한국인터넷진흥원(KISA)은 정보보안 전문기업 블루데이타시스템즈와 공동으로 6월 10일 한국과학기술회관 대회의실에서 '2024년 상반기 사이버 침해사고 정보공유 세미나'를 개최했다. 이 자리에서 한국국방연구원 신수민 연구원은 '침해사고 조사 및 대응절차'를 주제로 강연을 진행했다.

신수민 연구원은 국방부에서의 침해사고 조사 및 관리 체계에서부터 대응 역량 향상에 이르기까지 단계별로 설명했다.

신 연구원은 몇 년 전 언론에 보도된 청와대 해킹 사건을 예로 들며, 기관의 연구원들도 해킹 피해를 당했다고 밝혔다. 그는 당시 국정원과 협력해 조사를 진행했으며, 해커가 연구원의 지인을 통해 피싱 메일을 보내 패스워드를 탈취한 사례를 소개하며, 이러한 공격 방식은 연구 자료를 위장한 문서형 악성 코드나 링크 파일을 첨부하여 피해자가 인지하지 못하게 감염을 확산시키는 형태라고 설명했다.

이러한 침해사고에 대응하기 위해 국가정보원법, 정보통신망법, 군사기밀보호법 등을 근거로 공공 분야에서의 침해사고 조사 및 대응 절차를 설명했다. 또한, 침해사고 대응 조직과 국가 사이버 위기 단계 격상 시의 유관기관 협조 체계도 소개했다.

침해사고 대응 조직은 국방장관 주관 하에 방위 정책단, 사이버 작전사, 육해공군 및 직속 기관들이 협력해 대응하고 있으며, 국방 방첩사와 조사본부가 사건 사고 조사와 수사를 담당하고 있다고 밝혔다. 신 연구원은 침해사고 발생 시 국가 사이버 위기 단계에 따라 대응 절차가 달라지며, 단계별로 어떤 조치가 이루어지는지 구체적으로 설명했다.

침해사고 유형과 사례에 대해서도, 다양한 공격 방법과 결과에 따라 분류할 수 있다고 설명했다. 그는 악성 코드, 해킹 메일, 비정상 통신 등 다양한 공격 형태를 소개하며, 국방부의 사례를 중심으로 상세히 설명했다. 특히, 국방부는 이러한 공격 형태를 월간, 분기, 연단위로 현황을 공유하고 분석해 대응 역량을 강화하고 있다고 밝혔다.

이어 신 연구원은 침해사고 발생 시 대응 절차에 대해서도 설명했다. 그는 사이버 작전사와의 협력 하에 네트워크 트래픽 모니터링, 보안 장비를 통한 검증, 현장 조사 등을 통해 침해사고를 탐지하고 대응한다고 밝혔다. 또한, 침해사고 분석을 위한 SA(침해사고 수집 분석) 툴을 활용해 증거를 수집하고 분석하는 과정을 설명했다.

 

또 이러한 대응 절차가 실제로 현장에서 어떻게 이루어지는지 구체적인 예를 들어 설명했다. 그는 침해사고 발생 시 기관 차원에서 모니터링을 통해 이상 값을 탐지하고, 필요 시 국방부와 협력해 현장 조사를 실시한다고 말했다. 또한, 조사 결과를 바탕으로 재발 방지를 위한 교육과 추가 조치를 실시한다고 덧붙였다.

 

마지막으로, 신 연구원은 중소기업을 위한 조언을 덧붙였다. 그는 중소기업이 인력과 예산 부족으로 정보보호 체계를 구축하기 어려운 점을 이해하며, 연합 형태로 지원을 받는 것이 도움이 될 것이라고 말했다. 또한, 기술적 차단뿐만 아니라 관리적 보안 강화의 중요성을 강조하며, 체계적인 보안 점검과 가이드, 매뉴얼의 필요성을 언급했다.