"기업 홈피 모의 해킹해보니…87%서 취약점 3.7개씩 발견"
과기정통부 등 하반기 사이버 침해 모의훈련…"반복 훈련 필수"
(서울=연합뉴스) 조성미 기자 = 과학기술정보통신부가 기업 홈페이지를 대상으로 하반기 사이버 위기 대응 모의훈련을 실시한 결과 참여 기업 87%에서 평균 3.7개 취약점이 발견됐다.
과기정통부와 한국인터넷진흥원(KISA)은 15일 서울 강남구 섬유센터 콘퍼런스홀에서 이러한 내용을 담은 올해 하반기 민간 분야 사이버 모의 훈련 결과를 보고했다.
하반기 모의 침투 훈련은 상반기와 마찬가지로 45개 기업 홈페이지를 대상으로 실시됐다.
화이트해커가 주요 해킹 사례에서 사용되는 악성코드 삽입 등의 20여 가지 공격기법으로 정해진 시나리오 없이 실제 상황처럼 기업 홈페이지를 공격한 결과 39개 기업 홈페이지에서 취약점 146개가 발견됐다.
디도스 공격 대응 훈련을 55개 기업 홈페이지를 대상으로 실시한 결과 기업들이 공격을 탐지하는 데 걸린 시간은 평균 12분, 대응 시간은 24분으로 상반기 훈련 결과와 큰 차이를 보이지 않았다.
다만 훈련에 재참여한 기업은 신규 참여 기업보다 공격 탐지에서 4분 더 빠르게 대응해 반복 훈련이 효과가 있는 것으로 관찰됐다.
기업 메일에 대한 해킹 훈련은 281개 사 기업 임직원을 대상으로 내부 보안 담당자나 거래업체 관계자가 발송한 것처럼 위장한 해킹 메일을 보내는 방식으로 진행됐다. 그 결과 해킹 메일 열람률은 27.3%, 감염률은 9.9%로 나타났다.
메일 공격 훈련 역시 2차례 이상 훈련에 참여한 기업 감염률이 9.4%로 신규 기업 11.3%보다 2%포인트 정도 낮았다. 5회 이상 반복 참여한 경우는 7.97%로 더 떨어졌다.
김정삼 과기정통부 정보보호네트워크정책관은 "최근 사이버 침해 사고 사례를 보면 전문 해킹그룹의 고도화된 사이버 공격이라 하더라도 내부 직원의 실수를 노린 작은 시도에서 시작된다"며 "모의 훈련 반복을 통한 경각심 고취와 대응 능력을 높이는 것이 중요하다"고 말했다.
과기정통부와 KISA는 점검 결과와 조치 방법을 참여 기업들에 안내하고 올해 말까지 조치 계획을 제출받아 내년 1분기 안으로 이행 상황을 점검할 계획이다.
한편 과기정통부와 KISA는 올해 4월부터 기업이 원하는 일정에 맞춰 상시로 훈련이 가능한 '해킹 메일 모의 훈련 플랫폼'을 운영한 결과 이달 기준 120개 기업 1만2천145명이 참여했다고 밝혔다.
2회 이상 훈련에 참여한 5개 기업의 경우 처음보다 최대 12%까지 감염률이 낮아졌다.
과기정통부는 기업이 스스로 자사 환경이나 일정에 맞춰 디도스 공격, 웹 취약점 점검 훈련을 할 수 있는 '사이버 시큐리티 훈련 플랫폼'을 구축하고 중소기업을 대상으로 시범 운영하기로 했다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
과기정통부 등 하반기 사이버 침해 모의훈련…"반복 훈련 필수"
(서울=연합뉴스) 조성미 기자 = 과학기술정보통신부가 기업 홈페이지를 대상으로 하반기 사이버 위기 대응 모의훈련을 실시한 결과 참여 기업 87%에서 평균 3.7개 취약점이 발견됐다.
과기정통부와 한국인터넷진흥원(KISA)은 15일 서울 강남구 섬유센터 콘퍼런스홀에서 이러한 내용을 담은 올해 하반기 민간 분야 사이버 모의 훈련 결과를 보고했다.
하반기 모의 침투 훈련은 상반기와 마찬가지로 45개 기업 홈페이지를 대상으로 실시됐다.
화이트해커가 주요 해킹 사례에서 사용되는 악성코드 삽입 등의 20여 가지 공격기법으로 정해진 시나리오 없이 실제 상황처럼 기업 홈페이지를 공격한 결과 39개 기업 홈페이지에서 취약점 146개가 발견됐다.
디도스 공격 대응 훈련을 55개 기업 홈페이지를 대상으로 실시한 결과 기업들이 공격을 탐지하는 데 걸린 시간은 평균 12분, 대응 시간은 24분으로 상반기 훈련 결과와 큰 차이를 보이지 않았다.
다만 훈련에 재참여한 기업은 신규 참여 기업보다 공격 탐지에서 4분 더 빠르게 대응해 반복 훈련이 효과가 있는 것으로 관찰됐다.
기업 메일에 대한 해킹 훈련은 281개 사 기업 임직원을 대상으로 내부 보안 담당자나 거래업체 관계자가 발송한 것처럼 위장한 해킹 메일을 보내는 방식으로 진행됐다. 그 결과 해킹 메일 열람률은 27.3%, 감염률은 9.9%로 나타났다.
메일 공격 훈련 역시 2차례 이상 훈련에 참여한 기업 감염률이 9.4%로 신규 기업 11.3%보다 2%포인트 정도 낮았다. 5회 이상 반복 참여한 경우는 7.97%로 더 떨어졌다.
김정삼 과기정통부 정보보호네트워크정책관은 "최근 사이버 침해 사고 사례를 보면 전문 해킹그룹의 고도화된 사이버 공격이라 하더라도 내부 직원의 실수를 노린 작은 시도에서 시작된다"며 "모의 훈련 반복을 통한 경각심 고취와 대응 능력을 높이는 것이 중요하다"고 말했다.
과기정통부와 KISA는 점검 결과와 조치 방법을 참여 기업들에 안내하고 올해 말까지 조치 계획을 제출받아 내년 1분기 안으로 이행 상황을 점검할 계획이다.
한편 과기정통부와 KISA는 올해 4월부터 기업이 원하는 일정에 맞춰 상시로 훈련이 가능한 '해킹 메일 모의 훈련 플랫폼'을 운영한 결과 이달 기준 120개 기업 1만2천145명이 참여했다고 밝혔다.
2회 이상 훈련에 참여한 5개 기업의 경우 처음보다 최대 12%까지 감염률이 낮아졌다.
과기정통부는 기업이 스스로 자사 환경이나 일정에 맞춰 디도스 공격, 웹 취약점 점검 훈련을 할 수 있는 '사이버 시큐리티 훈련 플랫폼'을 구축하고 중소기업을 대상으로 시범 운영하기로 했다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
