과기정통부, 산하 공공기관 대상으로 학생 화이트해커 선발해 ‘불시’ 훈련

과기정통부, 소속·산하기관 대상 사이버 모의 침투 훈련 실시
국내외 해킹대회 수상한 학생 화이트 해커 참여해 ‘블라인드 모의 침투 훈련’ 시행
화이트해커가 발견한 취약점과 침투결과 직접 설명, 침투 경로 제거 위한 현장 컨설팅 진행
DDoS, 해킹메일 대응 훈련 등 기관 임직원의 보안 의식 제고, 정보시스템 취약점 제거

[보안뉴스 김경애 기자] 과학기술정보통신부(장관 이종호, 이하 과기정통부)가 외부 보안 전문가와 함께 오는 9월까지 과기정통부 산하 공공기관 및 연구원·소 대상 사이버 모의 침투 훈련에 착수했다고 밝혔다.

[이미지=gettyimagesbank]

사이버 모의침투 훈련은 해커가 실제 침투를 시도하는 공격방법과 유사한 시나리오로 공격을 수행하고 방어하는 훈련으로, 외부 해커의 시각에서 정보시스템의 보안 취약점을 찾고 대응책을 마련하는 것이 목적이다.

이번 훈련에서는 행정안전부 웹 취약점 등 국내외 주요 정보보안 취약점 기준을 활용해 내·외부망의 접점으로부터 내부 시스템을 침투하거나, 주요 서버를 장악하고 관리자 권한을 탈취해 중요 자료 유출을 시도하는 등 실전 같은 시나리오에 맞추어 민간의 화이트해커가 기관의 사이버 공격 방어능력을 시험한다.

특히 올해에는 국내외 해킹대회에서 수상한 학생 화이트해커들도 참여해 ‘블라인드 모의 침투 훈련’도 시행한다. 블라인드 훈련은 사전에 공격 시도 날짜를 약속하고 공방을 주고받는 일반적인 사이버 모의 침투 훈련과 달리 사전 예고 없이 불시에 공격을 시도하는 실전성이 강한 훈련이다. 학생 화이트 해커들은 처음 실전훈련에 참가하는 만큼 모의침투 계획수립 방법, 주요 점검항목, 주의사항 등 사전 교육 숙지 후에 훈련에 투입될 계획이다.

[학생 화이트해커 선발 경과]
△국내 대학(원)을 대상으로 훈련참여 학생 화이트해커 공개모집(3월 6일~3월15일)
△지원자(52개 대학 138명) 대상 평가위원회 개최 및 15명 최종선발(3월 21일
△모의침투 훈련 사전설명회 개최(한국과학기술정보연구원, 4월 19일)
△참여자 대상 침투기법·보안사항 등 사전교육 실시(서울, 6월 24일~6월 25일)

또한 올해에는 모의 침투 훈련 후에 직접 침투를 진행한 화이트해커들이 공공기관 현장에 가서 자신들이 발견한 취약점과 침투 결과를 직접 설명하고 효과적으로 침투 경로를 제거하기 위한 현장 컨설팅을 진행해 훈련 실효성을 높일 수 있을 것으로 기대된다.

9월까지 진행되는 사이버 모의 침투 훈련은 분산서비스거부(DDoS) 공격 대응훈련, 해킹메일 대응 훈련 등 연중 상시 진행되고 있는 다양한 침해 대응 훈련과 함께 기관 임직원의 보안 의식을 제고하고, 정보시스템의 기술적인 취약점을 제거해 기관의 정보보안 수준을 한층 끌어 올릴 방침이다.

과기정통부 구혁채 기획조정실장은 “예고 없이 이루어지는 사이버 공격의 특성과 이번 학생 화이트 해커의 블라인드 훈련 형태가 부합해 훈련 효과에 기대가 크다”면서, “과기정통부는 소속‧산하기관의 우수한 연구개발 성과와 축적된 과학기술 보호를 위해 지속적인 노력과 투자를 추진해 나갈 계획”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)