과기정통부, ’21년 하반기 사이버위기대응 모의훈련 결과 발표 - 285개사(社) 93,257명 참여, 전년대비 3.5배 증가 - 재참여기업의 해킹메일 감염율 신규참여기업에 비해 45% 감소 - 45개사 중 40개사 누리집에 숨어있는 163개 보안취약점 발견‧제거 - 50개사 중 32개사(62%)에서 서버침투에 취약한 보안위협 확인‧제거 |
□ 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 한국인터넷진흥원(원장 이원태, 이하 ‘KISA’)과 함께 최근 사이버침해 위기가 고조됨에 따라 민간기업 대상으로 실제 사이버 공격과 동일한 방식으로 지난 ’21년 하반기 사이버위기대응 모의훈련을 실시하고 결과를 발표하였다.
□ ‘21년도 하반기 모의훈련은 지난 11월 1일부터 약 3주 동안 참여기업 285개사, 임직원 93,257명을 대상으로 ① 해킹메일 전송 후 대응 절차 점검 ② 디도스(DDoS) 공격 및 복구 점검 ③ 기업의 홈페이지 및 서버를 대상으로 모의침투를 진행하였다.
ㅇ 하반기 훈련 규모는 ’21년 상반기(192개사, 86,339명)와 비교 시 참여기업은 48.4% 증가, 참가 임직원은 8% 증가하였으며, ’20년 평균(81개사, 43,333명) 대비해서도 기업 및 인원이 각 3.5배, 2.1배 이상 증가하여, 기업들이 사이버 위협에 인식과 대응능력 향상에 관심이 높아지고 있음을 알 수 있었다.
□ 해킹메일 훈련은 임직원을 대상으로 ’프로그램 업데이트 안내‘ ‘사내 코로나19 예방접종 대상자 안내‘ 등 최근 이슈나 내부직원을 사칭한 해킹메일을 발송하여 열람하고, 첨부파일 등을 클릭하여 악성코드를 설치하도록 유도하는 방식으로 진행하였다.
ㅇ 해킹메일 열람율은 16.7%, 감염율은 5.4%로 ’21년 상반기(25.8%, 7.6%) 대비 각각 9.1%p, 2.2%p 감소하였고, 특히, 훈련에 재참여기업의 감염율은 3.6%로 신규참여기업의 감염율 8.0%에 비교시 45% 낮게 나타나 훈련이 거듭될수록 대응능력이 향상됨을 알 수 있었고, 추가적으로 랜섬웨어 사례, 예방수칙, 복구절차 등 정보보안 교육도 실시하였다.
* (열람율) 해킹메일 클릭한 경우, (감염율) 해킹메일 클릭 후 첨부파일(악성파일) 클릭한 경우
□ 디도스 훈련은 참여기업(44사) 누리집(홈페이지)에 실제 디도스 공격을 수행하여 보안장비의 탐지시간 및 대응시간 측정, 신규공격(자원소진, 웹/데이터베이스부하 공격 등)에 대응능력을 점검하였다.
ㅇ 보안투자 여력이 있는 대기업이 중소기업에 비해 상대적으로 우수한(탐지4분, 대응7분 단축) 것으로 나타났으며, 중소기업은 디도스 공격 유형 및 로그 분석에 미흡하여 보안담당자 대응능력 향상 교육, 원격보안관제 이용 안내, KISA의 디도스 사이버대피소 이용 안내를 하였다.
□ 모의침투 훈련은 누리집(홈페이지)과 웹서버 및 업무용 서버 대상으로 화이트해커가 침입 시도를 통하여 보안 위협 노출 여부를 확인하였다.
ㅇ 누리집(홈페이지)은 총 45개사 중 40개사에서 총 163개의 숨어있는 웹 취약점을 발견하고 신속하게 제거하여 해킹위협을 미연에 방지하였다.
ㅇ 특히, 이번 훈련에는 기업의 웹서버와 업무용서버를 대상으로 모의침투를 시도하여, 참여기업 50개사 중 60%가 넘는 32개사에서 해킹 공격에 취약한 보안취약점을 이용하여 시스템 제어권 획득, 내부망 침투, 주요정보 탈취까지 가능한 것으로 확인하였으며 발견된 취약점은 발견 즉시 제거하였다.□ 홍진배 정보보호네트워크정책관은 “최근 아파치(Apache) Log4j에서 치명적인 취약점 발견으로 전 세계적으로 사이버위협이 증대되고 있는 만큼 정부에서 실시하는 모의훈련에 많은 기업들이 적극적으로 참여하여 사이버위협 노출된 취약점을 사전에 파악하고 조치하여 피해를 최소화 해줄 것을 당부한다 ”라고 밝혔다.
ㅇ 아울러, 올해에는 사이버위기대응 모의훈련은 ’22년 사이버위협 전망 분석에서 도출한 다양한 사물인터넷기기를 대상 위협 증가, 메타버스 이용자 정보탈취, 대체불가토큰(NFT) 관련된 권한 탈취 후 부정판매 등에 대한위협 대응 중심으로 시나리오를 개발하여 추진할 계획이며,
ㅇ 또한, 기업들이 언제든지 훈련에 참여할 수 있도록 기업 환경을 고려한 맞춤형 상시 해킹 모의훈련 플랫폼을 구축할 예정이며, 훈련에 참여한 기업에게는 정보보호 공시*에 정보보호를 위한 기업의 활동으로 적시하도록 안내할 예정이라고 밝혔다.
* 안전한 인터넷이용을 위한 정보보호 투자, 인력현황, 관련 인증 등 정보보호 현황 공개(정보보호산업법제13조)
참고 |
| ‘21년 하반기 정기 모의훈련 분야별 결과 |
① 해킹메일
o 해킹메일 감염율은 훈련이 거듭할수록 감소하는 것으로 나타남
* 감염율 : 15.2%(‘20년) → 7.6%(’21년 상반기) → 5.4%(’21년 하반기)
- 또한, 재참여기업의 감염율은 3.6%로 신규참여기업의 감염률(8.0%)에 비해 45% 낮게 나타났음
⇨ 기업에게 랜섬웨어 사례, 신규 취약점 발견 등 사이버 위협동향 및 예방수칙, 복구절차 등 교육 실시
구분 | 해킹메일 제목 |
1차(공통) | 비밀번호 재설정 요청 |
2차 (기업 맞춤형) | 구매발주 : (PO-48021) |
코로나19 추가접종(부스터샷) 대상자 안내 | |
Update required – OOOO account on hold (결제정보 업데이트) | |
[필수] 프로그램 최신 업데이트 요청 |
② 디도스(DDoS)
o 참여기업 44개사의 보안장비 점검, 신규공격(자원소진. 웹/데이터베이스 부하공격 등)
o 디도스 대응능력은 정보보안 투자에 여력이 있는 대기업이 중견ㆍ중소기업 대비 우수한(탐지 4분, 대응 7분 단축) 것으로 나타났음
- 중견ㆍ중소기업은 디도스 공격유형 및 로그분석에 한계로 대응에 미흡
기업 규모 | 상반기(58사) | 하반기(44사) | ||||
기업수 | 탐지시간 | 대응시간 | 기업수(개) | 탐지시간 | 대응시간 | |
대기업 | 20사 | 3분 | 19분 | 10사 | 5분 | 16분 |
중견‧중소 기업 | 38사 | 9분 | 22분 | 34사 | 9분 | 23분 |
⇨ 디도스 대응장비 성능 점검, 보안담당자 대응력 향상 교육, 원격 보안관제 이용 안내 , KISA의 디도스 사이버대피소* 안내 실시
* 영세‧중소기업을 대상으로 디도스 피해발생 시 공격트래픽을 우회시켜 정상운영 지원
③ 모의침투
o 누리집 점검 45개사 중 40개사에서 총 취약점 163개 발견(상반기 대비 42% 증가), 서버침투 훈련 50개사 중 32개사의 관리권한 탈취로 시스템 장악
o (홈페이지) 웹셸* 삽입, SQL 인젝션 취약점** 점검, 사이트 아이디/패스워드 검증을 우회하여 부정하게 계정 발급 등 163개 취약점 발견‧조치
* 웹서버의 게시판 등에 업로드 취약점을 이용 악성파일 삽입 후 관리자 권한 탈취
** SQL(DB에 접근요청 질의어)로 해석될 수 있는 입력을 시도하여 DB에 침입 후 정보 탈취
<발견된 홈페이지 주요 취약점 항목 Top 10>
순 번 | 점검 항목 | 건 수 |
1 | 임의의 스크립트 삽입(Cross Site Scripting) 취약점 | 40 |
2 | Injection 취약점 | 33 |
3 | 파라미터 변조 및 조작 취약점 | 19 |
4 | 부적절한 에러 처리에 의한 정보노출 취약점 | 12 |
5 | 클라이언트 기반 인증 우회 취약점 | 10 |
6 | URL 강제 접속 취약점 | 8 |
7 | 불필요한 파일 및 페이지 존재 취약점 | 7 |
8 | 통신 상 중요 정보 노출 취약점 | 5 |
9 | 쿠키 변조 및 조작 취약점 | 4 |
10 | 관리자페이지 노출 취약점 | 4 |
o (서버) 32개사 웹서버 및 업무용 서버에서 해킹 공격에 악용될 수 있는 취약점 이용하여 시스템 제어권 장악, 정보 탈취 등 점검*
* 기업의 보안 취약점 존재여부 점검하고 추가로 내부 시스템에 침투, 중요정보 탈취 등 공격자 관점에서 실제 해킹과 동일하게 점검
<서버침투 성공한 기업수>
구 분 | 침투성공 | 시스템제어권 획득 | 내부망 침투* | 주요정보 탈취** |
합계 | 32개 | 13개 | 17개 | 27개 |
* 17개 기업은 취약한 와이파이 비밀번호 사용으로 침투 성공
** 27개 기업은 인증 없는 공유폴더 및 복합기, 웹취약점 공격 등을 이용하여 정보 탈취 성공
⇨ 기업의 중요정보 유출방지를 위해 취약점 점검‧제거 방법, 신규 취약점 동향 및 패치 방법 등을 제공
