 |
| ▲(사진=과학기술정보통신부 제공) |
[매일안전신문=김혜연기자] 과학기술정보통신부가 한국인터넷진흥원과 함께 「’25년 하반기 사이버 위기 대응 모의훈련」을 실시하고, 그 결과를 26일 명동 포스트타워 대회의실에서 열린 강평회를 통해 발표했다.
강평회에서는 ‘25년 하반기 사이버 위기 대응 모의훈련 분석 결과를 발표하고 우수기업에 대한 표창을 수여하였다. 부총리 겸 과기정통부 장관 표창은 ’25년 상‧하반기 모의훈련에 모두 참여하여 우수한 성적을 보인 기업(지엔코)에 수여하였으며, 하반기 모의훈련에 적극적으로 참여한 우수기업(과학기술인공제회, 보맵, 울산대학교병원, 위대한상상)에는 한국 인터넷진흥원(KISA) 원장 표창이 수여되었다.
이외에도 2025년 한 해 동안 사이버보안 훈련 이음 터(시큐리티 훈련 플랫폼)*를 활용해 모의훈련을 실시한 우수기업 2개사(채비, 한국기능공사)와 협력사의 보안 강화를 위해 특별훈련을 지속해서 추진한 기업 1개사(현대차그룹)를 선정해 표창했다.
과기정통부와 한국 인터넷진흥원은 기업의 사이버 침해 대응능력을 점검하고 보안 역량을 강화하기 위해 연 2회 정기적으로 모의훈련을 실시하고 있다. 2025년 하반기 모의훈련에는 총 626개 기업과 266,666명의 임직원이 참여하여 전년도 하반기 대비 참여기업 수가 44% 증가하였다.
‘25년 하반기 모의훈련은 10월20일~31일까지 약 2주간 훈련별 신청기업을 대상으로 실시하였으며, ▲ 해킹 메일 대응 ▲ 분산 서비스 거부(DDoS) 공격 및 대응 점검 ▲ 기업 누리집 대상 모의 침투 ▲ 외부 서비스 제공 서버 대상 취약점 탐지 대응 네 가지 유형으로 진행되었다.
해킹 메일 대응 훈련
해킹 메일 훈련은 545개 기업 임직원을 대상으로 특정 기관을 사칭하거나 일상적으로 받을 수 있는 메일처럼 위장한 해킹 메일을 발송하여 메일 열람과 첨부파일 클릭을 통한 악성코드 감염을 유도하는 방식으로 진행하였다.
훈련 결과, 임직원 10명 중 3~4명은 해킹 메일을 열람(34.3%)하였고, 전체 참여 인원 중 3.7%는 첨부파일을 클릭해 악성코드에 감염된 것으로 나타났다. 상반기(16.8%) 대비 감염률이 크게 감소한 것으로 드러났는데, 이는 올해 통신사, 온라인 서비스 기업 등에서 발생한 대규모 침해사고로 인해 조직 내 보안 경각심이 높아진 영향으로 분석된다.
분산 서비스 거부 공격 및 복구 점검
분산 서비스 거부 공격 훈련은 135개 기업의 웹 서버, 개발 서버 등을 대상으로 실제 분산 서비스 거부 공격을 수행하여 기업별 탐지 시간과 대응 시간을 측정하고 대응능력을 점검하였다. 훈련 결과, 평균 탐지 시간은 16분, 대응 시간은 19분 소요되는 것으로 나타났다.
훈련에 재참여한 기업(79개)은 공격 탐지와 대응에 총 35분이 소요되어, 신규 참여기업(56개)의 평균 시간(총 37분)보다 2분 빠른 것으로 확인되었다.
기업 누리집 대상 모의 침투
모의 침투 훈련은 착한 해커(화이트해커)가 90개 기업의 누리집(홈페이지)을 대상으로 실제 해킹과 같은 방식으로 취약점을 탐지하는 형태로 진행되었다. 주요 해킹사례에서 사용되는 20여 가지의 다양한 공격기법을 활용해 사전 각본(시나리오) 없이 모의 해킹을 수행한 결과, 75개 기업 누리집에서 총 239개의 취약점(기업당 평균 3.2개)이 확인되었다.
과기정통부와 한국인터넷진흥원(KISA)은 확인된 취약점에 대해 기업별 점검 결과와 조치 방법 등을 안내하였으며, 자체 조치가 어려운 기업에는 취약점 개선을 지원할 예정이다.
외부 서비스 제공 서버 대상 취약점 탐지 대응
취약점 탐지 대응 훈련은 기업이 외부에 제공하는 웹 서비스, 메일, 공개 API 등을 대상으로 서버의 취약점을 점검하는 방식으로 수행하였다.
총 228개 신청기업 중 51개 기업에서 184개의 취약점이 확인되었으며, 이 중 18개 기업에서는 즉시 조치가 필요한 38개의 취약점이 발견되었다. 또한 일부 기업에서는 보안 갱신(업데이트)이 충분치 않은 오래된 판본(버전)의 웹‧앱을 사용하고 있는 것으로 확인되었다. 과기정통부와 한국인터넷진흥원(KISA)은 훈련 종료 후 점검 결과를 각 기업에 전달하고 취약점에 대한 설명 및 조치 방안 등을 안내하였다.
과기정통부 최우혁 네트워크정책실장은 “올해는 통신사‧금융사 등 국민 생활과 밀접한 분야에서 침해사고가 연이어 발생하며, 보안의 중요성이 더욱 커진 한 해였다.”라면서, “사전에 침해사고를 예방하는 노력이 필요한 시기인 만큼, 기업들이 모의훈련을 통해 보안 수준을 꾸준히 높여주기를 바란다.”라고 밝혔다
[저작권자ⓒ 매일안전신문. 무단전재-재배포 금지]
![[포토뉴스] 임상섭 산림청장, 2025년 제1회 나무의사의 날 기념행사 참석](https://idsncdn.iwinv.biz/news/data/20250624/p1065597854320216_709_h2.jpg)
![[포토뉴스] 임상섭 산림청장, 제2회 대한민국 목조건축박람회 참석](https://idsncdn.iwinv.biz/news/data/20250312/p1065599501829032_959_h2.jpg)
![[포토뉴스] 임상섭 산림청장 “조경수산업협장과 교류·협력 강화해 나갈 것”](https://idsncdn.iwinv.biz/news/data/20241105/p1065602521893015_755_h2.jpg)
