"기관 홈페이지 권한 뺏고 내부망 파고드는 해킹…기습 훈련으로 대비"

과기정통부, 소관기관 44개 대상 사이버 모의침투 훈련 진행(종합)
전문가 감독하 학생 화이트해커 투입…"취약점 발굴 후 컨설팅"

ⓒ News1 DB

(서울=뉴스1) 윤주영 기자 = "기관 홈페이지를 노린 공격자는 특정 입력을 통해 사용자 검증을 우회, 관리자 권한을 탈취할 수 있다. 자료 전송 통로인 내·외부망 접점을 파고들어 데이터를 빼가려는 시도도 있다"

24일 이현정 과학기술정보통신부 정보보호담당관은 정례 브리핑을 통해 산하기관 대상 '사이버 모의 침투 훈련'의 주요 시나리오를 설명했다. 이런 시나리오는 현실의 사이버 공격을 반영한 것들이다.

그는 "현실의 사이버 침투를 재현해 기관 시스템의 취약점을 발굴·개선하는 게 목표"라고 강조했다.

과기정통부는 이런 목표로 올해 9월까지 소관 기관·연구소 대상 해킹 대응 훈련을 진행한다. 최근 사이버 공격이 인공지능(AI) 등 신기술 접목, 소프트웨어(SW) 공급망 타격 등으로 방식이 고도화되고 있어서다.

이 담당관은 "이외에도 인공지능(AI) 등 신기술 등장으로 해킹 공격의 개별 코스트(단가)도 내려가는 추세"라고 부연했다.

공격은 양적으로도 증가 추세다. 국가정보원이 지난해 탐지한 공공 분야를 노린 국가 배후 및 국제 해킹조직의 공격 시도는 하루 평균 162만여 건이다. 전년 대비 36% 증가한 수치이며 그중 북한발(發) 공격이 80%다.

우리 기관의 보안을 강화해야 한다는 분석이다. 이에 44개 과기부 소관 기관이 이번 훈련에 참여한다.

업계 전문가 등 화이트 해커는 시나리오에 기반한 공격으로 이들 기관의 방어 능력을 시험한다.

이 담당관은 "기본적으로 모의 침투는 한 번에 최대 5일까지 진행된다"며 "화이트 해커 측은 최대한 침투를 시도하는 것이고 기관은 이 기간 계속 방어를 유지하는 방식"이라고 설명했다.

특히 공격을 사전에 알리지 않는 '블라인드 모의 침투 훈련'을 최초 도입한다. 공방 일정을 사전에 알리는 일반적인 훈련과 차별화되는 부분이다.

여기엔 대학교·대학원 학생 중 선발된 15명의 청년 화이트해커도 투입된다. 보안 인재의 실전경험 기회를 확대하려는 조처다. 학생 해커들은 모의 침투 계획수립 방법, 주요 점검 항목, 주의 사항 등 사전 교육을 받고 훈련에 투입된다.

이 담당관은 "학생들이 국내외 해킹대회 수상 이력이 있는 등 실력을 갖췄으나 아직 미숙한 부분도 있을 수 있다"며 "업계 전문가의 감독하에 이들 공격이 수행될 예정"이라고 설명했다.

이후 취약점이 발견되면 화이트 해커는 이를 기관에 공유한다. 또 컨설팅을 통해 침투 경로 등을 어떻게 제거할지 제시한다.

이 담당관은 "기관의 공공 업무에 지장이 가지 않도록 훈련 운용을 살피겠다"며 "특히 블라인드 모의 침투 훈련의 효용성을 평가하고 향후 확대 적용할지 등을 따져볼 것"이라고 설명했다.

legomaster@news1.kr