“반복 훈련만이 답” KISA, 사이버 모의훈련 통해 해킹메일 열람률 ‘뚝’

[이데일리 최연두 기자] “사이버 모의훈련을 3회 이상 실시한 기업들은 임직원들의 해킹메일 열람률이 기존 4.9%에서 2.6%로 감소했습니다. 반복 훈련의 효과성이 입증된 거죠.”

박진완 한국인터넷진흥원(KISA) 침해사고예방팀장(사진=KISA)

박진완 한국인터넷진흥원(KISA) 침해사고예방팀장은 9일 이데일리와 만나 영세 중소기업을 대상으로 자체 운영 중인 ‘사이버 시큐리티 모의훈련 플랫폼’(이하 모의훈련 플랫폼)의 이 같은 활용 성과를 공개했다.

통상 기업을 상대로 한 디도스(DDoS·분산서비스거부)와 웹셀, 취약점 공격 등의 대규모 사이버 위협은 사내 피싱메일 수신자가 무심코 악성 링크·파일을 클릭하는 것에서부터 시작된다.

박진완 팀장은 “사이버 공격 피해는 피싱메일에서 시작되는 사례가 대부분”이라며 “피싱메일을 받은 당사자뿐 아니라 소속 기업과 협력사 등으로 2차, 3차까지 지속적인 재공격이 가능해 주의가 필요하다”고 강조했다. 해킹메일 공격은 갈수록 정교해져 세심한 주의를 기울이지 않으면 누구나 속아 넘어가기 쉽다.

지난해 중소벤처기업부 산하 창업진흥원은 유럽계 스타트업 투자사인 레인메이킹으로 사칭한 사이버 공격자에게 1억7500만원에 달하는 금액을 송금했다. 2022년에는 해커가 언론사 기자들에게 중앙선거관리위원회 관계자가 보낸 것처럼 꾸민 메일을 발송하기도 했다. 해당 메일에는 정상 문서처럼 보이는 악성 문서파일이 첨부돼 있었다.

KISA는 비용 부담 때문에 자체 테스트가 어려운 중소기업에 무료로 상시 모의훈련을 제공하고 있다. 지난 2022년 6월 해킹메일 훈련 서비스로 시작해 작년 디도스 훈련, 웹취약점 점검, 탐지·대응 훈련까지 추가돼 현재 총 4개 항목을 지원하고 있다.

박 팀장에 따르면 기업이 자체적으로 해킹메일 훈련 시 직원 1인당 약 1만원이 소요된다. 메일 시나리오 작성과 발송 비용 등을 더한 금액이다. 박 팀장은 “중소기업은 보호나라 홈페이지에서 신청하면 원하는 시점에 언제든 무료로 모의훈련에 참여할 수 있다”고 강조했다.

중소기업은 사이버 위협 대응 방안과 관련 보안책이 대기업에 비해 상대적으로 미흡할 수밖에 없다. 해커들이 중소기업을 주요 공격 대상으로 택하는 이유다. KISA가 올해 4월 발표한 실태조사에 따르면 지난해 감행된 전체 사이버 침해사고 건수(1227건) 가운데 81%가 중소기업에서 발생했다.

앞으로 KISA는 모의훈련 플랫폼을 자동화하는 것에서 더 나아가 인공지능(AI) 딥페이크 등 신규 사이버 위협 항목을 반영할 방침이다.

박 팀장은 “궁극적으로 (사람의 개입 없이) 모든 모의훈련 과정을 자동화된 시스템 기반으로 제공하는 것이 목표”라며 “인공지능(AI) 딥페이크를 포함한 새로운 공격 유형도 훈련 항목으로 활용할 수 있는 방향으로 고민하고 있다”고 말했다.