기업 60% 웹·업무서버 보안에 '구멍'

작년 하반기 사이버 모의훈련
40곳 홈피 163개 취약점 발견
서버서 주요정보 탈취도 가능

지난해 하반기 사이버 모의훈련에 참여한 기업 60%가 웹과 업무용 서버에서 보안 취약점이 발견됐다. 디도스(DDoS) 모의 공격 대응 시간은 중소기업이 대기업보다 7분 더 소요돼 지난 상반기보다 기업 간 격차가 커졌다.

과학기술정보통신부는 한국인터넷진흥원과 민간 기업을 대상으로 진행한 2021년 하반기 사이버위기대응 모의훈련 결과를 17일 발표했다.

이번 하반기 모의훈련은 지난해 11월 1일부터 약 3주 동안 민간기업 285개사, 임직원 9만3257명을 대상으로 진행됐다.

중소 중견기업은 디도스 공격에 대해 대기업보다 상대적으로 보안이 취약했다. 대기업은 상반기 대비 '디도스 공격' 탐지까지는 4분, 대응까지는 7분가량을 단측했다. 반면 중견 중소기업은 디도스 공격 유형 및 로그 분석의 한계로 대응이 미흡한 것으로 조사됐다.

화이트해커를 활용한 모의침투 훈련에도 취약점이 드러났다. 화이트해커들은 45개사 중 40개사 홈페이지에 163개의 웹 취약점을 발견하고 이를 제거했다.

웹 업무용 서버의 경우 50개 기업 중 32개 기업에서 시스템 제어권 획득, 내부망 침투, 주요 정보 탈취까지 가능한 것으로 드러났다.

모의 훈련은 해킹메일 전송 후 대응 절차 점검, 디도스(DDoS) 공격 및 복구 점검, 기업의 홈페이지 및 서버 대상 모의 침투 등으로 진행했다.

해킹 메일 훈련은 임직원을 대상으로 진행됐다. 임직원에 '프로그램 업데이트 안내' '사내 코로나19 예방접종 대상자 안내' 등 최근 이슈나 내부직원을 사칭한 해킹메일을 발송하고. 열람 과정에서 첨부파일 등을 클릭해 악성코드를 설치하도록 유도하는 방식으로 이뤄졌다.

전체 해킹메일 열람률은 16.7%, 감염률은 5.4%로 2021년 상반기(25.8%, 7.6%) 보다 각각 9.1%포인트, 2.2%포인트 감소했다.

특히 훈련에 재참여기업의 감염률은 3.6%로 신규 참여기업의 감염률 8.0%에 비교해 낮게 발생, 훈련이 거듭될수록 대응능력이 향상됨을 확인할 수 있었다.

홍진배 정보보호네트워크정책관은 "최근 아파치 로그4j에서 치명적인 취약점 발견으로 전 세계적으로 사이버위협이 증대되고 있다"면서 "올해는 메타버스 이용자 정보탈취, NFT 관련된 권한 탈취 후 부정판매 등에 대한 위협 대응 중심으로 시나리오를 개발하여 추진할 계획"이라고 밝혔다.