"문의주신 견적서입니다" 이런 모의해킹 메일보내니 91%뚫렸다

화이트해커가 국내 45개 기업 홈페이지를 모의 해킹한 결과 10곳 중 9곳을 뚫는데 성공한것으로 나타났다.


과학기술정보통신부와 한국인터넷진흥원(KISA)은 실제 사이버 공격을 가정한 '상반기 사이버 위기대응 모의훈련' 결과를 30일 발표했다. 지난달 15일부터 3주 간 진행된 이번 모의훈련에는 전체 326개 기업에서 13만3313명이 참여했다. 훈련은 △해킹메일에 대한 대응점검 △디도스 공격 및 복구 점검 △기업 홈페이지 대상 모의침투 등으로 진행됐다. 참여사는 지난해 하반기(235개사, 9만3257명)보다 기업은 39%(91개사), 임직원은 43%(4만56명) 늘었다.

/사진제공=과학기술정보통신부

화이트해커가 국내 45개 기업의 홈페이지를 대상으로 20여 가지 공격기법을 사용해 모의침투를 진행한 결과, 41개 기업(91%) 침투에 성공했다. 특히 중복된 취약점이 세 가지 이상 발견된 곳은 15개(36%)였다. 모의침투 이후 각 사는 취약점을 모두 제거했다. 또 홈페이지에서 사용하는 상용 소프트웨어(SW)의 취약점 역시 SW 개발사에 공유, 보안패치가 이뤄졌다.

해킹메일 훈련은 내부 보안담당자나 관계사 등에서 보낸 자료로 위장한 메일을 클릭하도록 유도하는 방식이다. 첨부파일을 누르면 악성코드에 감염된다. 이번 상반기엔 훈련효과를 높이기 위해 기업 유형 별 시나리오가 도입됐다. 방산기업에는 '월간 국방과기술' 6월호 자료를 보내거나, 유통기업에는 고객사의 견적문의서를 보내는 식이다.

과기정통부에 따르면 지난해에 이어 훈련에 재참여한 기업의 악성코드 감염률은 9.2%에 불과해 신규 참여기업(17.8%)에 비해 크게 낮았다. 과기정통부 관계자는 "훈련을 반복할 수록 해킹 메일에 대한 인식과 대응능력이 높아진다"고 설명했다.

/사진제공=과학기술정보통신부

디도스 훈련은 64개사 기업 홈페이지를 대상으로 실제 디도스 공격을 수행, 이에 대한 기업별 탐지시간과 대응시간을 측정한다. 평균 탐지시간은 11분, 대응시간은 22분이었다. 디도스 훈련에 재참여한 기업은 처음 참여한 기업보다 6분 더 빨리 공격을 탐지해냈다. 또 대기업(10분)과 중견기업(10분)은 중소기업(14분)보다 4분 더 빨리 감지하는 등 기업 규모별 대응능력에도 차이가 있었다.


과기정통부와 KISA는 기업이 원하는 시간에 모의훈련을 진행할 수 있도록 '상시 해킹메일 모의훈련 플랫폼'도 만들었다. 기업은 자사 상황에 맞게 플랫폼에서 직접 해킹메일을 만들어 임직원들에게 모의 메일을 보낼 수 있다. 종료 후엔 훈련결과와 최신 해킹메일 동향자료도 함께 제공한다. 하반기부터는 해킹메일뿐만 아니라 디도스 공격 대응, 웹 취약점 점검도 가능하도록 훈련 범위를 확대할 방침이다.

김정삼 과기정통부 정보보호네트워크정책관은 "최근 기업정보를 훔치기 위한 해킹메일과 사이버 공격이 정교해지는 만큼 상시 모의훈련 플랫폼을 적극 이용, 사이버 위협 대응능력을 향상하길 바란다"고 말했다.