"침해사고 원인 대부분 '피싱 메일'…훈련비용 부담 덜어드려요"

(서울=뉴스1) 윤주영 기자 = "침해 사고를 추적해 보면 대부분 피싱 메일이 원인이다. 문제는 비용이다. 기업 사비로 예방 훈련을 할 때 직원 한 명에 해킹 메일을 보내주는 비용은 약 1만 원이다"

9일 박진완 한국인터넷진흥원(KISA) 침해사고예방팀장은 인터뷰를 가지고 예방 훈련 비용의 업계 추산치를 공유했다.

KISA에 따르면 올해 상반기 침해사고 건수는 899건이다. 2021년 총사고 건수는 640건이다. 이후 2023년까지 꾸준히 증가 추세를 보인다. 올해 총사고 건수를 약 1600건으로 가정한다면 침해사고는 3년간 2배 증가한 게 된다.

보안 투자 필요성은 커졌는데 영세기업은 비용에 부담을 느낀다.

KISA는 이 문제를 고려해 '사이버 위기 대응 모의훈련'을 무료 서비스 중이다.

정기 훈련은 날짜가 정해져 있어 놓치는 기업이 많다는 아쉬움이 있었다. 이에 2022년부턴 상시 훈련도 병행하고 있다.

상시 훈련은 정기 훈련과 마찬가지로 해킹 메일 훈련, 디도스 대응 훈련, 웹페이지 등 모의 침투, 탐지 대응 훈련 등 항목을 갖췄다. 언제든 훈련을 실시할 수 있어야 하므로 지도 인력을 대체할 해킹 메일 템플릿, 웹 취약점 점검 툴 등이 사용된다.

박 팀장은 "KISA는 훈련에 필요한 약 100개의 해킹 메일 템플릿을 구축했다"며 "이에 더해 참여 기업이 스스로 템플릿을 만들어 쓸 수 있어 더욱 실감 나는 훈련이 가능하다"고 설명했다.

이어 "기업이 만든 해킹 메일 템플릿만 3600개인 등 호응이 크다"며 "KISA가 구축한 템플릿과 비교해도 2배 이상 감염률이 높은 등 도전적인 난도의 훈련을 참여자들이 구현하고 있다"고 평가했다.

해킹 메일엔 악성코드가 담긴 첨부파일, 가짜 웹사이트 링크 등 URL이 들어있다. 상시 훈련을 받는 기업은 열람·감염률 등 결과 조회, 감염자 대상 교육 등을 통해 보안 역량을 기를 수 있다.

디도스 훈련의 경우 트래픽 자원 소진 공격, 데이터베이스 부하 등을 구현했다. 이로 인해 서비스가 얼마나 지연되는지 등 평가 지표도 확인할 수 있다.

웹페이지 점검의 경우 정기 훈련서 화이트해커가 수행하던 모의 침투를 '앱 스캔'이란 툴로 대체했다. 주요 취약점을 겨냥한 공격 코드 등이 활용된다.

이 밖에도 취약점 탐지 대응의 경우 오픈소스 등 잘 알려진 취약점 공격에 어떻게 기업이 대응하는지 평가한다.

정기·상시 훈련은 KISA 보호나라 홈페이지에서 신청할 수 있다. 상시 훈련은 중소기업만 참여할 수 있어 접수된 신청서를 검토하는 과정이 추가된다.

legomaster@news1.kr