탐지 11분, 대응 22분)과 비슷한 수준을 보였다.

이 또한 디도스 훈련 재참여 기업은 신규 기업보다 공격탐지 시간이 약 36%(4분) 가량 빨랐다. 또 대기업·중견기업이 중소기업보다 4분 더 빠른 것으로 분석됐다. KISA 측은 이같은 결과를 통해 중소기업에 대한 투자와 지원이 필요하다고 설명했다.

모의침투 훈련은 상반기와 동일한 45개 기업 누리집을 대상으로 화이트해커가 주요 해킹 사례에서 사용되는 20여개 공격기법으로, 정해진 시나리오 없이 실제와 같은 환경에서 시도됐다. 이를 통해 39개 기업에서 평균 3.7개에 이르는 취약점이 발견됐다.

과기정통부와 KISA는 이날부터 기업이 자사 환경이나 일정에 맞춰 디도스 공격, 웹 취약점 점검 훈련까지 가능한 사이버 시큐리티 훈련 플랫폼을 중소기업 대상으로 시범 운영한다. 앞선 지난 4월부터 정부는 상시적 훈련이 가능한 '해킹메일 모의훈련 플랫폼'을 운영해왔다. 현재까지 총 120개 기업, 1만2145명이 이를 활용했다. 사이버 시큐리티 훈련 플랫폼은 이를 확대한 것이다.

김정삼 과기정통부 정보보호네트워크정책관은 "최근 사이버 침해사고 사례를 살펴보면 전문 해킹그룹의 고도화된 사이버 공격이 이뤄졌다"며 "그러나 시작은 내부 직원의 실수를 노린 작은 부분이라는 점을 명심하고 반복적 모의훈련을 통한 경각심 고취와 대응능력 제고가 중요하다"고 말했다.

모의훈련과 실제 공격 차이점 주의해야

모의훈련을 통한 반복적 학습이 중요하지만 실제로 이뤄지는 공격과의 차이점을 인지해야 한다는 분석도 나왔다. 

이날 '최신 해킹메일 동향 및 대응방안'을 주제로 발표한 문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "실제 현장에서는 이메일 기반 공격이 주로 문서파일을 통해 이뤄지지만, 모의훈련에서는 이같은 형태로 이뤄지지는 않았을 것"이라며 "훈련이 도움이 된다는 점은 자명한 사실이지만 실제 공격은 다른 형태로 돼있을 수도 있다는 점을 인지할 필요가 있다"고 강조했다.

실제로 최근 탐지되는 대다수의 피싱메일은 악성코드가 포함된 문서파일로 이뤄진다. 외교, 안보, 국방, 통일 쪽 종사자를 대상으로 정상적인 내용을 담은 이메일과 함께 PDF, docx 등 첨부파일을 보내 열람을 유도하는 방식이다. 특히 사용자가 무심코 누를 수 있는 '콘텐츠 사용' 보안 경고창이나 로그인 창을 통해 정보를 탈취하는 경우가 빈번하다.

실제로 올해 발생한 ▲국립외교원 사칭 이메일 ▲통일부 사칭 이메일 ▲신한카드 연말정산 서비스 위장 공격 ▲지상파 방송사 및 언론사 기자 대상 공격 ▲우리은행 보험 자동이체 내역서 위장 공격 등은 이같은 수법을 활용해 피해를 입힌 사례다.

문 센터장은 "클릭을 안하는 것이 중요하지만 갈 수록 공격이 정교해져 훈련을 많이한 사람들도 무심코 열람하는 경우가 있다"며 "특히 훈련기간이 아니라고 생각하면 경각심이 낮아지기 때문에 1년 내내 훈련을 진행하고 있다는 마인드로 항상 의심하고 접근해야 한다"고 말했다.

김가은 기자 7rsilver@techm.kr