진짜로 해킹하는 정부 모의훈련, 하반기엔 랜섬웨어 대응 집중

9월 참가기업 모집해 10월 시행…실제 피해사례 반영

[사진=게티이미지뱅크]

과학기술정보통신부가 실제 해킹 기법을 동원해 하반기 민간 기업들의 랜섬웨어 대응력 향상 훈련을 시행한다. 국내외 민간 기업들에게 랜섬웨어가 실질적인 위협으로 대두돼, 감염 위협을 낮추고 감염시 피해를 최소화하기 위해서다.

6일 최미정 과기정통부 사이버침해대응과장은 상반기 사이버위기대응 모의훈련 결과 브리핑을 통해 "국내외에서 랜섬웨어 사고가 급증하고 있어 하반기 모의훈련 계획으로 랜섬웨어 대응에 집중하려고 한다"라고 밝혔다.

과기정통부에 따르면 민간 분야에 랜섬웨어 침해사고가 작년부터 급증하기 시작했고 올해 상반기에는 작년 수준 이상의 규모로 침해사고가 빈번하게 접수되고 있다. 최 과장은 "(랜섬웨어) 대부분이 중소기업을 대상으로 하고 있고, 과거와 달리 공격 대상 분야가 특정업종이 아니라 다양해진 상황이어서 전반적인 랜섬웨어 대비가 필요한 상황"이라고 설명했다.

이날 발표된 과기정통부 집계에 따르면 최근 3년간 국내 랜섬웨어 침해사고 신고 건수는 2018년 22건, 2019년 39건에서 작년 127건을 기록해 급증했고, 올해 상반기에만 78건으로 전년 수준을 넘어섰다.

한국인터넷진흥원(KISA)이 주요 3가지 랜섬웨어 피해 사례를 분석해 모의훈련 시나리오를 준비하고 있다. 인터넷 홈페이지를 운영하는 웹서버의 최신 보안패치 적용 여부, 여러 윈도PC를 관리하기 위한 액티브디렉토리(AD) 솔루션의 보호와 이를 다루는 운영관리자의 해킹메일 대응력, 원격접속 기능이 열려 있는 사내 업무용 PC의 계정 보안을 개선하는 데 초점을 맞출 방침이다.

이동근 KISA 침해대응단장은 "랜섬웨어가 국내에 큰 파급 영향을 끼치고 있다"라며 "하반기 훈련 시나리오에 반영할 첫 사례는 홈페이지를 운영하는 서버에 보안업데이트가 안 돼 해커가 이 틈을 노려 침입하고, 이 서버와 똑같은 관리자계정을 쓰는 여러 서버에 랜섬웨어를 설치한 뒤 해당 기업에 (데이터를 빌미로 복구 비용을 요구하는) 협박을 하는 경우"라고 소개했다.

이어 "둘째로 최근 사고사례 가운데 윈도 운영체제(OS)를 많이 쓰는 기업은 다수의 윈도PC에 계정관리와 사내정책적용 등을 한 번에 할 수 있는 중앙관리형 솔루션 AD를 악용하는 경우"라면서 "해커가 보낸 악성메일을 열어 본 관리자의 PC가 악성코드에 감염되고 여기서 AD 접근권한이 탈취돼 여기에 연결된 수많은 윈도로 동시에 랜섬웨어를 유포하고 협박하는 사례"라고 설명했다.

또 "마지막으로 직원들이 원격접속할 수 있도록 사내 PC의 통신포트를 열어 놓은 상황에서 해커가 이걸 찾아내 원격접속 계정의 ID·패스워드를 무작위 입력하는 경우"라며 "무작위로 계정명과 비밀번호를 대입하다 해당 PC의 권한을 쉽게 탈취한 해커가 이를 통해 다른 사내 서버로 이동, 랜섬웨어를 대량 유포하고 협박한 사례가 있다"고 밝혔다.

외부망에 연결된 PC·서버 등 악성코드에 직접 감염되기 쉬운 시스템뿐아니라, 기업이 랜섬웨어 감염 피해를 회복하기 위한 핵심 인프라인 백업시스템에 대한 보안조치도 사이버위기대응 훈련 내용에 포함된다. 이 단장은 "랜섬웨어 방어 최후의 보루가 백업인만큼 이 부분에 대해 보호가 이뤄지고 있는지 랜섬웨어 특화 훈련을 기획해 집중 점검할 계획"이라고 언급했다.

정부는 이밖에도 자체 사이버 위기대응 훈련 체계를 갖추지 못한 중소기업을 대상으로 맞춤형 훈련을 상시 진행할 수 있는 플랫폼을 구축해 연말께 시범 운영할 계획이다. 이 단장은 "중소기업들이 상하반기 정기 훈련과 별개로 경영 상황에 맞춰 특정 시점에 훈련을 시행하고 싶지만 체계가 없는 경우가 있어 이들을 위한 플랫폼을 시범 운영 후 내년 본격 확대할 계획"이라고 말했다.

하반기 랜섬웨어 대응에 특화된 모의훈련은 오는 9월 KISA 보호나라 웹사이트 공지를 통해 참여기업을 모집하고 10월중 실시된다.