SK 보안관제센터 'u-Cert'에 가다

사회적으로 IT시스템 보안에 대한 관심이 커지고 있다. 공공 및 기업에 대한 해킹사고가 이어지고 있기 때문이다. 이러한 가운데 고객의 시스템과 서비스를 지켜내는 보안관제의 역할도 강조되고 있다. 특히 지난해 정부가 공공기관 대상 12개 보안관제 전문업체를 지정하면서 관련 시장이 활성화될 것으로 전망된다.

지난 17일 기자는 SK C&C의 보안 전문 자회사인 SK인포섹이 운영하는 보안관제 센터 'u-Cert'를 찾아갔다. 경기도 성남시 분당에 위치한 이 센터는 우리나라의 주요 공공기관과 금융기관, 기업을 포함한 1천여 고객의 보안을 24시간 감시하고 있다.

u-Cert는 SK C&C 본사인 SK u-타워 5층에 자리잡고 있다. 보안관제 센터인 만큼 건물 보안에 있어서도 철저했다. 곳곳에 CCTV가 배치돼 있었고, 센터 내부 출입은 내부 직원이라해도 별도의 허가 없이 접근이 불가능하다는 설명이다.

u-Cert로 들어가는 첫 번째 철문이 열리고, 다시 센터로 들어가는 두 번째 문이 열리자 정면을 가득 채운 화면이 한 눈에 들어왔다.

u-Cert를 책임지고 있는 관제사업본부 손영우 팀장은 u-Cert는 웹 기반의 실시간 통합관제 시스템으로 이곳의 화면들을 통해 고객사 시스템과 네트워크의 현재 보안 상황을 한 눈에 파악할 수 있다고 설명했다.

그는 이어 고객사의 모든 보안장비들을 통제하고 관리해 보다 효과적인 공격탐지가 가능하다고 말했다.

■이상 징후 사전 파악...전문가들 24시간 대기

이곳에서 365일 24시간 3교대 운영체제를 유지하며 근무하는 직원들은 수십 여명으로, 이들 모두 SK 인포섹이 자랑하는 분야별 전문가들이다. 이들은 침입탐지를 포함한 해킹 전문가와 시스템 및 네트워크 전문가 등으로 구성돼 있다.

손 팀장의 설명을 듣는 중에 센터의 중앙 화면의 창에 빨간색으로 경고가 떴다. 고객사 시스템에 일부 이상징후가 발견된 것이다.

보안관제센터(u-Cert)는 고객사의 시스템에 대한 공격이 발생할 경우, 사전에 임계치가 설정된 중요 시스템의 CPU와 메모리, 트래픽 유입량 등의 이상 징후를 바로 확인할 수 있게 지원한다. 실제 공격이 발생할 경우 어느 시스템에서 피해를 입었는지에 대한 탐지가 바로 가능한 것.

u-Cert 요원들은 즉시 원격에서 고객사 침입차단시스템의 접근통제 규칙을 재설정하며 외부의 유해 트래픽 차단에 나서는 한편, 고객사와 SK인포섹 보안전문가들에게 경보를 발령했다. 발 빠른 트래픽 차단 덕분인지 더 이상의 시스템 공격 징후는 보이지 않았다.

기존의 일반적인 정보보호시스템은 침해유형에 대처하기 위한 침입차단 시스템(방화벽), 침입 방지 시스템(IPS), 유해 트래픽 분석 시스템(TMS), 분산서비스거부(DDoS) 전용 장비 등을 이용해 보안 체계를 구축해왔다.

그러나 이러한 개별 보안 시스템만으로는 점차 지능화 되는 보안 공격 대응에 한계가 있을 수 밖에 없다. DDoS 공격의 경우도 과거 단순한 패킷 형태의 과도한 요청을 보내는 공격에서 벗어나 정상적인 요청 및 응답을 지속적으로 수행해 기존의 비정상적인 요청을 구분하는 방어 기법을 무력화시키고 있다.

손영우 팀장은 최근의 DDoS 공격은 기존에 보안의 목적으로 설정한 트래픽의 한계치에 근접한 수준으로 정상적인 요청 및 응답을 보내서 결과적으로 보안 담당자가 네트웍과 시스템의 문제점을 인식치 못하게 한다고 말했다.