"뚫어보고, 마비시키고"…민간 사이버위기 대응훈련 가보니

2주간 APT·디도스·모의 침투 공격 대응 과정 막바지…KISA "역대 최대 규모"

컴퓨팅입력 :2019/05/29 17:29

"개인 저작권 위반 사항 요청드립니다."

이미지를 무단 도용했다고 지적하는 메일이다. 작성자는 회사에서 사용한 이미지가 자신의 것이라며, 해당 이미지가 게재된 자신의 블로그 주소에 접속해서 확인해보라고 요청한다.

링크를 클릭하자 메일 설명과 전혀 다른 결과가 나온다. 블로그 화면이 아니라 '2019년 상반기 사이버 위기 대응 모의 훈련'이라는 글자가 큼지막하게 떴다.

최근 유행하는 지능형지속위협(APT) 공격 수법을 한국인터넷진흥원(KISA) 모의 훈련으로 시연한 모습이다.

실제 해커 공격이었다면 어땠을까. 링크로 연결되는 건 훈련 안내 문구 대신 메일을 열람한 PC를 감염시키고 정보를 빼돌리는 악성코드였을 것이다.

한국인터넷진흥원(KISA) 민간 사이버 위기 대응 모의 훈련

사내 PC를 다루는 수신자에게 메일을 보내 악성링크를 열도록 유도하고 침입과 정보탈취를 시도하는 해킹 공격은 모든 민간 기업에 광범위하게 발생하고 있는 실제 위협이다. 기업 보안담당자들에겐 이를 비롯해 언론에 알려져 세간의 이목을 끄는 개인정보유출이나 랜섬웨어감염 등 사이버공격이 언제고 자기 회사에 들어올 수 있다는 부담과, 사고로 이어질 수 있다는 불안을 안고 산다.

KISA가 매년 상하반기 민간 사이버위기 대응 모의훈련 프로그램을 시행하는 취지는 이처럼 보안 담당자가 사이버공격에 따른 부담과 사고 불안을 덜 수 있도록 돕는 것이다.

■ 실전 중심 사이버 공격 수행, 대응과 복구절차 점검

KISA는 지난 13일부터 진행된 민간 사이버 위기 대응 모의 훈련의 마무리 단계를 밟고 있다. 29일부터 양일간에 걸쳐서 지난 2주간 훈련에 참여한 기업들의 보고를 받고 나면 훈련 기간은 끝이 난다.

민간 사이버 위기 대응 모의 훈련은 최근 사회적 이슈가 된 공격 시나리오를 구성, 모의 공격을 수행해 대응과 복구 절차를 점검하는 식으로 진행된다. ▲APT ▲디도스 훈련 ▲모의 침투 등 세 종류의 사이버 공격을 수행한다.

박진완 KISA 사이버침해대응본부 침해대응단 종합대응팀장은 "지난 2주에 걸쳐 업종별로 사이버 공격을 실시해왔다"며 "최대 20Gbps에 이르는 대규모 디도스 트래픽을 전송하고, 화이트 해커를 이용해 실제 해킹과 동일한 방법으로 모의 해킹을 시행하는 등의 실전 중심 모의 훈련이 이뤄졌다"고 설명했다.

박진완 KISA 사이버침해대응본부 침해대응단 종합대응팀장

이번 훈련은 역대 모의 훈련 중 최대 규모로 진행됐다. 60개 기업, 총 2만5천815명이 참여했다. 지난해 상반기 훈련에 총 38개 기업, 9천266명이 참여했던 것에 비해 참여 규모가 늘었다.

올해 APT 공격 모의 훈련에서는 기업별 감염률을 통보하던 것에서 나아가 해킹 메일 예방을 위해 참여 기업의 메일 보안 기술 '메일 서버 등록제(SPF)' 적용 여부와 랜섬웨어 방어를 위한 오프라인 백업 점검이 추가됐다.

구체적인 과정을 살펴보면, 훈련통제본부에서 악성코드가 담긴 링크를 이메일에 담아 훈련기관에 유포한다. 훈련기관이 해킹 메일을 탐지하고 PC 격리, 데이터 백업, 복구 등의 조치를 취한다. KISA와 백신 공급사가 협력해 악성코드를 분석하고 훈련통제본부에 결과를 통보한다. 훈련통제본부는 이 정보를 토대로 각 기관에 대응 조치를 요청하고, 기관들이 조치한 결과를 다시 훈련통제본부에 통보하는 식이다.

■ "디도스 공격 훈련, 실제 홈페이지 다운시키고 복구과정 검토"

디도스 훈련에서는 실제 웹사이트를 마비시키는 수준의 트래픽 전송이 이뤄졌다. 공격 트래픽이 전송되면 훈련기관은 공격을 탐지, 신고하고 디도스 피해 웹사이트의 트래픽을 KISA 사이버대피소로 우회시켜 사이트가 정상 운영되도록 조치한다. 이후 결과를 훈련통제본부로 통보하게 된다.

박진완 팀장은 "원래는 소화할 수 있는 트래픽 용량이 넘치지 않게 할 정도로만 디도스 모의 훈련을 실시해왔는데, 통신 기업 두 곳이 그 이상의 디도스 공격 훈련을 요청해왔다"며 "실제 홈페이지가 다운되고, 이후 이를 복구하는 과정을 검토하는 식으로 훈련 절차가 확장됐다"고 말했다.

모의 침투의 경우 화이트 해커 3명이 투입됐던 작년에 비해 인력을 확대 투입했다. KISA가 개최한 홈페이지 취약점 탐색 대회 ‘핵 더 키사’ 작년도 입상자 등 국내외 주요 해킹대회 수상자인 화이트해커를 8명을 투입, 인력을 늘리면서 전문성도 고려했다. 참여 기업도 6개사에서 23개사로 늘었다.

실제 운영 중인 홈페이지에 대해 화이트해커가 모의 침투를 실시한 뒤 보안 취약점을 확인하고 훈련기관에 결과를 통보, 대응 조치를 요청한다. 이후 조치한 내용을 KISA에 전달하면 KISA가 조치 이행 여부를 확인하게 된다.

관련기사

모의 훈련 이후 KISA는 참여 기업들을 대상으로 강평회를 실시한다. 훈련 과정에서 잘된 부분과 개선될 부분을 논의하게 된다. 우수 기업을 소개하기도 한다. 박 팀장은 "훈련에 꾸준히 참여한 기업일수록 APT 감염률이 현저히 낮아지는 편"이라고 언급했다.

이재일 KISA 사이버침해대응본부장은 “사이버 위기에 대한 인식 제고 및 대응 능력 향상을 위해 기업들이 지속적으로 KISA 모의 훈련에 참여할 것을 당부한다”며, “인터넷진흥원은 고도화되는 사이버 공격에 신속하게 대응할 수 있는 체계를 갖추도록 최선을 다하겠다”고 말했다.