출처: 과기기술정보통신부(22.1.18 보도자료)

과기정통부, 21 하반기 사이버위기대응 모의훈련 결과 발표
 - 285개사() 93,257 참여, 전년대비 3.5 증가
 - 재참여기업의 해킹메일 감염율 신규참여기업에 비해 45% 감소
 - 45개사  40개사 누리집에 숨어있는 163 보안취약점 발견‧제거
 - 50개사  32개사(62%)에서 서버침투에 취약한 보안위협 확인‧제거

 

 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’) 한국인터넷진흥원(원장 이원태, 이하 KISA) 함께 최근 사이버침해 위기가 고조됨에 따라 민간기업 대상으로 실제 사이버 공격 동일한 방식으로 지난  21 하반기 사이버위기대응 모의훈련을 실시하고 결과 발표하였다.

 21년도 하반기 모의훈련은 지난 11 1일부터  3 동안 참여기업 285개사, 임직원 93,257명을 대상으로  해킹메일 전송  대응 절차 점검  디도스(DDoS) 공격  복구 점검  기업의 홈페이지  서버를 대상으로 모의침투 진행하였다.

 하반기 훈련 규모는 21 상반기(192개사, 86,339) 비교  참여기업은 48.4% 증가, 참가 임직원은 8% 증가하였으며, 20 평균(81개사, 43,333) 대비해서도 기업  인원이  3.5, 2.1 이상 증가하여, 기업들이 사이버 위협 인식과 대응능력 향상에 관심 높아지고 있음   있었다.

 해킹메일 훈련은 임직원을 대상으로 ’프로그램 업데이트 안내  ‘사내 코로나19 예방접종 대상자 안내‘  최근 이슈나 내부직원을 사칭한 해킹메일을 발송하여 열람하고, 첨부파일 등을 클릭하여 악성코드를 설치하도록 유도하는 방식으로 진행하였다.

 해킹메일 열람율은 16.7%, 감염율은 5.4% 21 상반기(25.8%, 7.6%) 대비 각각 9.1%p, 2.2%p 감소하였고, 특히, 훈련에 재참여기업의 염율은 3.6% 신규참여기업의 감염율 8.0% 비교시 45% 낮게 나타나 훈련이 거듭될수록 대응능력이 향상됨을   있었고, 추가적으로 랜섬웨어 사례, 예방수칙, 복구절차  정보보안 교육 실시하였다.

<이전 참여기업과 신규 참여기업 비교>

 

  * (열람율) 해킹메일 클릭한 경우, (감염율) 해킹메일 클릭 후 첨부파일(악성파일) 클릭한 경우

 디도스 훈련은 참여기업(44) 누리집(홈페이지) 실제 디도스 공격을 수행하여 보안장비의 탐지시간  대응시간 측정, 신규공격(자원소진, /데이터베이스부하 공격 ) 대응능력을 점검하였다.

 보안투자 여력이 있는 대기업이 중소기업에 비해 상대적으로 우수한(탐지4, 대응7 단축) 것으로 나타났으며, 중소기업은 디도스 공격 유형  로그 분석에 미흡하여 보안담당자 대응능력 향상 교육, 원격보안관제 이용 안내, KISA 디도스 사이버대피소 이용 안내 하였다.

 모의침투 훈련은 누리집(홈페이지) 웹서버  업무용 서버 대상으로 화이트해커가 침입 시도를 통하여 보안 위협 노출 여부를 확인하였다.

 누리집(홈페이지)  45개사  40개사에서  163개의 숨어있는  취약점을 발견하고 신속하게 제거하여 해킹위협을 미연에 방지하였다.

 특히, 이번 훈련에는 기업의 웹서버와 업무용서버를 대상으로 모의침투를 시도하여, 참여기업 50개사  60% 넘는 32개사에서 해킹 공격에 취약한 보안취약점을 이용하여 시스템 제어권 획득, 내부망 침투, 주요정보 탈취까지 가능한 것으로 확인하였으며 발견된 취약점은 발견 즉시 제거하였다.

<모의침투 훈련 결과>

 


 
<서버 침투성공 현황> <세부 침투성공 현황(중복)>

   ※ 주요정보 탈취(27개사) : 기업 정보 외부 전송 가능여부, 개인정보 탈취 가능여부 등 점검
내부망 침투(17개사) : 와이파이 암호 무력화 등을 통한 내부 네트워크 접속 여부 확인

 시스템 제어권 획득(13개사) : 원격실행 취약점 등을 이용한 관리자 권한 획득

   일부 기업에서는 3개의 시나리오에서 2개 이상 침투가 가능한 중복 침투

 홍진배 정보보호네트워크정책관은 “최근 아파치(Apache) Log4j에서 치명적인 취약점 발견으로  세계적으로 사이버위협이 증대되고 있는 만큼 정부에서 실시하는 모의훈련에 많은 기업들이 적극적으로 참여하여 사이버위협 노출된 취약점을 사전에 파악하고 조치하여 피해를 최소화 해줄 것을 당부한다 ”라고 밝혔다.

 아울러, 올해에는 사이버위기대응 모의훈련은 22 사이버위협 전망 분석에서 도출한 다양한 사물인터넷기기 대상 위협 증가, 메타버스 이용자 정보탈취, 대체불가토큰(NFT) 관련 권한 탈취  부정판매 등에 대한위협 대응 중심으로 시나리오 개발하여 추진할 계획이며,

 또한, 기업들이 언제든지 훈련에 참여할  있도록 기업 환경을 고려한 맞춤형 상시 해킹 모의훈련 플랫폼 구축 예정이며, 훈련에 참여한 기업에게는 정보보호 공시* 정보보호를 위한 기업의 활동으로 적시하도록 안내 예정이라고 밝혔다.

   * 안전한 인터넷이용을 위한 정보보호 투자, 인력현황, 관련 인증 등 정보보호 현황 공개(정보보호산업법제13)

참고   21 하반기 정기 모의훈련 분야별 결과

 

< 모의훈련 참기기업(참가자) 연평균 증가추이 >

 

  해킹메일

  o 해킹메일 감염율은 훈련이 거듭할수록 감소하는 것으로 나타남

    * 감염율 : 15.2%(20)  7.6%(21년 상반기)  5.4%(21년 하반기)

   - 또한, 재참여기업 감염율은 3.6% 신규참여기업 감염률(8.0%) 비해 45% 낮게 나타났음

    기업에게 랜섬웨어 사례, 신규 취약점 발견  사이버 위협동향  예방수칙, 복구절차  교육 실시

구분 해킹메일 제목
1(공통) 비밀번호 재설정 요청
2
(기업 맞춤형)
구매발주 : (PO-48021)
코로나19 추가접종(부스터샷) 대상자 안내
Update required  OOOO account on hold (결제정보 업데이트)
[필수] 프로그램 최신 업데이트 요청

 



<해킹메일 훈련결과(종합)> <해킹메일 컨텐츠별>
 

<이전 참여기업과 신규 참여기업 비교> <상반기와 열람율/감염율 비교>

 

 디도스(DDoS)

 o 참여기업 44개사의 보안장비 점검, 신규공격(자원소진. /데이터베이스 부하공격 )

 o 디도스 대응능력은 정보보안 투자에 여력이 있는 대기업이 중견ㆍ중소기업 대비 우수한(탐지 4, 대응 7 단축) 것으로 나타났음

  - 중견중소기업은 디도스 공격유형  로그분석 한계 대응에 미흡

기업 규모 상반기(58) 하반기(44)
기업수 탐지시간 대응시간 기업수() 탐지시간 대응시간
대기업 20 3 19 10 5 16
중견‧중소 기업 38 9 22 34 9 23

 

  디도스 대응장비 성능 점검, 보안담당자 대응력 향상 교육, 원격 보안관제 이용 안내 , KISA 디도스 사이버대피소* 안내 실시

  * 영세‧중소기업을 대상으로 디도스 피해발생 시 공격트래픽을 우회시켜 정상운영 지원

 모의침투

 o 누리집 점검 45개사  40개사에서  취약점 163 발견(상반기 대비 42% 증가), 서버침투 훈련 50개사  32개사 관리권한 탈취로 시스템 장악

 o (홈페이지) 웹셸* 삽입, SQL 인젝션 취약점** 점검, 사이트 아이디/패스워드 검증을 우회하여 부정하게 계정 발급  163 취약점 발견‧조치

  *  웹서버의 게시판 등에 업로드 취약점을 이용 악성파일 삽입 후 관리자 권한 탈취

  ** SQL(DB에 접근요청 질의어)로 해석될 수 있는 입력을 시도하여 DB에 침입 후 정보 탈취

<발견된 홈페이지 주요 취약점 항목 Top 10>

순 번 점검 항목 건 수
1  임의의 스크립트 삽입(Cross Site Scripting) 취약점 40
2  Injection 취약점 33
3  파라미터 변조 및 조작 취약점 19
4  부적절한 에러 처리에 의한 정보노출 취약점 12
5  클라이언트 기반 인증 우회 취약점 10
6  URL 강제 접속 취약점 8
7  불필요한 파일 및 페이지 존재 취약점 7
8  통신 상 중요 정보 노출 취약점 5
9  쿠키 변조 및 조작 취약점 4
10  관리자페이지 노출 취약점 4

 o (서버) 32개사 웹서버  업무용 서버에서 해킹 공격에 악용될  있는 취약점 이용하여 시스템 제어권 장악, 정보 탈취  점검*

   * 기업의 보안 취약점 존재여부 점검하고 추가로 내부 시스템에 침투, 중요정보 탈취 등 공격자 관점에서 실제 해킹과 동일하게 점검

<서버침투 성공한 기업수>

구 분 침투성공 시스템제어권 획득 내부망 침투* 주요정보 탈취**
합계 32 13 17 27

  *  17개 기업은 취약한 와이파이 비밀번호 사용으로 침투 성공

  **  27개 기업은 인증 없는 공유폴더 및 복합기, 웹취약점 공격 등을 이용하여 정보 탈취 성공

  기업의 중요정보 유출방지를 위해 취약점 점검‧제거 방법, 신규 취약점 동향  패치 방법 등을 제공

 

220118 조간 (보도) 21년 하반기 사이버위기 대응 모의훈련 결과_.hwp
0.31MB

댓글을 달아 주세요

행정안전부(장관 전해철) 데이터기반행정활성화위원회(위원장 김미량) 개최하고 중앙행정기관과 지방자치단체 288개 기관 대상으로 실시한 2021 데이터기반행정 실태점검 결과를 심의했다고 밝혔다.

 

데이터기반행정 실태점검은 지난해 시행된 데이터기반행정 활성화에 관한 법률 제22조에 따라 각 기관의 데이터기반행정에 대한 운영현황 전반을 점검하여 정책개선에 반영하고 조기 정착을 유도하고자 올해 처음으로 실시되었다.

 

이번 실태점검은 데이터기반행정 거버넌스, 공동활용 데이터 등록, 데이터 분석·활용, 활용역량 강화 4개 분야에 대해 실시하였으며, 데이터 분석과제 수행과 정책활용, 데이터기반행정 우수사례 발굴 등을 위한 기관의 노력과 성과중점을 두고 평가하였다.

 

또한, 객관적이고 공정한 평가를 위해 데이터 분야를 비롯한 각 분야 민간전문가로 실태점검단(17)을 구성하여 운영하였다.

행정안전부는 이번 실태점검을 통해 행정·공공기관이 데이터에 기반한 행정의 중요성을 인식하고 그 가치에 관심을 갖는 실질적인 계기 마련되었다고 평가하였다.

 

또한, 다수 평가대상 기관코로나19 대응 등 어려운 여건에도 불구하고 거버넌스, 공동활용 데이터 등록, 분석·활용, 활용역량 분야에서 데이터기반행정 수준 향상을 위해 적극 노력했다고 설명했다.

 

2021 데이터기반행정 실태점검 결과종합적으로 보면, 중앙행정기관과 광역자치단체는 데이터기반행정 운영수준이 양호하였으나, 기초자치단체상대적으로 낮은 것으로 나타났다.

* (우수기관 평균) 중앙행정기관 92.86, 광역자치단체 94.26, 기초자치단체 83.29

 

기관유형별로는 중앙행정기관 ‘, ’가 우수했으며, 광역자치단체 기관 대부분이 고르게 양호한 수준인 가운데 가 우수하였다.

* (우수기관 평균) ‘’ 95.90‘, ’ 93.92/ 광역자치단체 ’ 95.28, ‘’ 93.50

 

점검 분야별로 실태점검 결과를 보면, 데이터기반행정에 대한 기관 내 관심·인력·예산 평가하는 거버넌스분야와 기관 구성원의 데이터 활용역량을 평가하는 활용역량분야는 비교적 양호한 것으로 나타났다.

 

공동활용 데이터 발굴·등록·제공 등을 평가하는 데이터 등록 분야 데이터 분석과제 발굴·수행, 정책활용 등을 평가하는 분석·활용는 다른 분야에 비해 기관 간 편차가 큰 것으로 확인되었다.

점검 분야 지표별로 내역을 보다 세부적으로 살펴보면,

 

거버넌스분야에서는 기관 대부분이 책임관 임명, 조직·인력 지정 운영, 예산 반영 등을 충실히 이행하였으나, 외부 협의체 구성·운영 등을 통한 기관 내 분위기 확산 등 다소 미흡한 것으로 나타났으며,

 

- 고용부, 세종시, 충남, 서울 강동구, 인천 미추홀구 등이 기관 내 추진체계 정립지표에서 높은 점수를 받았다.

 

활용역량분야에서 교육 실적 등은 비교적 양호하나, 기관별 데이터기반행정 역량 진단 및 개선계획 수립, 문화 확산 노력 등은 다소 미흡한 것으로 확인되었다.

 

- 다만, 과기부, 법제처, 광주광역시, 통영시 등은 충실하게 활용역량 진단 개선계획을 수립하고 청년인턴 운영, 경진대회, 우수사례 공유 등의 기관 내 데이터기반행정 확산을 위해 적극 노력한 것으로 나타났다.

 

데이터 등록분야에서는 행안부에서 지정한 공동활용 데이터에 대해 기관 대부분이 등록을 이행하였으나, 공동활용 데이터의 자체 발굴·등록 실적은 부족하였다.

 

- 다만, 식약처, 부산시, 경기도 등은 공동활용 데이터 발굴·등록 위해 현황조사, 부서 협의, 대상 발굴 등에 적극 노력하여 등록실적지표에서 우수한 평가를 받았다.

 

분석·활용분야에서는 데이터 분석과제 발굴 및 수행, 정책 활용 우수사례 등에서 기관 간 역량 격차가 커 다른 분야에 비해 기관 간 점수 편차가 큰 것으로 나타났다.

 

- 다만, 해수부, 국토부, 인천시, 충남 금산군, 서울 서초구 등은 데이터 분석을 통해 정책현안 해결을 지원한 사례들이 높이 평가되었다.

행정안전부는 실태점검 결과를 행정안전부 홈페이지 및 공공데이터 포털(www.data.go.kr)에 공개하는 한편, 데이터기반행정 활성화 분위기전 기관에 확산될 수 있도록 우수사례를 전파하고 우수기관에 대한 정부 표창을 수여할 계획이다.

 

이와 함께, 미흡 기관에 대해서는 기관 간 역량 격차 해소를 위해 컨설팅, 데이터 활용역량 교육 수준별 맞춤형 교육을 지원하고, 자료제출 최소화, 기존 평가시스템과의 연계 등으로 피점검기관의 실태점검 부담을 완화하여 데이터기반행정 참여를 적극 유도할 계획이다.

 

아울러, 기관 내 데이터기반행정 분위기 확산을 촉진하기 위해 실태점검 지표 및 절차를 개선하고, 중앙지자체 혁신평가 지표와 연계를 강화하는 등 제도와 절차를 보완해 나갈 예정이다.

 

한창섭 행정안전부 정부혁신조직실장은 데이터기반행정법 시행 이후 처음으로 실시한 이번 실태점검데이터기반행정 전반에 대한 인식을 높이고 데이터 활용 필요성을 확산하는 데 의미가 있었다.”

 

내년에는 데이터 중심의 과학적 행정으로 정책의 실효성을 높이고, 국민들이 피부로 느낄 수 있는 공공서비스를 제공받을 수 있도록 더욱 노력해 나가겠다라고 말했다.

 

 

붙임1
실태점검 개요

점검목적

데이터기반행정 운영 전반에 대한 현황을 점검하고 정책개선에 반영하여 데이터기반행정 조기 정착 유도

 

데이터기반행정법 제22공공기관의 장이 데이터기반행정 실태의 자체 점검 결과 제출 행안부 장관은 점검결과를 종합하여 위원회 심의 후 공개

 

점검개요

(점검대상) 288개 기관(중앙 45, 17, 226)

(대상실적) ’20.12~’21.10까지 기관의 데이터기반행정 운영현황

(기간방법) ‘21.10~ 12(기관 자체점검 : ~10, 점검단* 평가: 11~12)

* 데이터 분야 민간전문가로 구성된 실태점검단(17)에서 평가 및 점수 부여

 

(점검분야 및 지표) 4개 영역 8개 지표

4개 분야 (배점) 8개 점검지표 (배점)
1. 거버넌스 (10) 관리체계(부기관장이상 회의, 조직·인력, 예산, 내외협의체 등) 정립 (10)
2. 등록 (25) 데이터 지정 등록 이행률(10) / 공동활용 데이터 등록제공 (15)
3. 분석·활용 (40) 데이터 분석활용 실적 (20) / 분석활용 우수사례 (20)
4. 역량 (25) 데이터 활용역량 진단 및 개선계획 수립 (10) / 교육 참여 실적 (10) / 데이터기반행정 활성화 문화 조성 (5)

 

(점검결과 등급) 우수(40%), 보통(40%), 미흡(20%)

 

우수기관 점검결과 (종합)

중앙행정기관
(45개 기관 중 18개 기관)
광역자치단체
(17개 기관 중 7개 기관)
기초자치단체
(226개 기관 중 90개 기관)
’ (12) 93.92 ’ (4) 93.50 ’ (30) 83.19
’ (2) 95.90 ’ (3) 95.28 ’ (17) 83.78
’ (4) 88.18 - - ’ (43) 83.16
총점 평균 92.86 총점 평균 94.26 총점 평균 83.29
붙임2
실태점검 우수기관 현황

 

중앙행정기관 (18개 기관)

가나다순

등급 중앙행정기관 (45개 기관 중 18개 기관)
위원회
우수
(18)
고용노동부, 과학기술정보통신부, 교육부,
국방부,
국토교통부, 기획재정부, 농림축산식품부, 법무부,
보건복지부, 해양수산부, 행정안전부,
환경부
(12)
식품의약품안전처, 인사혁신처
(2)
경찰청,
기상청,

산림청,
해양경찰청
(4)
-

 

광역자치단체 (7개 기관)

가나다순

등급 광역자치단체 (17개 기관 중 7개 기관)
우수
(7)
광주광역시,
세종특별자치시,
부산광역시,
인천광역시
(4)
경기도,
충청남도,
경상남도
(3)

 

기초자치단체 (90개 기관)

가나다순

등급 기초자치단체 (226개 기관 중 90개 기관)
우수
(90)
경기 구리시, 경기 군포시,
경기 동두천시, 경기 부천시,
경기 수원시, 경기 시흥시,
경기 안산시, 경기 안양시,
경기 오산시, 경기 의왕시,
경기 의정부시, 경기 이천시,
경기 평택시, 경기 포천시,
경기 하남시, 경기 화성시,
경남 김해시, 경남 양산시,
경남 창원시, 경남 통영시,
전남 광양시, 전남 순천시,
전남 여수시, 전북 군산시,
전북 익산시, 전북 정읍시,
충남 공주시, 충남 당진시,
충남 서산시, 충남 천안시
(30)
강원 인제군, 강원 횡성군,
경기 연천군, 경남 고성군,
경남 의령군, 경남 합천군,
경북 영덕군, 인천 강화군,
전남 곡성군, 전남 보성군,
전남 화순군, 충남 금산군,
충남 부여군, 충남 태안군,
충남 홍성군, 충북 괴산군,
충북 음성군
(17)
광주 광산구, 광주 북구,
광주 서구, 대구 남구,
대구 달서구, 대구 동구,
대구 북구, 대구 서구,
대구 수성구, 대전 대덕구,
대전 서구, 부산 강서구,
부산 금정구, 부산 남구,
부산 동래구, 부산 부산진구, 부산 북구, 부산 사상구,
부산 서구, 부산 수영구,
부산 연제구, 부산 중구,
서울 강남구, 서울 강동구,
서울 강북구, 서울 강서구,
서울 광진구, 서울 구로구,
서울 동대문구, 서울 동작구, 서울 서초구, 서울 양천구,
서울 용산구, 서울 은평구,
서울 중랑구, 울산 북구,
울산 중구, 인천 계양구,
인천 남동구, 인천 동구,
인천 미추홀구, 인천 서구,
인천 연수구
(43)
붙임3
실태점검 관련 데이터 분석·활용 우수사례

 

구분 주요 내용
중앙 해양수산부



- (내용) 어선 조업 영상자료, 어종 인식 학습데이터 등을 분석하여 실시간 어종 판별 및 카운팅 모델 개발
어종, 어획량, 불법 어업 여부 등 조업상황을 자동으로 분석
- (성과) 어획량 허위 보고 등 정확도가 떨어지는 어업인의 조업보고에 의존하고 있는 현행 어업자원관리체계를 AI 기반 실시간·자동화로 전환하여 어획 통계 확보와 불법·비보고 어업 감시체계 마련
인사혁신처



- (내용) 국가인재DB경력특성, 상세전공, 논문 등을 분석, 인물별 적합한 전문분야를 도출하여 지능형 인재 추천 서비스 제공
- (성과) 데이터기반 직위수준별 인재구분·관리 서비스 제공
공무원, 대학교수, 공공기관임원, 민간회사 등 다양한 직위, 직급체계에서 인물별 상당 등급을 최적으로 분류하여 추천
식품의약품
안전처




- (내용) 의약품 생산·수입 정보 및 공급사용 정보 등을 수집분석하여 공급중단 예측 모델 수립 및 모니터링 시스템 구축
- (성과) 의약품 공급중단부족 시 신속한 선제 대응으로 의약품 품절 등 의료 공백이 없도록 안정적 치료 기회 보장
광역 인천광역시



- (내용) 112신고, 경찰서 관할구역, 1인 가구 정보, 유동인구 데이터 등을 분석하여 야간 범죄 위험지역을 예측할 수 있는 시스템 구축
- (성과) 지자체와 경찰이 협업하여 범죄예방 대상지역 선정 자료 활용, 순찰 추천코스 지정 등 경찰의 범죄예방 활동에 기여
경상남도



- (내용) 경남사랑상품권 구매결제내역 데이터를 분석하여 주요 부정유통 의심 사례 모니터링 프로그램 개발
- (성과) 부정유통 의심거래 대상을 신속·정확하게 추출하여 제로페이 부정유통 단속 업무의 효율적인 지원
기초 서울특별시
서초구




- (내용) 관내 108개소 미세먼지 측정기 데이터 및 국내외 기상 데이터 등을 활용하여 미세먼지 예측모형 구축, 발생량 시각화
- (성과) 도로 재비산먼지가 높은 지역에 저감장치(서리풀 숨터) 2개소 설치, 대기환경 예경보시스템 개발에 활용
전라남도
곡성군




- (내용) 곡성군 산림의 경영목표 및 기능 관리를 위해 숲가꾸기 등 산림조성 사업 대상지 식생주종 자료 Data 구축 및 수종분포 분석
- (성과) 2022년 숲가꾸기 추진사업(산불예방숲가꾸기 등)대상지 선정에 반영(오곡면, 석곡면, 목사동면, 죽곡면)
경기도
오산시




- (내용) 의료복지시설, 노인복지관, 경로당, 지역재활시설 위치기반 분석을 통한 복지시설 입지 선정 지도작성 및 수요 도출
- (성과) 향후 오산시 노인복지 시설 설치지역 결정 시 활용, 노인의료시설(장기요양기관) 지정 시 전문성 있는 시설 확충
대전광역시
서구




- (내용) 대전 서구 도심지 주차난 해소를 위한 민간 부설주차장 공유개방 예정지 분석, 주차난 지역 단속 스케줄링 마련
- (성과) 주차장 개방 가능한 민간, 공공기관 부설주차장 분석 및 거주자 우선주차제와 연계한 주차장 공유지도지역주민 제공
경상남도
창원시




- (내용) 지자체에서 발행하는 지역사랑 상품권의 부정사용 예방을 위해 빅데이터 분석·활용을 통한 가맹점 전수조사 실시
- (성과) 부정유통·불법환전 의심지 조사를 통한 부당이득 환수·가맹점 취소·상품권 구입 제한 조치 및 과태료 부과(17개소)
 

댓글을 달아 주세요