대학생 화이트해커 참여 '블라인드 모의 훈련'44개 기관 사이버 공격 방어 능력 시험 예정
-
사이버 모의 침투 훈련은 해커가 실제 침투를 시도하는 공격 방법과 유사한 시나리오로 공격을 수행하고 방어하는 방식이다. 최근 급증한 공공기관 해킹에 대응하기 위해 외부 해커의 시각에서 정보시스템과 보안 취약점을 찾는다는 취지다.
한국인터넷진흥원(KISA)에 따르면 공공기관에서 해킹에 의한 유출은 2019년 2건, 2020년 3건, 2021년 5건, 2022년 4건에서 지난해 15건으로 급증했다.
이번 훈련에서는 행정안전부 웹 취약점 등 국내외 주요 정보보안 취약점 기준을 활용해 민간의 화이트 해커가 44개 기관의 사이버 공격 방어 능력을 시험한다. 내·외부망의 접점에서 내부 시스템에 침투하거나 주요 서버를 장악하고 관리자 권한을 탈취해 중요 자료 유출을 시도하는 등 실전과 유사한 시나리오를 이용한다.
올해는 국내외 해킹 대회에서 수상 이력이 있는 대학생 화이트 해커들이 참여하는 '블라인드 모의 침투 훈련'도 이뤄진다. 블라인드 모의 침투 훈련은 사전에 공격 날짜를 약속하는 일반적인 훈련과 달리 예고 없이 불시에 공격하는 실전성이 강한 훈련이다.
학생 화이트해커들은 지난 3월부터 공개 모집을 통해 선발했다. 총 52개 대학 24개 정보보안 동아리의 138명이 지원했고, 9:1의 경쟁률을 기록했다.
이현정 과기부 정보보호담당관은 "13개 대학 15명의 학생 화이트해커를 최종 선발했으며 이 중에는 국내외 해킹대회에서 수상한 우수한 인력들이 다수 포함되어 있다"며 "사전 교육을 통해 모의 침투 계획 수립 방법과 주요 점검 항목, 보안 사항 등을 숙지한 후에 투입할 계획"이라고 설명했다.
이어 "블라인드 훈련은 시기를 특정하지 않기 때문에 일반적인 훈련과는 달리 기관들의 피로도가 매우 높다"며 "올해는 12개의 희망 기관에 한해서 블라인드 훈련을 실시한다"고 말했다.
모의 침투 훈련 이후에는 화이트 해커들이 공공기관 현장에서 자신들이 발견한 취약점과 침투 결과를 직접 설명한다. 아울러 효과적으로 침투 경로를 제거하기 위한 현장 컨설팅을 진행한다.
사이버 모의 침투 훈련은 9월까지 실시된다. 과기부는 사이버 모의 침투 훈련 외에도 분산서비스거부(DDoS) 공격 대응훈련, 해킹 메일 대응 훈련 등을 연중 상시로 진행하고 있다고 설명했다.
구혁채 과기부 기획조정실장은 "예고 없이 이뤄지는 사이버 공격의 특성과 학생 화이트 해커의 블라인드 훈련 형태가 부합해 훈련 효과 기대가 크다"며 "소속·산하기관의 우수한 연구개발 성과와 축적된 과학기술 보호를 위해 지속적인 노력과 투자를 추진해 나갈 계획"이라고 말했다.