KISA "올해 모의훈련, 기업 2034곳 참여 예상"
 |
'사이버 위기대응 모의훈련' 참여기업 현황./사진제공=한국인터넷진흥원 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
국내 산업계를 겨냥한 해킹·랜섬웨어·디도스(DDoS) 공격 등 사이버 침해사고가 잇따르면서 이를 예방하기 위한 기업 단위 모의훈련이 급증한 것으로 나타났다.
9일 한국인터넷진흥원(KISA)에 따르면 이곳의 사이버 위기대응 모의훈련 참여기업은 2022년 660곳(참여인원 26만4000명)에서 지난해 1217곳(41만2000명)으로 증가했다.
KISA는 올해 연말까지 기업 2034곳(60만명)이 참가할 것으로 예상했다. 2004년 통신사·백신업체의 대응체계 점검으로 시작한 이 훈련은 2014년 기업 40곳(152명)이 참여한 이래 지난해까지 참여기업 규모가 30배 이상 늘었다.
사이버 위기대응 모의훈련은 KISA가 민간기업에게 실제와 유사한 모의공격을 수행해 취약점 정보를 제공하는 사업이다. 기업 규모 제한 없이 반기마다 시행하는 정기훈련과 중소·영세기업이 연중 신청할 수 있는 상시훈련으로 나뉜다.
대표 훈련종목은 임직원에게 악성 URL 클릭을 유도하는 모의 피싱메일 발송이다. 지난해 훈련에서 KISA가 제작해 발송한 가짜 이력서 등의 감염률은 4.8%였고, 참여기업이 피싱메일을 직접 제작한 경우 감염률이 8.3%로 높아졌다.
박진완 KISA 침해사고예방팀장은 "실제 원인조사 결과를 보면 피싱메일에서 사고가 시작되는 사례가 대부분"이라며 "훈련을 반복하면 조직 내 보안의식을 증대할 수 있다"고 말했다.
정기훈련 참여기업은 △화이트해커가 직접 침투해 취약점을 알려주는 웹 취약점 점검 △최대 20Gbps 규모의 모의 DDoS 공격 △IPS(침입방지시스템)·WAF(웹방화벽) 등 보안장비에 대한 주요 취약점 점검 등을 받아볼 수 있다. 상시훈련 기업의 경우 일부를 축소·자동화한 서비스가 제공된다.
사이버 위협은 올 들어 고조되는 추세다. 국내 침해사고 신고건수는 올 상반기까지 899건으로 집계돼 지난해 연간 신고건수(1227건)의 73%에 달했다. 특히 서버해킹 신고건수가 올 상반기 504건으로 전년동기보다 58% 증가했다. 디도스 공격 신고건수도 최근 3년간 2배 증가했다.
침해사고 발생기업의 책임을 강화한 최근 법령개정도 모의훈련을 비롯한 예방활동에 관심이 쏠리는 계기로 작용한다. 최근 개정된 정보통신망법과 개인정보보호법은 정보통신서비스 침해사고 발생 때 24시간 내 신고를 의무화하고, 개인정보 유출 과징금 산정기준을 전체 매출액 기반으로 산정하도록 각각 변경됐다.
박 단장은 "과거엔 KISA가 각종 협회 등에 찾아가서 '훈련에 참여해달라'고 요청했는데, 2020년 이후론 기업에서 먼저 '다음 훈련은 언제 하냐'는 문의가 온다"며 "참여기업이 기하급수적으로 늘었다"고 말했다.
아울러 "보안 분야에선 리비히의 '최소량 법칙'처럼 자신의 가장 약한 지점이 보안수준이 되는 것"이라며 "대기업뿐만 아니라 협력사·용역사도 각자의 대응체계를 점검하는 게 바람직하다"고 덧붙였다.
성시호 기자 shsung@mt.co.kr
ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
