반복되는 해킹 사고에 민·관 '보안 총력전'

최근 사이버 보안 위협이 갈수록 지능화되고 고도화되면서 정부와 기업들이 보안 강화에 총력을 기울이고 있다. 단순한 교육을 넘어 실전 상황을 가정한 모의훈련을 통해 침해사고 대응 역량 키우기에 나섰다.

KT는 매월 'Security Day(월간 정보보호의 날)'를 운영한다. 이를통해 전사적 정보보호 문화 조성에 나서고 있다. 특히 KT는 '피싱 메일 모의 훈련'을 통해 선제적 보안 활동을 강화하고 있다. 보안 담당 부서가 임직원 중 점검 대상을 무작위 선정해 경품 이벤트나 택배 발송 안내 등을 사칭한 모의 피싱 메일을 발송한다. 임직원들은 의심스러운 메일을 클릭하지 않고 신고하도록 하는 훈련을 받는다.

KT는 또 교육과 훈련 결과를 바탕으로 임직원 각각의 상황에 맞춘 보안 수준 진단 보고서를 제공해 스스로 취약점을 개선할 수 있도록 돕고 있다. 또한 임직원들은 화면 비밀번호 설정, 보호기 설정, 보안 문서 취급법 등 정보보안 7대 핵심 준수 사항을 기반으로 한 교육을 받는다. 

이러한 움직임은 금융권과 공공기관으로도 확산되고 있다. 우리은행은 7월 9일 제14회 '정보보호의 날'을 맞아 '고객정보 유출 대응 모의훈련'을 실시했다. 정보보호최고책임자(CISO)를 비롯해 관련 부서장을 대상으로 해킹 등 사이버 위협에 따른 실제 상황을 가정한 실전형 훈련이 진행됐다.

우리은행은 클라우드, 생성형 AI 등 신기술 발전과 함께 디지털 전환이 가속화됨에 따라 사이버 보안의 중요성이 더욱 커지고 있다는 점에서 실전형 모의훈련을 통해 전사적 대응 역량을 키워나가겠다고 밝혔다.

산림청도 개인정보보호의달을 맞이해 개인정보처리시스템 개인정보 유출 및 침해 사고에 대비한 실전 모의훈련을 시행했다. 최근 3년간 국내 개인정보 유출 신고 건수가 약 300건에 이르는 상황에서 사전 위험 요소를 점검하고 신속한 대응 체계를 마련하기 위해서다.

훈련에는 산림청 대국민 포털 등 10종의 개인정보처리시스템을 운영하는 담당자 20명이 참여했다. 훈련은 개인정보 유출 대비 교육부터 시스템별 개인정보 검출 및 차단 여부 테스트, 유출 통지 및 신고서 작성, 재발 방지 및 언론 대응 등으로 구성됐다.

정부 차원에서도 매년 상,하반기에 대규모 모의훈련을 통해 사이버 보안 강화에 힘쓰고 있다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 올해 상반기 실시한 '사이버 위기 대응 모의훈련'에서는 역대 최대 규모인 688개 기업에서 25만5765명이 참여했다.

이번 모의 침투 훈련에서는 42개 기업 홈페이지에서 총 140개 취약점이 발견됐다. 주요 해킹 사례에서 사용되는 약 20가지 공격 기법에 대한 취약 여부를 확인한 결과, 파라미터 변조·조작, 악성코드 삽입(XSS 공격), 부적절한 오류 처리 등의 취약점이 확인됐다.

과기정통부는 특히 생성형 AI를 활용한 해킹 메일 공격이 높아지고 있는 가운데, 모의훈련의 효과가 입증됐다고 밝혔다. 해킹 메일 훈련 시나리오 재참여 기업의 감염률은 16.2%로, 신규 참여기업(18.5%) 대비 낮게 나타났다. 이는 반복적인 모의훈련 참여가 임직원의 보안 인식을 제고하고 해킹 메일에 대한 대응력을 향상시킨다는 점을 보여준다. 

최우혁 과기정통부 정보보호네트워크정책관은 "기업과 정부기관은 침해사고가 조직 규모를 막론하고 발생할 수 있기에 모의훈련을 통해 지속적으로 정보보호 체계를 점검하고 보안 인식을 높여야 한다"며 "지능화되고 고도화되는 침해사고에 대비해 모의훈련의 질적 수준을 강화하고 반복적인 훈련 참여를 유도하는 등 기업들이 침해사고 대응 역량을 강화할 수 있도록 적극 지원하겠다"고 말했다.

홍주연 기자
jyhong@chosunbiz.com