한국인터넷진흥원(KISA)이 실시하는 민간 분야 사이버 위기 대응 모의 훈련에 꾸준히 참여해온 기업들의 사이버 공격 대응 역량이 상대적으로 우수한 것으로 나타났다.
KISA는 지난달 실시한 올해 상반기 모의 훈련 결과를 공개하는 강평회를 18일 서울 송파구 가락동 KISA 서울 청사에서 열고 이같이 밝혔다.
훈련은 크게 지능형지속위협(APT) 훈련, 분산서비스거부(DDoS), 화이트해커를 동원한 홈페이지 모의 침투로 구성됐다.
이번 훈련은 인터넷 서비스 제공자(ISP), 백신,쇼핑, 의료 가상통화취급업소, 제조 등 60개 민간 기업을 대상으로 실시됐다. 총 참여 인원은 2만5천815명으로 조사됐다.
훈련 결과에 따르면 APT 훈련에서 악성코드에 감염된 4천389명 중 절반이 처음 훈련의 참여한 기업 소속인 것으로 나타났다. 반면 5회 이상 참여한 기업에서는 17% 수준으로 나타나 상대적으로 비중이 적었다.
APT 훈련에서는 악성코드에 감염되는 링크를 첨부한 메일이 발송됐다. 메일을 읽고, 이 링크를 열면 악성코드에 감염된 것으로 간주하게 된다. 이번 훈련에서의 악성코드 감염률은 8.5%로 나타났다. 지난해 상반기 훈련에서의 감염률인 1.8%보다는 높은 수치다.
이에 대해 박진완 KISA 종합대응팀장은 "작년 상반기에는 악성코드가 담긴 실행파일을 메일에 첨부하고, 이를 열어봤을 때 감염된 것으로 봤다"며 "올해는 메일에 포함된 링크 주소를 열기만 해도 감염된 것으로 봤기 때문에 상대적으로 감염률이 높게 보이는 것"이라고 설명했다.
기업 규모별 감염률은 중소기업 13.9%, 중견·대기업 6.5%로 나타나 상대적으로 중소기업의 보안 의식이 낮은 것으로 분석됐다.
DDoS 훈련 결과에서도 모의훈련 참여 횟수가 많은 기업일수록 대응, 탐지 시간이 적게 소요됐다.
5회 이상 참여한 기업은 디도스를 탐지하는 데 평균 2분, 대응하는 데 걸린 시간은 평균 15분이 소요됐다. 반면 처음 참여한 기업은 디도스 탐지에 평균 20분, 대응에 평균 26분이 걸렸다.
전체 기업의 평균 대응, 탐지 시간은 각각 7분, 19분으로 나타났다. 지난해 상반기 훈련 대비 각각 7분, 1분 줄어든 수치다.
모의 침투 결과에서는 23개사 홈페이지 중 16개 홈페이지에서 53개의 취약점을 발견했다. 특히 소프트웨어·시스템 구축(SI),쇼핑몰, 제조 등에서 개인정보 유출, 관리자 권한 탈취가 가능해 파급도가 높은 취약점을 발견했다.
올해 강평회에서는 모의 훈련 우수 기업으로 KB국민은행, 롯데홈쇼핑, KT를 선정해 시상했다.
KB국민은행은 올해 1분기 악성 메일 열람율이 높았던 부서 임직원 187명을 대상으로 악성코드 메일 훈련을 수행했다. 총 374건의 메일이 유입됐고 이 중 41건을 열람해 9건의 링크 클릭이 발생했다. 악성메일 내 명령제어(C&C) URL을 분석, 차단을 수행해 악성코드에 감염된 것으로 집계된 직원이 한 명도 발생하지 않았다.
롯데홈쇼핑은 APT 공격과 DDoS 모의 훈련을 수행했다. 자사 매뉴얼에 따라 APT 공격에 대해 감염된 PC를 네트워크 상에서 격리하고, 탐지 로그를 분석해 악성 IP·발신자를 차단했다. 이어 전 임직원 PC를 전수 조사한뒤 전사 공지를 통해 안내하는 절차를 거쳤다. DDoS의 경우 지난 15일 12시46분 발생한 공격 이벤트를 탐지하고, 2분 뒤인 12시48분 유해 트래픽에 대한 차단 조치를 완료했다.
KT의 경우 DDoS 보안 훈련 결과를 소개했다. 지난달 15일 15시10분 경 20Gbps 규모 DDoS 공격이 이뤄진 것을 탐지하고 도메인네임서비스(DNS)가 무응답 상태인 것을 확인, KISA에 신고하는 절차를 거쳤다. 이후 트래픽을 우회시켜 탐지 내역을 분석하고, 이 내용을 기반으로 트래픽 차단 패턴을 적용하기까지 1분 가량이 소요됐다.
KISA는 향후 서비스형 모의훈련 플랫폼(TaaS)을 구축해 중소 기업이 자율적으로 훈련할 수 있도록 지원할 방침이다. APT, DDoS, 웹 취약점 등 다양한 시나리오를 기반으로 기업들이 스스로 보안 수준을 점검하고 강화할 수 있게 한다는 구상이다. 기업 설문조사와 실무자 간담회를 통해 모의 훈련을 개선하고, 실제 사고 대비 지속적인 네트워크도 구축할 계획이다.
관련기사
- 윈도에 'PC 제어권' 통째로 빼앗길 취약점 있다2019.06.18
- IoT 보안 이슈, 공공 서비스로 예방하세요2019.06.18
- KT-KISA, 5G·융합 사이버보안 강화 위해 업무 제휴2019.06.18
- "뚫어보고, 마비시키고"…민간 사이버위기 대응훈련 가보니2019.06.18
김석환 KISA 원장은 "초연결 시대에 기업을 타겟으로 하는 보안 위협은 꾸준히 증가하지만, 많은 기업에서 보안은 여전히 우선 순위가 높지 않은 것이 현실"이라며 "지속되는 사이버 위협으로부터 피해를 최소화하고 사전에 예방하기 위해서는 반복적인 침해사고 대응 훈련이 필수적"이라고 말했다.
이어 "이번 훈련 결과에서도 훈련에 지속 참여한 기업들의 대응과 인식이 우수했다"며 "향후 질적으로 더욱 실전과 같은 모의훈련이 되도록 노력할 것"이라고 덧붙였다.
