최근 공공기관에서 발생한 개인정보 유출 사건이 급증함에 따라, 과학기술정보통신부가 새로운 대비책을 마련했다.
과학기술정보통신부가 24일 정부세종청사에서 브리핑을 열고 외부 보안 전문가와 함께 오는 9월까지 계획된 과기정통부 산하 공공기관 및 연구원·소 대상 사이버 모의 침투 훈련에 착수했다고 밝혔다.
사이버 모의침투 훈련은 해커가 실제 침투를 시도하는 공격방법과 유사한 시나리오로 공격을 수행하고 방어하는 훈련이다. 외부 해커의 시각에서 정보시스템의 보안 취약점을 찾고 대응책을 마련하는 것이 목적이다.
이번 훈련에서는 행정안전부 웹 취약점 등 국내외 주요 정보보안 취약점 기준을 활용 내·외부망의 접점으로부터 내부 시스템을 침투하거나, 주요 서버를 장악하고 관리자 권한을 탈취해 중요 자료 유출을 시도하는 등 실전 같은 시나리오에 맞추어 민간의 화이트 해커가 기관의 사이버 공격 방어 능력을 시험한다.
이현정 과기정통부 정보보호담당관(과장)은 “이번 훈련에는 과기정통부 산하의 44개 출연연, 공공기관 등이 참여할 예정”이라며 “디도스 훈련, 대응훈련, 해킹메일 대응 훈련 등 다양한 훈련을 시행해 최근 급증하고 있는 사이버 침해 대응에 만전을 기하겠다”고 말했다.
최근 불법 스팸 문자가 기승을 부리는 가운데 지난해 일어난 개인정보 유출 사고의 원인 중 해킹이 가장 높은 비율을 차지한 상황이다. 한국인터넷진흥원(KISA)에 따르면 지난해 해킹에 의한 유출이 전체 151건으로 전체 정보 유출 318건의 절반 가까이 차지했다. 공공기관에서 해킹에 의한 유출은 2019년 2건, 2020년 3건, 2021년 5건, 2022년 4건 등 미미한 수준이었지만 지난해 15건으로 급증했다.
이에 올해에는 국내외 해킹 대회에서 수상한 학생 화이트 해커들도 참여해 ‘블라인드 모의 침투 훈련’를 시행한다. 블라인드 훈련은 사전에 공격 시도 날짜를 약속하고 공방을 주고받는 일반적인 사이버 모의 침투 훈련과 달리 사전 예고 없이 불시에 공격을 시도하는 실전성이 강한 훈련이다. 학생 화이트 해커들은 처음 실전훈련에 참가하는 만큼 모의침투 계획수립 방법, 주요 점검항목, 주의사항 등 사전 교육 숙지 후에 훈련에 투입될 계획이다.
과기정통부에 따르면 학생 화이트해커들은 지난 3월부터 공개 모집을 통해 선발했다. 총 52개 대학 24개 정보보안 동아리의 138명이 지원했으며, 9:1의 경쟁률을 기록했다.
이 과장은 “실전성을 고려해 13개 대학 15명의 학생 화이트해커들을 선발했으며 이 중에는 국내외 해킹대회에서 수상한 우수한 인력들이 다수 포함되어 있다”며 “이번 주에 있을 사전 교육을 통해 모의침투 계획 수립 방법, 주요 점검항목, 보안 사항 등을 숙지한 후에 투입될 계획”이라고 설명했다.
그러면서 “일정을 정한 훈련인 일반적인 모의 훈련과는 달리 블라인드 훈련은 시기를 특정하지 않기 때문에 기관들의 피로도가 매우 높아 올해는 희망 기관(12개)에 한해서 실시할 것”이라고 했다.
또 올해에는 모의 침투 훈련 후에 직접 침투를 진행한 화이트 해커들이 공공기관 현장에 가서 자신들이 발견한 취약점과 침투결과를 직접 설명하고 효과적으로 침투 경로를 제거하기 위한 현장 컨설팅을 진행해 훈련 실효성을 더한다.
구혁채 과기정통부 기획조정실장은 “예고 없이 이루어지는 사이버 공격의 특성과 이번 학생 화이트 해커의 블라인드 훈련 형태가 부합하여 훈련 효과에 기대가 크다”면서 “소속‧산하기관의 우수한 연구개발 성과와 축적된 과학기술 보호를 위해 지속적인 노력과 투자를 추진해 나갈 계획”이라고 밝혔다.