’21년 하반기 사이버위기대응 모의훈련 결과 발표

댓글 0

판교핫뉴스

2022. 1. 19.

’21년 하반기 사이버위기대응 모의훈련 결과 발표

작성일 2022-01-17 부서 사이버침해대응과

 

 

과기정통부, ’21년 하반기 사이버위기대응 모의훈련 결과 발표

- 285개사(社) 93,257명 참여, 전년대비 3.5배 증가 

- 재참여기업의 해킹메일 감염율 신규참여기업에 비해 45% 감소 

- 45개사 중 40개사 누리집에 숨어있는 163개 보안취약점 발견‧제거 

- 50개사 중 32개사(62%)에서 서버침투에 취약한 보안위협 확인‧제거 

 

 

□ 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 한국인터넷진흥원(원장 이원태, 이하 ‘KISA’)과 함께 최근 사이버침해 위기가 고조됨에 따라 민간기업 대상으로 실제 사이버 공격과 동일한 방식으로 지난 ’21년 하반기 사이버위기대응 모의훈련을 실시하고 결과를 발표하였다.

 

□ ‘21년도 하반기 모의훈련은 지난 11월 1일부터 약 3주 동안 참여기업 285개사, 임직원 93,257명을 대상으로 ① 해킹메일 전송 후 대응 절차 점검 ② 디도스(DDoS) 공격 및 복구 점검 ③ 기업의 홈페이지 및 서버를 대상으로 모의침투를 진행하였다.

 

ㅇ 하반기 훈련 규모는 ’21년 상반기(192개사, 86,339명)와 비교 시 참여기업은 48.4% 증가, 참가 임직원은 8% 증가하였으며, ’20년 평균(81개사, 43,333명) 대비해서도 기업 및 인원이 각 3.5배, 2.1배 이상 증가하여, 기업들이 사이버 위협에 인식과 대응능력 향상에 관심이 높아지고 있음을 알 수 있었다.

□ 해킹메일 훈련은 임직원을 대상으로 ’프로그램 업데이트 안내‘ ‘사내 코로나19 예방접종 대상자 안내‘ 등 최근 이슈나 내부직원을 사칭한 해킹메일을 발송하여 열람하고, 첨부파일 등을 클릭하여 악성코드를 설치하도록 유도하는 방식으로 진행하였다. 

 

ㅇ 해킹메일 열람율은 16.7%, 감염율은 5.4%로 ’21년 상반기(25.8%, 7.6%) 대비 각각 9.1%p, 2.2%p 감소하였고, 특히, 훈련에 재참여기업의 감염율은 3.6%로 신규참여기업의 감염율 8.0%에 비교시 45% 낮게 나타나 훈련이 거듭될수록 대응능력이 향상됨을 알 수 있었고, 추가적으로 랜섬웨어 사례, 예방수칙, 복구절차 등 정보보안 교육도 실시하였다.

 

<이전 참여기업과 신규 참여기업 비교>

 

* (열람율) 해킹메일 클릭한 경우, (감염율) 해킹메일 클릭 후 첨부파일(악성파일) 클릭한 경우

 

□ 디도스 훈련은 참여기업(44사) 누리집(홈페이지)에 실제 디도스 공격을 수행하여 보안장비의 탐지시간 및 대응시간 측정, 신규공격(자원소진, 웹/데이터베이스부하 공격 등)에 대응능력을 점검하였다.

 

 

ㅇ 보안투자 여력이 있는 대기업이 중소기업에 비해 상대적으로 우수한(탐지4분, 대응7분 단축) 것으로 나타났으며, 중소기업은 디도스 공격 유형 및 로그 분석에 미흡하여 보안담당자 대응능력 향상 교육, 원격보안관제 이용 안내, KISA의 디도스 사이버대피소 이용 안내를 하였다.

 

□ 모의침투 훈련은 누리집(홈페이지)과 웹서버 및 업무용 서버 대상으로 화이트해커가 침입 시도를 통하여 보안 위협 노출 여부를 확인하였다.

 

ㅇ 누리집(홈페이지)은 총 45개사 중 40개사에서 총 163개의 숨어있는 웹 취약점을 발견하고 신속하게 제거하여 해킹위협을 미연에 방지하였다.

 

ㅇ 특히, 이번 훈련에는 기업의 웹서버와 업무용서버를 대상으로 모의침투를 시도하여, 참여기업 50개사 중 60%가 넘는 32개사에서 해킹 공격에 취약한 보안취약점을 이용하여 시스템 제어권 획득, 내부망 침투, 주요정보 탈취까지 가능한 것으로 확인하였으며 발견된 취약점은 발견 즉시 제거하였다.

 

 

<서버 침투성공 현황> <세부 침투성공 현황(중복)>

※ 주요정보 탈취(27개사) : 기업 정보 외부 전송 가능여부, 개인정보 탈취 가능여부 등 점검

내부망 침투(17개사) : 와이파이 암호 무력화 등을 통한 내부 네트워크 접속 여부 확인

시스템 제어권 획득(13개사) : 원격실행 취약점 등을 이용한 관리자 권한 획득

 

※ 일부 기업에서는 3개의 시나리오에서 2개 이상 침투가 가능한 중복 침투

□홍진배 정보보호네트워크정책관은 “최근 아파치(Apache) Log4j에서 치명적인 취약점 발견으로 전 세계적으로 사이버위협이 증대되고 있는 만큼 정부에서 실시하는 모의훈련에 많은 기업들이 적극적으로 참여하여 사이버위협 노출된 취약점을 사전에 파악하고 조치하여 피해를 최소화 해줄 것을 당부한다 ”라고 밝혔다.

 

ㅇ 아울러, 올해에는 사이버위기대응 모의훈련은 ’22년 사이버위협 전망 분석에서 도출한 다양한 사물인터넷기기를 대상 위협 증가, 메타버스 이용자 정보탈취, 대체불가토큰(NFT) 관련된 권한 탈취 후 부정판매 등에 대한위협 대응 중심으로 시나리오를 개발하여 추진할 계획이며,

 

ㅇ 또한, 기업들이 언제든지 훈련에 참여할 수 있도록 기업 환경을 고려한 맞춤형 상시 해킹 모의훈련 플랫폼을 구축할 예정이며, 훈련에 참여한 기업에게는 정보보호 공시*에 정보보호를 위한 기업의 활동으로 적시하도록 안내할 예정이라고 밝혔다.

 

* 안전한 인터넷이용을 위한 정보보호 투자, 인력현황, 관련 인증 등 정보보호 현황 공개(정보보호산업법제13조)

 

 

참고 ‘21년 하반기 정기 모의훈련 분야별 결과

 

 

 

① 해킹메일

 

o 해킹메일 감염율은 훈련이 거듭할수록 감소하는 것으로 나타남 

* 감염율 : 15.2%(‘20년) → 7.6%(’21년 상반기) → 5.4%(’21년 하반기)

 

 

- 또한, 재참여기업의 감염율은 3.6%로 신규참여기업의 감염률(8.0%)에 비해 45% 낮게 나타났음 

 

⇨ 기업에게 랜섬웨어 사례, 신규 취약점 발견 등 사이버 위협동향 및 예방수칙, 복구절차 등 교육 실시

 

구분 해킹메일 제목

1차(공통) 비밀번호 재설정 요청

2차 구매발주 : (PO-48021)

(기업 맞춤형) 코로나19 추가접종(부스터샷) 대상자 안내

Update required – OOOO account on hold (결제정보 업데이트)

[필수] 프로그램 최신 업데이트 요청

 

 

<해킹메일 훈련결과(종합)> <해킹메일 컨텐츠별>

 

<이전 참여기업과 신규 참여기업 비교> <상반기와 열람율/감염율 비교>

 

② 디도스(DDoS)

 

o 참여기업 44개사의 보안장비 점검, 신규공격(자원소진. 웹/데이터베이스 부하공격 등)

 

o 디도스 대응능력은 정보보안 투자에 여력이 있는 대기업이 중견ㆍ중소기업 대비 우수한(탐지 4분, 대응 7분 단축) 것으로 나타났음

 

- 중견ㆍ중소기업은 디도스 공격유형 및 로그분석에 한계로 대응에 미흡

기업 규모 상반기(58사) 하반기(44사)

기업수 탐지시간 대응시간 기업수(개) 탐지시간 대응시간

대기업 20사 3분 19분 10사 5분 16분

중견‧중소 기업 38사 9분 22분 34사 9분 23분

 

⇨ 디도스 대응장비 성능 점검, 보안담당자 대응력 향상 교육, 원격 보안관제 이용 안내 , KISA의 디도스 사이버대피소* 안내 실시 

* 영세‧중소기업을 대상으로 디도스 피해발생 시 공격트래픽을 우회시켜 정상운영 지원 

③ 모의침투

 

o 누리집 점검 45개사 중 40개사에서 총 취약점 163개 발견(상반기 대비 42% 증가), 서버침투 훈련 50개사 중 32개사의 관리권한 탈취로 시스템 장악

 

o (홈페이지) 웹셸* 삽입, SQL 인젝션 취약점** 점검, 사이트 아이디/패스워드 검증을 우회하여 부정하게 계정 발급 등 163개 취약점 발견‧조치

* 웹서버의 게시판 등에 업로드 취약점을 이용 악성파일 삽입 후 관리자 권한 탈취

** SQL(DB에 접근요청 질의어)로 해석될 수 있는 입력을 시도하여 DB에 침입 후 정보 탈취

순 번 점검 항목 건 수

1 임의의 스크립트 삽입(Cross Site Scripting) 취약점 40

2 Injection 취약점 33

3 파라미터 변조 및 조작 취약점 19

4 부적절한 에러 처리에 의한 정보노출 취약점 12

5 클라이언트 기반 인증 우회 취약점 10

6 URL 강제 접속 취약점 8

7 불필요한 파일 및 페이지 존재 취약점 7

8 통신 상 중요 정보 노출 취약점 5

9 쿠키 변조 및 조작 취약점 4

10 관리자페이지 노출 취약점 4

 

o (서버) 32개사 웹서버 및 업무용 서버에서 해킹 공격에 악용될 수 있는 취약점 이용하여 시스템 제어권 장악, 정보 탈취 등 점검*

* 기업의 보안 취약점 존재여부 점검하고 추가로 내부 시스템에 침투, 중요정보 탈취 등 공격자 관점에서 실제 해킹과 동일하게 점검

구 분 침투성공 시스템제어권 획득 내부망 침투* 주요정보 탈취**

합계 32개 13개 17개 27개

* 17개 기업은 취약한 와이파이 비밀번호 사용으로 침투 성공

** 27개 기업은 인증 없는 공유폴더 및 복합기, 웹취약점 공격 등을 이용하여 정보 탈취 성공

 

⇨ 기업의 중요정보 유출방지를 위해 취약점 점검‧제거 방법, 신규 취약점 동향 및 패치 방법 등을 제공