수정하기 - 모의훈련 및 시나리오 기반 대응훈련은 어느 주기로, 어떤 기관이 주관해야 하는가?

닉네임

비밀번호

제목

내용 [이미지 업로드는 권한이 있는 사람만 가능. 하단 카톡으로 연락]

모의훈련(테이블탑·워크스루 형태)과 시나리오 기반 대응훈련은 정보보호·비상대응 역량을 유지·강화하기 위해 반드시 정기적으로 실시해야 하는 핵심 활동입니다. 보안관리체계(ISMS), 공공<a href='https://sangseek.com/sangseeks/기관 위기/ko'>기관 위기</a>관리 규정, 또는 주요 기반시설 보호법에서 권고하는 일반적인 주기와 주관 기관·담당 부서를 아래와 같이 정리해 드립니다.    1. 모의훈련 주기 및 주관       • 주기         – 최소 연 1회 실시를 원칙으로 삼습니다. 특히 내부 절차나 시스템에 대규모 업그레이드·변경이 발생할 때마다 추가 훈련을 권장합니다.         – 권고 수준으로는 연 2회(상반기·하반기) 스케줄을 잡아두면, 신·구 인력 모두 훈련 경험을 고루 쌓을 수 있습니다.       • 주관 기관(부서)         – 민간기업           · 정보보호최고책임자(CISO) 또는 정보보<a href='https://sangseek.com/sangseeks/호실/ko'>호실</a>(Security Operations Center)이 총괄 기획·운영합니다.           · 실제 훈련 실행은 보안운영팀·네트워크팀·시스템팀 등으로 구성된 ‘비상대응팀(CERT·CSIRT)’이 담당합니다.           · 결과보고와 개선계획 승인은 최고경영진(CEO·CIO) 또는 정보보호위원회에서 이뤄집니다.         – 공공기관           · 행정안전부 산하 국가위기관리센터(NDCC) 또는 각 부처 위기관리 담당관실에서 기본 지침을 내려주고,           · 각 기관별 위기관리실·정보보호담당관이 모의훈련 계획을 수립·집행합니다.         – 주요 기반시설사업자(전력·통신·교통 등)           · 해당 분야 주무부처(예: 산업통상자원부·과학기술정보통신부·국토교통부)가 훈련 지침을 제·개정하고,           · 사업자 산하 비상운영본부나 ‘공급망 사이버위기대응팀’이 주관합니다.           · 필요시 한국인터넷진흥원(KISA)이나 한국전력공사, 철도공사 등 전문기관이 컨설팅·지원 역할을 맡습니다.    2. 시나리오 기반 대응훈련 주기 및 주관       • 주기         – 최소 연 1회, 권장 연 1~2회 실시합니다.         – 사이버·물리적 위협 환경이 급변할 때(신규 공격기법, 법규 개정, 국제정세 변화 등)는 별도 추가훈련을 설계해야 합니다.       • 주관 기관(부서)         – 민간기업           · 모의훈련과 동일하게 CISO가 총괄하되, 실제 시나리오 작성·평가·운영은 CSIRT가 수행합니다.           · 필요 시 외부 보안컨설팅 전문기관·모의해킹업체를 참여시켜 객관성을 확보합니다.         – 공공기관           · 행안부·국가정보원 산하 국가사이버안보센터(NCSC)가 범부처 훈련 시나리오를 개발·공유하고,           · 각 기관 정보화관리담당관이 현장 훈련을 주관합니다.         – 주요 기반시설사업자           · 과기정통부·KISA가 산업 전반 시나리오(랜섬웨어 확산, DDoS·공급망 공격 등)를 배포하고,           · 분야별 ‘CERT·CSIRT’ 또는 비상대응본부가 자체적인 세부 시나리오(발전소 제어망 이상, 열차 <a href='https://sangseek.com/sangseeks/신호 지연/ko'>신호 지연</a> 등)를 더해 훈련합니다.    3. 공통 이행 절차와 보고       • 훈련계획 수립 → 시나리오·시나리오 검증 → 예행연습(테이블탑) → 실전형 훈련(워크스루·풀스케일) → 사후분석(After Action Review) → 경영진 보고 및 개선활동       • 모든 훈련 결과는 정량·정성 지표(대응시간, 복구시간, 절차 준수 여부 등)로 측정하여, 차기 일정 때 반드시 보완·개선·재검증을 수행해야 합니다.       • 정부·주무부처 산하의 감독기관(KISA·행안부·NCSC·주무부처 위원회 등)에는 훈련 결과를 연 1회 이상 공식 보고하며, 필요시 현장 실사를 받습니다.    요약하자면, 모의훈련과 시나리오 기반 대응훈련 모두 최소 연 1회 이상 정기적으로 시행하되, 권고사항으로는 연 2회 실시, 시스템·절차 변경 시 수시 보강 훈련을 실시해야 합니다. 민간기업은 CISO·CSIRT가, 공공기관은 행안부·NCSC·주무부처 위기관리 담당부서가, 주요 기반시설 사업자는 해당 분야 주무부처와 연계된 비상대응 조직이 주관하며, 한국인터넷진흥원 등 전문기관의 자문·지원을 받아 실시하는 체계를 갖추는 것이 바람직합니다.