티스토리 뷰
과학기술정보통신부, 사이버 모의 침투 훈련 계획 발표
최근 공공기관에서 발생한 개인정보 유출 사건이 급증함에 따라, 과학기술정보통신부가 새로운 대비책을 마련했다. 과기정통부는 24일 정부세종청사에서 열린 브리핑을 통해 외부 보안 전문가와 함께 오는 9월까지 공공기관 및 연구원·소 대상 사이버 모의 침투 훈련을 시작한다고 밝혔다.
훈련 목적과 방법
사이버 모의 침투 훈련은 해커가 실제로 공격을 시도하는 방법과 유사한 시나리오로 진행된다. 주요 목적은 외부 해커의 시각에서 정보시스템의 보안 취약점을 찾고, 이에 대한 대응책을 마련하는 것이다.
주요 훈련 내용
- 보안 취약점 활용:
- 행정안전부 웹 취약점 등 국내외 주요 정보보안 취약점 기준 활용
- 내·외부망의 접점으로부터 내부 시스템 침투
- 시스템 장악 시도:
- 주요 서버를 장악하고 관리자 권한을 탈취
- 중요 자료 유출 시도
- 다양한 훈련 시나리오:
- 디도스(DDos) 훈련
- 대응훈련
- 해킹메일 대응 훈련
이현정 과기정통부 정보보호담당관은 "이번 훈련에는 과기정통부 산하의 44개 출연연, 공공기관 등이 참여할 예정"이라며 "디도스 훈련, 대응훈련, 해킹메일 대응 훈련 등 다양한 훈련을 시행해 최근 급증하고 있는 사이버 침해 대응에 만전을 기하겠다"고 말했다.
개인정보 유출 현황
최근 불법 스팸 문자가 기승을 부리는 가운데, 지난해 일어난 개인정보 유출 사고의 원인 중 해킹이 가장 높은 비율을 차지했다. 한국인터넷진흥원(KISA)에 따르면, 지난해 해킹에 의한 유출은 전체 318건 중 151건으로 거의 절반에 달했다. 특히 공공기관에서의 해킹에 의한 유출은 아래와 같은 증가 추세를 보였다:
- 2019년: 2건
- 2020년: 3건
- 2021년: 5건
- 2022년: 4건
- 2023년: 15건
학생 화이트 해커 참여
올해는 국내외 해킹 대회에서 수상한 학생 화이트 해커들도 참여해 '블라인드 모의 침투 훈련'을 시행한다.
블라인드 훈련
블라인드 훈련은 사전에 공격 시도 날짜를 약속하고 공방을 주고받는 일반적인 사이버 모의 침투 훈련과 달리, 사전 예고 없이 불시에 공격을 시도하는 실전성이 강한 훈련이다. 학생 화이트 해커들은 처음 실전훈련에 참가하는 만큼, 모의침투 계획 수립 방법, 주요 점검항목, 주의사항 등 사전 교육을 숙지한 후에 훈련에 투입될 계획이다.
학생 화이트 해커 선발 과정
모집 현황: 52개 대학 24개 정보보안 동아리에서 138명이 지원, 9:1 경쟁률
선발 인원: 13개 대학 15명, 국내외 해킹대회 수상자 다수 포함
이현정 과장은 "실전성을 고려해 13개 대학 15명의 학생 화이트해커들을 선발했으며 이 중에는 국내외 해킹대회에서 수상한 우수한 인력들이 다수 포함되어 있다"고 밝혔다.
훈련 실시 일정
블라인드 훈련은 기관들의 피로도를 고려해 희망 기관(12개)에 한해서 실시될 예정이다.
훈련의 실효성 강화
- 현장 컨설팅: 모의 침투 훈련 후, 화이트 해커들이 공공기관 현장에 가서 자신들이 발견한 취약점과 침투 결과를 직접 설명하고, 효과적으로 침투 경로를 제거하기 위한 현장 컨설팅을 진행해 훈련 실효성을 높인다.
- 피로도 고려: 블라인드 훈련은 희망 기관(12개)에 한해 실시될 예정
구혁채 과기정통부 기획조정실장은 "예고 없이 이루어지는 사이버 공격의 특성과 이번 학생 화이트 해커의 블라인드 훈련 형태가 부합하여 훈련 효과에 기대가 크다"면서 "소속‧산하기관의 우수한 연구개발 성과와 축적된 과학기술 보호를 위해 지속적인 노력과 투자를 추진해 나갈 계획"이라고 밝혔다.
이번 훈련을 통해 과기정통부는 최근 급증하는 사이버 침해에 대한 대응 능력을 강화하고, 공공기관의 보안 수준을 높이기 위한 실질적인 방안을 마련할 예정이다.