모의훈련 및 시나리오 기반 대응훈련은 어느 주기로, 어떤 기관이 주관해야 하는가?

FAQ: 모의훈련 및 시나리오 기반 대응훈련 운영

Q1. 모의훈련과 시나리오 기반 대응훈련이란 무엇인가?
A1.
1) 모의훈련(Drill)
- 특정 위기 상황(화재, 정전, 화학물질 누출 등)을 짧은 시간·제한된 범위 내에서 반복 연습하여 절차·장비·인력 대응능력을 점검
2) 시나리오 기반 대응훈련(Exercise)
- 실제 발생 가능한 복합 위기 시나리오를 설정하고 전 부문(조직·시설·유관기관)이 참여해 종합 대응능력을 종합 점검·개선

Q2. 관련 법령·지침에 따른 훈련 주기는 어떻게 되는가?
A2.
1) 국가·공공기관
- 행정안전부 훈령 ‘긴급구조 종합훈련 지침’
• 모의훈련: 연 1회 이상
• 종합훈련(시나리오 기반): 격년 또는 연 1회(위험도·중요도 고려)
- 소방청 ‘화재대응 훈련 지침’
• 자체 소방훈련(모의훈련) : 분기별 1회
• 합동 종합훈련 : 연 1회
2) 지방자치단체
- 지자체 조례·훈령에 따르며, 일반적으로
• 모의훈련: 분기별 1회
• 종합훈련: 연 1회
3) 민간기업·공공시설
- 산업통상자원부·중소벤처기업부 권고
• 모의훈련: 분기별 또는 반기별 1회
• 시나리오 기반 훈련: 연 1회 이상
- 국제표준 ISO 22301(BCM) 적용 시
• 연 1회 이상 종합훈련 권고

Q3. 훈련은 어떤 기관이 주관해야 하는가? A3.
1) 국가 차원
- 국무조정실·행정안전부: 전국 단위 종합훈련 기획·관리
- 소방청·경찰청·국방부 등: 분야별·유형별 세부훈련 주관
2) 지방자치단체
- 시장·군수·구청장: 지역재난 종합훈련 주관
- 소방·안전·보건 담당 부서: 실무 추진
3) 공공기관 및 공기업
- 기관장(이사장) 주관, 안전관리 책임부서에서 계획·진행
- 유관 부처·지자체·소방서와 협업
4) 민간기업·산업시설
- 경영진(CEO) 주관 아래 안전·보안 책임부서 주관
- 화학물질관리센터, 산업안전보건공단 등 전문기관과 공동 주관 가능
5) 사이버·정보보호 훈련
- 과학기술정보통신부·KISA: 국가 사이버 위기훈련 주관
- 각 기관·기업 정보보호 책임자 주관하에 내부 보안팀 주관

Q4. 주관기관 선정 시 고려사항은 무엇인가?
A4.
1) 역할·권한 명확성: 위기 종류별(소방·경찰·보건·사이버 등) 책임 주관기관 지정
2) 전문성·자원 보유 여부: 시나리오 작성·평가·장비 운용 역량
3) 유관기관 협업체계: 중앙-지자체, 공공-민간, 분야 간 연계성

Q5. 훈련 결과의 평가 및 후속조치는 어떻게 이루어져야 하는가?
A5.
1) 평가위원회 구성: 주관기관·유관기관·전문가 포함
2) 평가보고서 작성: 합격·미흡 사항, 개선권고안 명시
3) 개선계획 수립 및 이행: 차기 훈련 시 개선사항 반영
4) 이행실적 점검: 내부·외부 감사 또는 관계기관 검증

※ 위 주기 및 주관기관 기준은 주요 법령·지침과 국제표준을 종합한 권고사항입니다. 각 조직은 위험도·업무 특성·법적 요구사항에 따라 상세 계획을 수립·운영해야 합니다.

모의훈련(테이블탑·워크스루 형태)과 시나리오 기반 대응훈련은 정보보호·비상대응 역량을 유지·강화하기 위해 반드시 정기적으로 실시해야 하는 핵심 활동입니다.

보안관리체계(ISMS), 공공기관 위기관리 규정, 또는 주요 기반시설 보호법에서 권고하는 일반적인 주기와 주관 기관·담당 부서를 아래와 같이 정리해 드립니다.

1. 모의훈련 주기 및 주관 • 주기 – 최소 연 1회 실시를 원칙으로 삼습니다.

특히 내부 절차나 시스템에 대규모 업그레이드·변경이 발생할 때마다 추가 훈련을 권장합니다.

– 권고 수준으로는 연 2회(상반기·하반기) 스케줄을 잡아두면, 신·구 인력 모두 훈련 경험을 고루 쌓을 수 있습니다.

• 주관 기관(부서) – 민간기업 · 정보보호최고책임자(CISO) 또는 정보보호실(Security Operations Center)이 총괄 기획·운영합니다.

· 실제 훈련 실행은 보안운영팀·네트워크팀·시스템팀 등으로 구성된 ‘비상대응팀(CERT·CSIRT)’이 담당합니다.

· 결과보고와 개선계획 승인은 최고경영진(CEO·CIO) 또는 정보보호위원회에서 이뤄집니다.

– 공공기관 · 행정안전부 산하 국가위기관리센터(NDCC) 또는 각 부처 위기관리 담당관실에서 기본 지침을 내려주고, · 각 기관별 위기관리실·정보보호담당관이 모의훈련 계획을 수립·집행합니다.

– 주요 기반시설사업자(전력·통신·교통 등) · 해당 분야 주무부처(예: 산업통상자원부·과학기술정보통신부·국토교통부)가 훈련 지침을 제·개정하고, · 사업자 산하 비상운영본부나 ‘공급망 사이버위기대응팀’이 주관합니다.

· 필요시 한국인터넷진흥원(KISA)이나 한국전력공사, 철도공사 등 전문기관이 컨설팅·지원 역할을 맡습니다.



2. 시나리오 기반 대응훈련 주기 및 주관 • 주기 – 최소 연 1회, 권장 연 1~2회 실시합니다.

– 사이버·물리적 위협 환경이 급변할 때(신규 공격기법, 법규 개정, 국제정세 변화 등)는 별도 추가훈련을 설계해야 합니다.

• 주관 기관(부서) – 민간기업 · 모의훈련과 동일하게 CISO가 총괄하되, 실제 시나리오 작성·평가·운영은 CSIRT가 수행합니다.

· 필요 시 외부 보안컨설팅 전문기관·모의해킹업체를 참여시켜 객관성을 확보합니다.

– 공공기관 · 행안부·국가정보원 산하 국가사이버안보센터(NCSC)가 범부처 훈련 시나리오를 개발·공유하고, · 각 기관 정보화관리담당관이 현장 훈련을 주관합니다.

– 주요 기반시설사업자 · 과기정통부·KISA가 산업 전반 시나리오(랜섬웨어 확산, DDoS·공급망 공격 등)를 배포하고, · 분야별 ‘CERT·CSIRT’ 또는 비상대응본부가 자체적인 세부 시나리오(발전소 제어망 이상, 열차 신호 지연 등)를 더해 훈련합니다.



3. 공통 이행 절차와 보고 • 훈련계획 수립 → 시나리오·시나리오 검증 → 예행연습(테이블탑) → 실전형 훈련(워크스루·풀스케일) → 사후분석(After Action Review) → 경영진 보고 및 개선활동 • 모든 훈련 결과는 정량·정성 지표(대응시간, 복구시간, 절차 준수 여부 등)로 측정하여, 차기 일정 때 반드시 보완·개선·재검증을 수행해야 합니다.

• 정부·주무부처 산하의 감독기관(KISA·행안부·NCSC·주무부처 위원회 등)에는 훈련 결과를 연 1회 이상 공식 보고하며, 필요시 현장 실사를 받습니다.

모의훈련과 시나리오 기반 대응훈련 모두 최소 연 1회 이상 정기적으로 시행하되, 권고사항으로는 연 2회 실시, 시스템·절차 변경 시 수시 보강 훈련을 실시해야 합니다.

민간기업은 CISO·CSIRT가, 공공기관은 행안부·NCSC·주무부처 위기관리 담당부서가, 주요 기반시설 사업자는 해당 분야 주무부처와 연계된 비상대응 조직이 주관하며, 한국인터넷진흥원 등 전문기관의 자문·지원을 받아 실시하는 체계를 갖추는 것이 바람직합니다.