earticle

영어

Amid the growing frequency of cyber incidents targeting telecommunications providers, financial institutions, and e-commerce platforms, cyber crisis response simulation training has emerged as an indispensable mechanism for organizational risk management. The Korea Internet & Security Agency (KISA) has conducted regular and ad hoc simulation exercises based on realistic scenarios such as phishing emails and distributed denial-of-service (DDoS) attacks, subsequently providing the outcomes to participating organizations to support the enhancement of their cybersecurity resilience. This study proposes a newly established evaluation model that incorporates performance indicators capable of measuring the degree to which training objectives are achieved at each stage of the exercise. Furthermore, the model integrates diagnostic results pertaining to organizational security maturity, thereby addressing both human factors in security and broader risk management competencies. The proposed evaluation framework is anticipated to be adopted by enterprises undertaking simulation exercises, enabling them to elevate the quality of training, remediate identified vulnerabilities, and ultimately contribute to strengthening the overall cybersecurity posture of domestic industries.

한국어

통신사, 금융사, 쇼핑몰 등 사이버 침해사고가 급증하고 있는 상황에서 사이버 위기대응 모의훈련은 각 개별 기업, 기관들 이 필수적으로 진행해야 하는 위기관리 수단이 되고 있다. 한국인터넷진흥원에서는 해킹메일, DDoS 공격 등 실제 발생가능한 사이버 위기대응 모의훈련을 매년 정기, 수시로 수행하고 있으며, 이러한 훈련 결과를 기업들에게 제공하여 기업들의 보안역 량 강화에 기여하고 있다. 이번에 평가모델을 새로 정립하면서 각 훈련 단계별로 훈련 목적 달성여부를 측정할 수 있는 평가 지표를 개발하고, 기업의 보안수준을 높이기 위한 진단 결과를 평가지표에 추가하여 보안인적요소와 위험관리 수준을 높이기 위한 평가모델을 개발하였다. 이러한 평가모델이 모의훈련을 수행하는 기업에 활용되어 훈련 수준을 높이고, 취약점 진단 결 과 개선을 도모하도록 함으로써 국내 기업들의 보안수준을 제고하는데 도움이 되기를 기대한다.