“A기업에서 개발한 차세대 소프트웨어(SW)를 해커가 탈취했다.”
컴퓨터가 수십대 배치된 사이버훈련장에는 키보드, 마우스 클릭 등 백색 소음만 가득했다. 4개 팀으로 구성된 침해사고 대응 훈련 참가자들은 사고가 발생하자 모두 원인 분석에 들어갔다. 해커가 이용한 탈취 경로는 어디인지 로그를 분석하고 증거를 찾아냈다. 침해사고 대응 훈련팀원에게 주어진 것은 공격 상황과 컴퓨터뿐이다. 수십~수백억원 규모 피해를 발생시키는 해커 공격을 막아내는 것은 모두 이들 손에 달렸다.
한국인터넷진흥원(KISA) 판교 정보보호클러스터 실전형 사이버훈련장에 모인 훈련참가자 20여명은 10일부터 오는 14일까지 닷새 일정의 실전 사이버 공격 대비 훈련에 들어갔다. 실제를 가정한 시나리오 훈련이지만 6개 훈련룸에 모인 교육생들 눈빛은 실전을 방불케 했다.
교육장 중앙 관람실 대형 스크린에는 팀별 진행 상황이 실시간 오갔지만 교육을 이끄는 강사도, 시간별로 짠 프로그램도 없다. 문제를 스스로 해결하기 위해 고민하고, 대화를 통해 하나씩 해결하며 발전한다.
침해사고 대응 훈련은 시나리오에 따라 닷새 동안 프로그램을 진행한다. 시나리오는 국내에서 발생한 워너크라이 사용 취약점, 3·20사이버 테러 등 침해사고를 각색해 별도 제작했다. 참가 대상은 사전 역량 테스트를 진행, 올해 초에 선발했다.
훈련 참가자들은 팀별로 사흘 동안 침해사고 사건 증거를 수집하고 분석, 사건을 규명한다. 3일차에 보고서 중심으로 발표, 정보를 공유한다.
구본민 한국인터넷진흥원 보안교육기획팀 선임연구원은 “훈련 참가자는 어떻게 침입 근거를 찾고 분석했는지 발표하지만 누구도 정답을 알려주지 않고 스스로 공부한다”면서 “시나리오를 개발한 멘토가 팀별 진척 상황을 확인해 지연 등 진도 상황에 따라 '원포인트' 레슨을 제공, 추가 역량 강화에 나선다”고 말했다.
사흘 일정의 침해대응 훈련을 마친 교육 참가자들은 남은 이틀 동안 해커로 변신한다. 자신이 방어한 상황과 동일하게 공격자가 돼 해커 공격 루트, 의도 등을 실습한다. 상대를 알고 나를 알면 백 번 싸워도 위태롭지 않다는 손자병법 고언이 사이버전에도 유효했다.
훈련에 참가한 공수현 A보안기업분석팀 대리는 “사이버 보안 현장에서 침해사고를 경험할 확률은 일 년에 한 번도 되지 않는다”면서 “실전에서 강사가 해커를 어떻게 찾아야 하는지 알려주지 않는 것처럼 훈련 상황도 실제와 구별되지 않을 정도로 짜임새가 있어서 실전에 대비, 자신감을 갖게 됐다”고 말했다.
고동민 B금융관계사 보안네트워크팀 대리는 “현업에서는 침해사고 발생 시 장비에 의존하는 경우가 많아 원인 분석에 한계가 있다”면서 “처음 접해 보는 침해사고 상황에 대응하며 내 옆에 앉은 사람, 훈련하는 사람과 대화하는 등 스스로 발전할 수 있는 기회가 됐다”고 의미를 부여했다.
실전형 사이버 훈련장은 미국 국립사이버훈련장(NCR), 이스라엘 '사이버짐' 등을 벤치마킹해 지난해 구축했다. 실제와 유사한 가상 사이버 환경을 꾸며서 실전 같은 사이버 침해 대응 훈련을 한다.
KISA는 지난해 시범 운영에 이어 올해 공공·민간 대상으로 확대 운영에 들어갔다. 침해사고 현장 경험이 어려운 것에 착안, 실전형 훈련 프로그램을 만들었다.
한국인터넷진흥원 관계자는 “올해 추가경정예산을 편성, 훈련 배출 인원을 250명에서 350명으로 늘렸다”면서 “내년에도 올해와 마찬가지로 350여명 대상 훈련 프로그램을 제공하는 등 고급정보보호 인력을 양성할 계획”이라고 말했다.
정영일기자 jung01@etnews.com