정부의 올해 상반기 모의침투 결과 42개 기업 누리집에서 총 147개의 취약점이 발견된 것으로 나타났다. 기업 홈페이지 하나당 평균 3.3개의 취약점이 발견된 셈이다.
과학기술정보통신부(과기정통부)는 한국인터넷진흥원(KISA)과 함께 진행한 '2026년 상반기 사이버 위기 대응 모의훈련' 결과를 26일 명동 포스트타워 대회의실에서 발표했다.
앞서 과기정통부와 KISA는 지능화되는 사이버 위협에 맞서 우리 기업들의 보안 인식을 제고하고 대응 역량을 키울 수 있도록 연 2회 정기적으로 모의훈련을 실시하고 있다. 올해 상반기에는 총 630개 기업과 25만5460명의 임직원이 참여했다.
모의훈련은 ▲해킹 메일 대응 훈련 ▲분산 서비스 거부 공격(DDoS) 훈련 ▲모의침투 훈련 ▲취약점 탐지대응 훈련 등 4개 유형으로 진행됐다. 훈련 결과 중 모의침투 결과부터 살펴보면, 화이트해커가 45개 기업 홈페이지를 대상으로 실제 해킹과 동일한 방식의 해킹을 시도하는 형태로 진행됐다. 그 결과 42개 기업 홈페이지에서 총 147개 취약점이 발견됐다. 파라미터 변조 및 조작, SQL인젝션 공격 등 주요 해킹 사례로 확인되는 20여가지 취약점도 존재하는 것으로 나타났다.
아울러 해킹 메일 훈련은 569개 기업 임직원을 대상으로 특정 기관을 사칭하거나 일상적으로 받을 수 있는 메일처럼 위장한 해킹 메일을 발송해 메일 열람과 첨부파일 클릭을 통해 악성코드 감염을 유도하는 방식으로 진행했다. 훈련 결과 임직원 10명 중 4명 이상이 해킹 메일을 열람한 것으로 나타났다. 참여 인원 중 12.7%는 첨부파일을 클릭해 악성코드에 감염되기도 했다.
기업 규모별로 보면 대기업이 35.4%로 가장 낮은 열람률을 기록했으며, 중견기업은 47%, 중소기업은 46%로 조사됐다. 첨부파일을 클릭해 악성코드에 감염된 비율은 중견기업과 중소기업이 각각 15.6%, 12.9%로 전체 참여 인원 평균 대비 높게 나타났다. 대기업의 감염률을 9.8%로 집계됐다.
디도스 공격 훈련은 147개 기업의 웹서버, 개발 서버 등을 대상으로 디도스 트래픽을 발송해 기업의 공격 탐지 시간과 대응 시간을 측정하고 대응 능력을 점검 했다. 훈련 결과 평균 탐지 시간은 10분, 대응 시간은 24분 소요되는 것으로 나타났다.
취약점 탐지 대응은 기업이 외부에 제공하는 웹 서비스, 메일, 공개 API 등을 대상으로 서버의 취약점 및 잠재적인 위험이 있는지 등을 스캐닝을 통해 점검했다. 훈련 결과 총 241개 신청기업 중 32개 기업(13.3%)에서 28종의 취약점이 발견됐으며, 이 중 12개 기업에서 즉시 조치가 필요한 치명적인 취약점이 6종 발견됐다.
관련기사
- 과기정통부, 통합로그인 사이트 '연구24' 15일부터 운영2026.06.15
- 서강대, 과기정통부 ‘Brain Pool+ 기관유치형 사업’ 최종 선정2026.06.08
- "삼성 등 사용 미국 포티넷 보안장비 해킹당했다"2026.06.20
- AI 날개 단 '블랙 해커'…고도화된 해킹 생태계2026.06.09
과기정통부와 KISA는 훈련 종료 후 점검 결과를 각 기업에 전달하고 취약점에 대한 설명 및 조치 방안 등을 안내했다.
임정규 과기정통부 정보보호네트워크정책관은 "최근 고성능 인공지능(AI)의 등장으로 기업들이 맞닥뜨린 사이버 위협이 한츤 심화되고 있다"면서 "기술적 방어 시스템 구축도 중요하지만, 전 임직원이 평소 위기 상황에 대비하고자 한 번이라도 직접 경험하고 대응해보는 모의 훈련이 결정적인 순간에 빛을 발할 수 있기 때문에, 앞으로도 지속적인 모의훈련 참여를 당부드린다"고 밝혔다.
