[CCTV뉴스=최형주 기자] 한국인터넷진흥원(이하 KISA)이 12일 서울 코엑스에서 ‘2019 하반기 민간분야 사이버위기대응 모의훈련’ 강평회를 개최했다.
이날 강평회는 김석환 KISA 원장의 인사말로 시작했다. 김석환 원장은 “오늘날 우리는 사이버 상의 공격이 실제 피해로 이어지는 디지털 리얼리티 시대에 살고 있다”며 “이에 KISA는 합을 맞추지 않고 사이버 침해 대응에 ‘실전과 같은 훈련’을 통한 일관된 원칙으로 솔선수범하고 있다”고 강조했다.
김 원장은 또 “2019년도엔 세계 각지에서 발전소와 관련한 해킹 사고가 잦았고, 이러한 해킹 사고가 국내에서도 일어날 수 있음을 상기해야 한다”며 “올해 실시된 에너지 분야 테마형 사이버 침해 대응훈련처럼 발전사들과 협력회사들의 접점을 점검하고 공모방식을 추가해 앞으로도 사이버 침해위협이 급증하는 분야에 대한 침해 대응훈련을 실시할 것”이라고 밝혔다.
108개 기업, 4만 1127명이 참여한 모의훈련
이어 박진완 KISA 종합대응팀장이 사이버위기대응 모의훈련 결과를 발표했다. 민간분야의 위기 상황 발생 시의 대응역량과 정보보호 인식을 제고하기 위해 시행된 올해 훈련은 지난 5월부터 11월까지 총 3회에 걸쳐 실시됐다.
특히 올해는 총 108개 기업, 4만 1127명이 참여해 ▲APT공격용 해킹 이메일 유포 ▲디도스 공격대응 ▲참여기업 모의 침투 훈련을 실시했다.
올해 APT 훈련에는 77개의 신규 기업이 참여했으며, 기업별 맞춤형 해킹메일 발송을 통한 APT 공격 및 랜섬웨어 감염 대응 체계를 점검했다.
KISA는 APT 훈련을 위해 정부∙공공기관 대상 해킹메일 샘플을 분석하고, 스팸 솔루션 기업의 자문을 통해 얻은 키워드로 업종별 최신 해킹메일 컨텐츠 기반 시나리오를 개발해 공격에 임했다. 그 결과, 올해 해킹 메일을 통한 악성코드 감염율은 8.1%로, 2017~18년 평균 감염율인 2.3%를 훨씬 웃돌았다.
DDoS 훈련을 통해서는 16개사를 대상으로 최대 20G 규모의 DDoS 공격을 실시해 서비스 다운 시 복구 능력을 시범 점검했다.
훈련을 위해 KISA는 Reflection(DNS, NTP, GHARGEN LDAP), Syn Flooding 등의 공격 방식을 채택했으며, 업체들은 다운과 동시에 서버를 ‘KISA 사이버대피소’로 전환해 즉각적인 대응과 복구에 임했다.
그 결과, 2019년 DDoS 훈련에 임한 업체들의 대응 시간이 상반기 19분에서 하반기 15분까지 단축됐으며, 2017년 평균 41분의 대응시간을 기록한 것과 비교할 때 괄목할 만한 성과다.
우리 회사 보안 강화, 어떻게 해야 할까?
모의침투 훈련 결과는 화이트해커로서 훈련에 참여한 SK인포섹 장형욱 연구원이 발표했다.
장 연구원은 올해 8개 웹사이트를 대상으로 모의해킹을 진행해, 미흡 유형에서 6건을, 시큐어 코딩 부재 유형에서 32건을 발견해 총 38건의 취약점이 드러났다고 밝혔다.
특히 그는 ▲DB의 모든 데이터를 유출하거나 삭제, 변조가 가능한 ‘Injection’ 취약점 ▲무료로 상품을 구매하거나 다른 사용자의 권한 도용이 가능했던 ‘파라미터 변조 및 조작’ 취약점 ▲서버를 장악해 모든 정보를 유출하고 조작하거나 같은 망의 다른 서버를 해킹할 수 있게하는 ‘파일 업로드&실행’ 취약점에 대해 경고했다.
장형욱 연구원은 “웹 방화벽이 존재하는 사이트가 있었으나, 서버를 장악해 모든 정보를 유출할 수 있었다”며, “무단으로 사이트 관리자 권한으로의 상승과 동시에 서버 외의 다른 서버를 확인이 가능했다”고 밝혀 웹 방화벽 솔루션을 사용해도 반드시 꾸준한 관리가 필요함을 역설했다.
이어 장 연구원은 보안강화 방안에 대해 ▲공개 및 사용 소프트웨어 사용 시 ▲보안 점검 시 ▲대응 시의 세 가지 보안 TIP을 발표했다.
발표에 따르면 공개 및 사용 소프트웨어를 초기구축해 사용할 경우 ▲최신 버전 사용 ▲꾸준하게, 쉽게 업데이트 할 수 있는 소프트웨어 사용 ▲검증된 소스코드 사용 ▲미검증 플러그인의 사용금지 등을 준수해야 한다. 또한 이미 구축해 운영 중인 경우엔 꾸준한 업데이트가 반드시 필요함을 강조했다.
보안 점검 시에는 ▲개발언어 및 버전, 웹방화벽 사용 여부, 웹서버 정보 등의 기본 정보를 점검업체 측에 전달해야 한다. 또한 ▲권한이 다른 테스트 계정 2개 이상을 제공해야 하고 ▲탐지모드를 설정해야 하며 ▲웹방화벽을 꺼두어야 한다고 밝혔다. 이렇게 취약점이 발견될 경우 ▲즉시 조치는 지양하고 업체의 가이드에 따르며 ▲저작권에 위배되지 않는 선에서 웹사이트 소스코드를 제공하는 편이 좋다고 밝혔다.
대응 방안으로는 ▲시큐어 코딩이 적용된 웹방화벽의 패턴 추가와 소스코드의 수정 ▲취약점 조치 시 다른 유사 기능의 소스코드 전부 수정 ▲중요취약점 다수 발견 시 소스코드 레벨의 점검 등이 필수적이라고 강조했다.
장형욱 연구원은 “해커의 관점에서는 취약점이 많은 것보다, 심각한 취약점 하나의 존재가 더욱 중요하다”며 “기업들의 보안인식 제고가 필요해지는 시점에서 한국인터넷진흥원의 이러한 모의훈련 활동은 매우 바람직하다”고 평가했다.
더욱 많은 기업에 모의 훈련 기회 돌아가야
한편 이날 행사를 통해 KISA는 5개의 우수훈련기업에 대한 시상을 실시했다. 이날 비앤에프테크놀로지 이주영 과장은 “예산과 인식 등의 문제로 시행하기 어려웠던 사내 취약점 파악 등이 KISA의 도움으로 가능했다”며 “비록 현재까지 사이버 공격에 당해본 적은 없지만, 이번 훈련이 가진 금액적 가치가 적지 않다고 느껴 더욱 열의있게 참여했다”고 전했다.
엠에스정밀의 송일태 부장은 “이번 훈련을 통해 협력업체와 커뮤니케이션을 위해 사용하는 서버가 공격받은 상황의 대처 방안을 체득할 수 있었다”며 “2020년에도 이런 훈련이 지속적으로 확대돼 인력과 예산이 부족한 중소기업들이 기회를 받길 바란다”고 밝혔다.
