보안

“추가 월급 지급한다는 메일에 그만”··· 실전보다 더한 KISA 사이버 위기대응 훈련

이종현
[디지털데일리 이종현기자] “추가 월급을 지급한다는 내용의 메일에 많은 직원들이 클릭했습니다. 이걸 보고 느꼈어요. ‘아, 알아도 당할 수밖에 없구나’” (이주영 비앤에프테크놀로지 과장)

한국인터넷진흥원(KISA)가 11일 서울 강남구 코엑스에서 ‘2019 하반기 민간분야 사이버 위기 대응 모의훈련 강평회’를 열었다. KISA 및 모의훈련에 참석한 화이트해커, 기업 등이 참석해 훈련의 소감과 미래 사이버보안 전략에 대해 논의했다.

하반기 사이버 위기 대응 모의훈련(이하 모의훈련)은 사이버공격이 집중될 것으로 예상되는 에너지 분야 기업과 그 협력사, 지역 중소기업을 중점 대상으로 진행됐다.

최근 베네수엘라 전력망 해킹사고나 인도 원자력발전소 해킹 등 에너지 관련 기업 해킹 우려가 커지고 있다. 에너지 기업을 직접 공격하지 않더라도 그 협력사를 노린다. 러시아 해커들이 미국 전력망을 해킹하기 위해 전력업체의 협력사 시스템을 해킹한 것이 대표적 예다.

우리나라 또한 예외는 아니다. 지난 10월 국정감사에서는 한국전력공사 등 국내 전력기관 7곳은 5년간 지속적인 사이버공격을 1000건 이상 받은 것으로 드러났다. 또 2018년 평창동계올림픽 해킹 때 협력사를 대상으로 지능형지속공격(APT)을 통한 계정정보 탈취 및 시스템 파괴 공격이 감행됐다.

지역 중소기업의 경우 사이버보안에 더욱 취약하다. 국내 기업의 99%가 중소기업이고 이중 약 79%가 지방에 있다. 하지만 정보보호 관련 기업 및 인력은 수도권에 90%가량 집중된 상태다. 지역 중소기업이 ‘사이버보안 사각지대’인 셈이다.

훈련은 ▲기업별 맞춤형 해킹메일 발송을 통한 APT 및 랜섬웨어 감염 대응체계 점검 ▲실제 운영 중인 웹사이트에 대규모 디도스 공격 전송 후 복구체계 점검 ▲화이트해커를 통한 홈페이지 모의침투 및 보안취약점 발굴·조치 등으로 진행됐다.

훈련 결과 맞춤형 해킹메일 발송으로 훈련이 강화돼 악성코드 감염률은 전년 동기간 대비 늘었다. 2018년 하반기 악성코드 감염률은 2.9%였으나 올해는 7.7%다. 16개사를 대상으로 한 디도스(DDoS) 공격 탐지·대응 시간은 15분으로 2018년 20분, 2019년 상반기 19분에 비해 줄었다.

이번 훈련에서 모의침투를 한 장형욱 SK인포섹 연구원은 기업의 보안실태 및 강화 방안을 조언했다. 그는 “사이버보안에서는 보안 취약점의 개수가 아니라 얼마나 심각한 보안 취약점이 있느냐가 중요하다. 위험도가 낮은 수십개의 보안 취약점보다 위험도가 높은 하나의 보안 취약점이 더 치명적인 피해를 초래한다”며 “보안에 대한 인식이 가장 중요하다”고 강조했다.

훈련에 참여한 이주영 비엔에프테크놀로지 과장은 “1차, 2차 APT 공격으로 훈련이 진행됐다. 1차 공격 때는 전 직원들이 대처를 잘했다. 그동안 사이버보안 교육을 한 것이 효과가 있있던 것 같다”며 “그런데 2차 공격에서 ‘추가 급여를 지급한다’는 내용의 메일에 속절없이 뚫렸다. 알면서도 당했다. 좋은 경험이었던 것 같다”고 말했다.

송일태 엠에스정밀 부장은 “예산 문제 때문에 사이버보안에는 많이 투자하지 못하는 상황에서 이번 모의훈련 소식을 듣고 참여하게 됐다”며 “지역 중소기업은 사이버보안에 투자하기 어려운 상황이다. 이런 훈련이 지속적으로 확대됐으면 한다”고 전했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널