최근 아파치 로그4j의 치명적인 취약점이 발견돼 세계적으로 사이버 위협이 커지고 있고 보안 관련 이슈가 중요해지는 가운데 기업 10 곳 중 6곳에서 기업 서버 해킹 공격에 취약한 것으로 조사됐다. 또한 대기업과 중소기업의 디도스 공격과 해킹 등에 대한 대응 역량 차이가 큰 것으로 나타났다. 사진/이미지투데이
최근 아파치 로그4j의 치명적인 취약점이 발견돼 세계적으로 사이버 위협이 커지고 있고 보안 관련 이슈가 중요해지는 가운데 기업 10 곳 중 6곳에서 기업 서버 해킹 공격에 취약한 것으로 조사됐다. 또한 대기업과 중소기업의 디도스 공격과 해킹 등에 대한 대응 역량 차이가 큰 것으로 나타났다. 사진/이미지투데이

최근 아파치 로그4j의 치명적인 취약점이 발견돼 세계적으로 사이버 위협이 커지고 있고 보안 관련 이슈가 중요해지는 가운데 기업 10 곳 중 6곳에서 기업 서버 해킹 공격에 취약한 것으로 조사됐다. 또한 대기업과 중소기업의 디도스 공격과 해킹 등에 대한 대응 역량 차이가 큰 것으로 나타났다.

18일 과학기술정보통신부에 따르면 한국인터넷진흥원(KISA)과 함께 민간기업 대상으로 '2021년 하반기 사이버위기대응 모의훈련을 실시한 결과 이와 같이 나타났다고 밝혔다.

이번 훈련은 지난해 11월 285개 기업과 9만3257명의 임직원에게 실제 사이버 공격과 동일한 방식으로 진행됐다. 

△해킹메일 전송 후 대응 절차 점검 △디도스(DDoS) 공격 및 복구 점검 △기업의 홈페이지 및 서버 대상 모의침투 등이 이뤄졌다.

우선 임직원들에게는 '프로그램 업데이트 안내' '사내 코로나19 예방접종 대상자 안내' 등 최근 이슈 또는 내부직원을 사칭한 해킹 메일을 발송하고 메일의 첨부파일을 클릭해 악성코드를 설치하도록 유도했다. 

훈련 결과 해킹메일 열람율은 16.7%, 감염율은 5.4%로 상반기 훈련 대비 9.1%포인트(p), 2.2%p 감소했다. 

이전 훈련에 참여했던 기업 임직원의 감염율은 3.6%로 처음 참여한 기업의 감염율(8.0%)보다 크게 낮아 반복 훈련을 통한 대응 능력 향상이 확인됐다.

또 44개 기업의 홈페이지를 디도스 공격해 보안장비의 탐지 대응시간을 측정하고 자원소진과 웹·DB(데이터베이스) 부하 등 대응능력을 점검한 결과, 보안투자 여력이 있는 대기업은 이전보다 탐지는 4분, 대응은 7분 가량 단축되는 등의 성과를 보였다. 

반면 중소기업은 상대적으로 디도스 공격 유형과 로그 분석에 미흡한 것으로 나타나 보안담당자의 대응능력 교육, 원격보안관제 이용 안내, KISA의 디도스 사이버대피소 이용 안내를 했다.

화이트해커가 기업 홈페이지 침입을 시도하는 모의침투 훈련을 통해서는 45개사 중 40개사의 홈페이지에 숨겨진 웹 취약점을 발견해 제거했다. 

특히 웹서버, 업무용 서버를 대상 모의침투를 진행한 결과, 50개 참여기업 중 60%에 해당하는 32개사에서 시스템 제어권 획득, 내부망 침투, 주요정보 탈취가 가능할 정도로 취약한 것으로 나타났다. 

17개 기업은 취약한 와이파이 비밀번호를, 또 27개 기업은 인증 없는 공유폴더와 복합기, 웹 취약점 공격 등을 이용해 공격에 성공했다.

과기부 홍진배 정보보호네트워크정책관은 "올해 사이버위기대응 모의훈련 결과를 바탕으로 다양한 IoT(사물인터넷) 기기 대상의 위협, 메타버스 이용자 정보탈취, NFT 권한 탈취 후 부정판매 등에 대한 위협 대응에 대해 시나리오를 개발해 추진할 계획"이라고 밝혔다.