과기정통부, ’21년 상반기 사이버위기대응 모의훈련 결과 발표

과기정통부, ’21년 상반기 사이버위기대응 모의훈련 결과 발표

작성일 2021-07-06 부서 사이버침해대응과

 

 

과기정통부, ’21년 상반기 사이버위기대응 모의훈련 결과 발표

- 230개사(社) 98,599명 참여, 전년대비 2.8배 증가 -

- ‘가상자산 투자 유의사항 안내?’ 등 임직원 대상 해킹메일 발송 결과, 2회 이상 참여기업 열람ㆍ감염율 감소 -

- 모의침투로 30개사(社) 114개 취약점 발견, 제3자에 의한 객관적 점검 필수 -

 

 

 

□ 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 한국인터넷진흥원(원장 이원태, 이하 ‘KISA’)과 함께 최근 국내ㆍ외 기업을 대상으로 하는 랜섬웨어, 분산서비스거부 공격 등 사이버위협이 증가하고 있어, 실제 사이버공격과 동일한 방식으로 ‘21년 상반기 사이버위기대응 모의훈련을 실시하고 결과를 발표하였다.

 

< 모의훈련 분석 결과 >

 

□ 금년 상반기 모의훈련은 지난 5월 17일부터 2주 동안 참여기업 임직원 98,599명을 대상으로 ① 맞춤형 악성 이메일 전송을 통한 지능형 지속공격(APT) 공격 대응 절차 점검 ② 분산서비스거부공격및 복구 점검 ③ 모의침투 등 실전형 훈련으로 진행하였다. 

 

< ’21년 상반기 모의훈련 현황 >

구 분 정기 훈련 특별 훈련

바이오 기업 클라우드 사업자

참가 규모 192개사, 86,339명 27개사, 12,260명 11개社

훈련 내용 해킹메일, 모의침투, 분산서비스거부공격,  해킹메일 모의침투

비 고 민간기업 230개社, 임직원 98,599명 참여

ㅇ 모의훈련 결과, 훈련 참여 기업이 ‘20년 81사(43,333명) 대비, ’21년 230사(98,599명)로 283% 증가하여 매년 참여 기업과 훈련 참가 인원수가 증가하고 있어, 많은 기업들이 사이버위기대응 모의훈련의 필요성과 효과성에 대해 많은 관심을 가지고 있는 것으로 나타났다.

 

< 사이버위기대응 훈련 참여 기업 수 > 

 

 

ㅇ 임직원을 대상으로 최근 사회적 현안을 중심으로 메일 제목을 ‘임직원 가상자산 투자 유의사항’, ‘코로나19 예약접종’과 보낸 사람을 특정 공공기관을 사칭하여 클릭을 유도하는 사회공학 기법을 활용한 해킹메일 훈련결과, 2회 이상 참여한 기업의 해킹메일 대응력(신규 참여기업 대비 열람을 6.8%, 감염율 4.2% 감소)이 높은 것으로 나타났다.

 

< 해킹메일 훈련 유형 >

 

구분 메일 제목 보낸 사람(사칭유형)

1차 견적서 송부 특정인

(기업 맞춤형) 택배 주소 확인바랍니다 우체국

임직원 가상자산 투자 유의사항 OO위원회

[공지] 사내 코로나19 예방접종 사전예약 운영지원팀

2차(공통) [긴급] 개인정보 유출사건 관련 확인요청 한국인터넷진흥원

 

< 해킹메일 훈련 결과 >

 

 

 

* 열람율 : 해킹메일을 클릭한 경우 감염율 : 해킹메일 클릭 후 첨부파일(악성파일)을 클릭한 경우 

ㅇ 분산서비스거부 모의공격에 대한 대응력 훈련결과, 대기업은 평균 분산서비스거부 공격 탐지시간 3분, 대응시간 19분으로 중소기업 탐지시간 9분, 대응시간 22분으로 분산서비스거부 대응 체계가 갖추어진 대기업의 대응력이 중소기업보다 다소 높은 것으로 나타났다.

 

< 분산서비스거부 모의공격 훈련 결과 >

기업 규모 탐지 시간* 대응 시간**

대기업 3분 19분

그 외(중견기업, 중소기업 등) 9분 22분

* 분산서비스거부 공격을 인지하기 까지 시간 ** 공격인지 후 분산서비스거부 공격을 방어하는데 소요되는 시간

 

ㅇ 기업의 정보시스템 대상 모의침투 훈련 결과, 30개사 누리집에서 총 114개 취약점이 발견되었으며, 인터넷기반자원공유(클라우드)사업자 대상으로 모의침투 대응력* 훈련결과, 인터넷기반자원공유 보안인증을 받은 사업자의 탐지ㆍ방어율이 높아(미인증사업자 대비, 24%p) 클라우드 보안인증이 사이버위협 대응력을 높이는 것으로 나타났다.

 

* 실제 화이트 해커가 취약점을 이용해 기업 내부 시스템에 침투하고 기업이 대응하는 훈련

 

- 모의침투 훈련은 국제 해킹대회 입상자 등으로 ’모의침투 화이트 해커 팀‘을 구성하여 기존 기업에서 발견하지 못했던 취약점들을 발견함에 따라 제3자에 의한 객관적인 정보보안 점검의 중요성을 확인할 수 있는 훈련이었다.

 

< 상반기 금품요구악성프로그램 침해사고 분석 >

 

□ 한편, 최근 국내ㆍ외적으로 금품요구악성프로그램(랜섬웨어) 침해사고가 급증하고 있는 가운데 국내에서도 ’19년 39건 대비, ’20년 127건으로 325% 급증하고 있으며, 금년 상반기까지도 78건의 금품요구악성프로그램 사고가 발생하고 있다.

 

< 최근 3년간 국내 금품요구악성프로그램 침해사고 신고 현황 >

(단위 : 신고 건수)

구 분 ’18년도 ’19년도 ’20년도 ’21년 상반기

금품요구악성프로그램 침해신고  22건 39건 127건 78건

o 국내에서 발생한 상반기 주요 금품요구악성프로그램 침해사고 유형을 살펴보면 ① 보안패치가 적용되지 않은 웹서버 공격을 통해 관리자 계정 탈취 후, 다수의 서버 금품요구악성프로그램 감염 사고 발생 ② 관리자 대상 해킹메일 공격으로 관리자 계정 탈취 후, 중앙관리 서버를 통해 사내 시스템 금품요구악성프로그램 감염 ③ 무작위 비밀번호 대입공격으로 원격근무 직원PC 비밀번호 탈취 후, 사내 서버 금품요구악성프로그램 감염 등 대부분 이용자(관리자)가 일반적인 보안수칙을 준수하지 않아 발생하는 사고로 모의훈련 등을 통한 사용자 보안인식 제고가 절실히 요구되는 상황이다. 

 

□ 과기정통부 홍진배 정보보호네트워크정책관은 “최근 악성코드가 첨부된 해킹메일 발송과 정보시스템의 취약점을 이용한 금품요구악성프로그램 공격 등 사이버위협이 국내ㆍ외적으로 급증하고 있어, 기업의 각별한 주의와 함께 정부에서 실시하는 모의훈련에 많은 기업이 참여하여 사이버위협 대응력을 높여줄 것을 당부한다.“ 라고 밝혔다

 

ㅇ 아울러, 정부는 금년 하반기에 실시하는 모의훈련은 최근 금품요구악성프로그램이 급증하고 있어, 금품요구악성프로그램 대응에 특화된 모의훈련 시나리오를 개발하여 기업의 사이버위협 대응력을 높이는 특별 훈련을 금년 9월중에 보호나라(www.boho.or.kr) 공지를 통해 참여기업을 모집하고 10월중에 훈련을 실시할 계획이라고 밝혔다.

 

참고 1 ’21년 상반기 모의훈련 분야별 결과

 

< 모의훈련 참가기업(참가자) 연평균 증가추이 >

 

 

① 해킹메일 대응훈련

 

o 훈련 대상 : 230개사 임직원 98,599명

o 훈련 결과 : 해킹메일 평균 열람률 25.8%, 평균 감염률 7.6%

 

⇨ 기업별 담당자에게 훈련결과(메일열람·감염) 및 대응방안* 안내

* 국내 해킹메일 동향 및 사례, 포털사이트 정상/악성 구분, 해킹메일 판별법, 정보보호 실천수칙 등

 

구분 메일 제목 보낸사람(사칭유형)

1차 견적서 송부 특정인

(기업 맞춤형) 택배 주소 확인바랍니다 우체국

임직원 가상화폐 투자 유의사항 금융위원회

[공지] 사내 코로나19 예방접종 사전예약 운영지원팀

2차(공통) [긴급] 개인정보 유출사건 관련 확인요청 한국인터넷진흥원

 

 

<해킹메일 훈련결과(종합)> <해킹메일 컨텐츠별>

 

<이전 참여기업과 신규 참여기업 비교> <’20 평균과 ’21 상반기 열람율/감염율 비교>

 

② 분산서비스거부 공격 대응훈련

 

o 훈련 대상 : 58개사 웹서버

 

o 훈련 결과 : 평균 분산서비스거부 공격 탐지 시간 6분, 대응시간 21분

 

o 기업규모별 비교결과, 대기업 대응시간이 중견․중소기업에 비해 우수

 

기업 규모 탐지 시간 대응 시간

대기업 3분 19분

그 외(중견기업, 중소기업 등) 9분 22분

 

⇨ 중소기업 대상 한국인터넷진흥원KISA 분산서비스거부 사이버대피소 안내 및 이용 권고

③ 모의침투 대응훈련

 

o 훈련 결과 : 30개사에서 총 114개 취약점 발견

 

o 주요 취약점 내용 : 권한 없는 사용자의 관리자 권한 획득 가능, 웹셸* 삽입으로 중요정보(서버 접속정보 등) 확인가능, SQL 인젝션으로 DB정보 탈취, 결제 포인트 값 수정 등 확인

 

o 많이 발견된 항목은 Cross Site Scripting 30개, 파라미터 변조 및 조작 26개, 부적절한 에러 처리에 의한 정보노출 14개 등 순으로 확인

 

순위 점검 항목 취약점 발견 수

1 Cross Site Scripting 30

2 파리미터 변조 및 조작 26

3 부적절한 에러 처리에 의한 정보노출 14

4 클라이언트 기반 인증 우회 9

5 인젝션 8

6 불필요한 파일 및 페이지 존재 7

7 무차별 대입 공격 5

8 파일 업로드 & 실행 3

9 관리자페이지 노출 2

10 세션 재사용 2

 

⇨ 발견한 취약점은 업체별 보고서 전달, 조치결과 회신 요청(7월초까지)

 

 

참고 2 ’21년 상반기 수시훈련 결과 - 국내 바이오기업

 

□ 개요

 

o 최근 바이오 기업・연구소 대상 기술탈취 목적의 해킹 시도가 지속되고 있어 민·관 합동(과기정통부(한국인터넷진흥원), 국가정보원(산업기밀보호센터)) 특별 보안점검 실시

 

o 국내 바이오 기업(27개사) 임직원 대상 훈련용 해킹메일 유포 (1월, 3월)

* 콘텐츠 : 스마트폰 감염, 코로나19 치료제 개발, 재택근무 변경, 포털 비정상 로그인 시도

 

□ 훈련 결과

 

o 참여기업(인원) : 27개사, 총 12,260명

 

o 훈련 결과 : 해킹메일 평균 열람률 29.0%, 평균 감염률 14.4%

’21.1월 ’21.3월 비고

참여기업, 인원 7개사, 1,038명 23개사, 11,222명 3.3배, 10.8배↑

평균 열람율 29.10% 29.00% 0.1%p↓

평균 감염율 17.50% 11.30% 6.2%p↓

 

– ’21.1월, 3월 참여기업(3개사)이 ’21.3월 신규 참여한 기업 대비 열람율 21.5%p, 감염률 5.5%p 낮게 나와, 모의훈련 효과가 있었음을 확인

※ 열람/감염 재 참여한 기업 : 19.8%/8.3%, 신규 참여기업 : 41.3%/13.8%

 

<’21.1와 ’21.3 열람율/감염율 비교> < 기참여 기업과 신규 참여기업 비교>

 

o 기업별 담당자에게 훈련결과(메일열람·감염) 및 대응방안* 안내

* 국내 해킹메일 동향 및 사례, 포털사이트 정상/악성 구분, 해킹메일 판별법, 정보보호 실천수칙 등 

참고 3 ’21년 상반기 수시훈련 결과 - 클라우드사업자

 

□ 개요

 

o 국내 인터넷 기반 자원공유(클라우드) 기반(인프라(IaaS)) 사업자(11개사)대상 실 침해사고 시나리오 기반 공격 수행 및 대응체계 점검(6월)

* 컨텐츠 : MITRE ATT&CK 기반 데이터침해(APT33), 하이재킹(APT29) 실 침해사고 시나리오 수행

 

□ 훈련 결과

 

o 참여기업 : 11개사, 인증사업자 6개사, 민간사업자 5개사

 

o 훈련결과 : MITRE ATT&CK 기반 모의침투 훈련 공격 탐지방어율 35%*, 스피어피싱 훈련 관리적 대응체계 수행률 77.1%로 확인

* 훈련기업 별 제출한 공격 탐지차단 등 관련 증적 기준 탐지방어율 평가 수행

 

– 인증사업자(6개사)가 신규 참여한 민간사업자(5개사) 대비 공격 탐지방어율 23.9%p, 대응체계수행률 3.6%p 높게 나와, 모의훈련 효과가 있었음을 확인

※ 공격 탐지방어율/관리적 대응체계수행율 인증사업자 : 44.6%/78.6%, 신규 민간사업자 : 20.7%/75.0%

 

<공격 탐지방어율 비교> <관리적 대응체계 수행률 비교>

구분 클라우드 사업자

A사 B사 C사 D사 E사 F사 G사 H사 I사 J사 K사

탐지방어율 87.50% 43.80% 7.70% 56.30% 18.80% 23.10% 12.50% 18.80% 38.50% 43.80% -

대응체계 수행율 100% 78.60% 100% 78.60% 92.90% 85.70% 71.40% 64.30% 64.30% 35.70% -

* K사는 증적자료 미탐지 및 미제출로 인해 평가대상에서 제외

 

o 기업별 담당자에게 훈련결과(모의훈련, 스피어피싱) 및 대응방안* 안내

* 사업자별 보고서 전달 및 사업자별 대응방안 상담(컨설팅) 진행(6월 말)