[박춘식 교수의 보안이야기] 일본 NISC에서는 2011년 5월, 전 부처 및 지방자치제가 정보시큐리티 대책 추진회의에 있어서 훈련 실시를 제안하였으며 12개 정부 기관이 참가를 표명하였다.
 
그래서 NISC는 2011년 10월부터 12월까지 사이버 공격 훈련을 실시하였다. 훈련 결과의 상세한 내용을 2012년 2월에 밝혔다.
 
대상은 내각관방 등 12개 정부 기관의 직원 6만명. 목적은 표적형 공격에 대한 이해를 구하고, 피해를 입지 않도록 하는 것이다.
 
훈련에서는 표적형 공격에 관한 교육을 실시한 다음에 공격을 모의로 한 메일을 송신하고 피해를 회피할 수 있는지 어떤 지를 조사했다.
 
그 결과, 10%의 직원이 메일에 첨부된 모의 바이러스를 열었다고 한다. 훈련에 참가한 조직명은 공표하지 않았다.
 
훈련 참가의 유무로 그 조직의 시큐리티 의식이 판단되는 것을 막고 싶기 때문이다. 훈련에 불참하여도 자주적인 대책을 하고 있는 조직이 있다.
 
훈련에 참가하는 직원은 각 조직이 각자 결정하였다. 참가자는 당초 5만명이었지만 최종적으로 약 6만명으로 증가했다. 이러한 규모를 대상으로 한 사이버 공격 훈련은 일본 국내에서는 사례가 없는 것이다라고 NISC 관계자는 전했다. (PC online. 2012.05.01)
[박춘식 서울여자대학교 정보보호학과 교수]