이 시각 주요 뉴스

여백

KISA 종합상황실, 보안 최전선에서 사이버 공격을 방어한다

맞춤형 대응 프로세스로 침해사고 대응 이승윤 기자l승인2018.08.07 18:33:40l수정2018.08.08 08:50

크게

작게

메일

인쇄

신고

[CCTV뉴스=이승윤 기자] 올해 6월 가상화폐 거래소 ‘빗썸’에 해킹공격으로 350억원의 피해가 발생했다. 이번 해킹사고는 금전적인 손실과 함께 입·출금 서비스가 중지돼 ‘빗썸’을 통해 가상화폐를 거래하고 있던 사용자들이 큰 불편을 겪었다. 최근 ‘빗썸’ 해킹 사고와 같은 보안 침해사고가 많이 발생하고 있다. 이런 보안 침해사고는 발생하기 전에 사전에 공격을 감지해 선제적 대응이 중요하다. 한국인터넷진흥원(KISA) 침해대응본부에서는 침해사고에 선제적 대응하기 위해 종합 상황실을 운영하고 있다. 종합상황실은 현재 16명의 보안 관제 전문인력이 2교대 방식을 통해 24시간 사이버보안위협과 침해사고에 대응하고 있다. 그렇다면 종합상황실은 어떤 방법을 통해 침해사고를 감지하고 있을까? 실제 종합상황실을 찾아 침해사고 감시와 대응방법에 대해 알아보았다.

▲ KISA 침해대응본부 종합상황실

국내 공공기관의 사이버 보안위협 모니터링 및 침해사고 대응과 민간분야의 보안 침해사고 대응하기 위해 마련된 KISA 사이버 침해대응본부 종합상황실은 2010년 12월에 개소해 현재 KISA 서울분원에서 사이버 공격에 대한 모니터링과 침해사고 대응 등 전반적인 보안에 대한 총괄업무를 수행하고 있다.

송파구 KISA 서울 분원 5층에 위치한 종합상황실은 보안 관제라는 업무 특성 상 출입통제가 엄격하다. 실제 종합상황실은 보안관제 요원들만 출입이 가능하며, 특수한 상황을 제외하고 침해대응센터 관계자들도 상황실 출입이 어렵다. 종합상황실에 내부 상황은 침해사고 대응 등 다양한 보안 업무를 수행하고 있어 바쁘고 분주할 것이라고 생각했던 것과는 다르게 조용했다. 보안관제요원들은 보안 상황에 대해 보고하는 움직임 이외에는 각자 자리에서 모니터를 통해 보안침해 상황을 체크하고 있었다.

보안관제요원이 모니터를 통해 보안침해 상황을 체크하고 있다

종합상황실에서 가장 눈길을 끈 것은 중앙에 위치한 한눈에 보기에도 거대한 대형 모니터를 통해 송출되는 보안 침해 현황에 대한 내용이었다. 화면에서는 악성코드 유포 사이트 현황, DDoS 공격 현황, 악성사이트 차단 현황 등 총 3개의 영상이 표시되고 있었다. 특히 DDoS 공격 현황의 경우 전 세계의 DDoS 공격 시작 지점을 표시해주고 있어 한눈에 DDoS 공격에 대해 파악할 수 있다.

MFC 시스템과 협력을 통해 침해사고 대응

KISA 사이버침해대응본부 종합상황실은 인터넷 이상 징후 및 사이버 위협 탐지를 위해 신종 악성코드 및 보안 취약점 모니터링, 국내 통신사 등 인터넷 서비스 제공자의 트래픽 소통 상태를 지속적으로 점검하고 있다. 그리고 주요 웹사이트 및 DNS의 접속 상태, 홈페이지 위변조 등을 모니터링하면서 보안 침해사고를 대비하고 있다. 특히 KISA에서 개발한 ‘악성코드 은닉사이트 탐지 시스템(Malicious Code Finder 이하 MCF)’는 국내 340만개 웹사이트를 실시간 점검해서 악성코드가 유포되고 있는지를 실시간으로 파악 할 수 있는 기능을 제공한다.

종합상황실은 직접 보안 관제를 통해 침해 사고에 대한 대응과 함께 KISA에서 운영하는 보호나라 홈페이지와 118사이버민원센터를 통해 침해사고가 발생한 기업으로부터 신고를 받아서 도 대응하고 있다. 신고 접수된 기업에게는 피해 예방 및 확산 방지를 위해 피해기관 또는 기업에 사고 원인분석과 조치를 위한 기술지원을 하고 있으며, 침해사고 관련 도메인 및 IP를 통신사와 공조해 차단을 실시하고 있다.

이와 함께 종합상황실에서는 사이버 침해사고에 대해 신속한 대응과 사전예방을 위해 민간 및 주요기관과 협력하고 있다. 현재 악성코드 등 사이버위협정보 분석을 위해 안랩 등 국내 보안업체와 협력하고 있다.

KISA 정보협력 관계 네트워크 지도

또한, 세계적으로 발생하고 있는 악성코드 및 취약점 정보 공유를 위해 아태지역침해사고대응팀협의회(APCERT), 국제 컴퓨터 침해사고 대응협의회(FIRST) 등의 국제기구와 정보를 공유하고 있으며 신속한 악성사이트 차단을 위해 KT, LGU+, SKB 등 국내 인터넷서비스제공자와 협력해 침해사고에대응하고 있다.

악성코드와 DDoS 공격 지속적으로 발생…맞춤형 프로세스로 침해사고 대응

KISA 사이버침해대응본부 종합상황실에서 발견되는 사이버 공격 모니터링 결과 악성코드와 DDoS 공격이 주로 나타나고 있다. 상황관제팀 배승권 팀장에 의하면 종합상황실의 발견되는 사이버 공격 중 침해사고의 원인이 되는 악성코드 유포와 취약점은 꾸준히 발견되고 있다.

2017년 발생한 악성코드 유형별 현황 출처 : KISA

최근 상황실에서는 기존의 발견되는 사이버공격과 함께 가상화폐 거래소를 노린 공격과 암호 화폐 채굴 악성코드 유포, 이메일과 보안이 취약한 웹사이트를 통한 랜섬웨어 공격, IoT 기기를 노리는 악성코드 공격 협력 업체를 통해 공격 대상 기관으로 침입하는 공급망 공격 등이 나타나고 있다.

KISA 침해사고 대응 프로세스 출처 : KISA

KISA 침해대응본부와 종합 상황실은 발생하는 사이버공격위협과 침해사고 유형에 따라 맞춤별 프로세스를 통해 대응하고 있다. 우선 DDoS 공격 발생 시 서비스 정상화를 위해 트래픽을 차단한다. 차단 후 실제 트래픽을 발생시킨 감염 단말에 접근해 악성코드를 추출, 분석을 하고 공격자의 명령조정서버를 탐지해 차단한다. 서버 차단까지 이뤄지면 국내 통신사와 공동 운영하고 있는 사이버 치료 체계를 통해 감염 단말을 치료한다.

KISA 침해대응본부는 DDoS 공격 대응과 함께 보안이 부족한 중소기업을 위해 DDoS 공격 트래픽은 차단하고 정상 트래픽만 웹서버에 전달해 정상적인 웹서비스가 가능하도록 제공하는 보안서비스인 사이버 대피소를 2010년부터 구축해 지원하고 있다. 지난해까지 4,246개 기관이 사이버대피소 서비스를 이용하고 있으며, 총 715건의 DDoS 공격을 방어했다.

KISA DDoS 사이버대피소 개요 출처 KISA

악성코드 유포로 인한 보안위협 발생 시 ‘MCF’와 신고를 통해 유포지를 탐지하고 악성코드의 감염된 홈페이지 내에서 해킹 사이트 링크를 삭제한다. 이후 악성코드 및 악성앱 유포사이트, 정보유출 사이트, 명령조종서버(C&C), 피싱사이트 등은 통신사와 공조해 관련도메인·IP를 차단한다. 차단까지 완료되면 악성코드 재발 방지를 위해 KISA 침해사고분석단이 실제 사고가 난 기업에 원격 또는 현장 조사를 실시한 뒤 백신 업데이트를 실시한다.

침해대응본부에서 신고된 악성코드의 대한 전용백신을 자체 제작해 보호나라 홈페이지를 통해 유포하고 있으며, 다양한 곳에 백신이 반영될 수 있도록 보안 업체와 공유하고 있다.

주요기관 해킹 사고 발생 시 민관합동 조사단을 구성해 피해기관의 현황 파악 및 침해사고 원인분석을 위해 현장조사를 진행한다. 사고 원인분석 후 복구 및 재발방지를 위한 기술지원을 실시한 뒤 해당 보안침해 사례를 전파해 동일한 이유로 발생할 수 있는 침해사고를 예방한다.

새로운 보안위협 대응 위해 차세대 자동 탐지 시스템 구축

KISA 사이버침해대응본부 종합상황실은 보안 전문 인력을 통한 침해대응 모니터링과 주요 침해사고 대응 프로세스를 통해 사이버 보안위협 침해사고에 대응하고 있지만, 빠르게 변모하는 시대로 인해 정확한 대응이 어려워지고 있다. 특히 급증하고 있는 사이버 보안위협 및 침해사고와 융합ICT 관련 위협 모니터링 및 대응을 위한 업무도 새롭게 증가하고 있어 인력 증원과 예산 증액이 필요한 상황이다.

현재 KISA 사이버침해대응본부는 새로운 보안위협에 대응하기 위해 빅데이터, 인공지능(AI) 등의 차세대 기술을 접목한 자동탐지/분석/대응지원시스템을 구축할 예정이다. 특히 종합상황실에서는 온라인상의 다양한 사이버 보안 위협 정보와 공격 예고 및 현황 등 보안 관련 정보를 자동으로 수집하기 위한 시스템을 구축하고 있다. 종합상황실은 이번 시스템 구축을 통해 더 많은 위협 정보를 탐지하고 탐지된 위협 정보에 대해 신속한 대응이 가능할 것으로 기대하고 있다.

국내 안전한 사이버 환경 구축 목표

사이버침해대응본부 종합상황실은 사이버 침해사고의 신속한 대응과 사전예방을 통해 안전한 사이버공간 구축을 목표로 하고 있다. 현재 목표를 위해 현재 차세대 자동 탐지 시스템 구축과 국내 보안 기업 및 글로벌 보안 단체와 협력관계를 높이고 있다.

종합상황실은 목표를 달성하기 위해 차세대 탐지 시스템과 국내외 보안 기업들과의 협력 등 상황실의 자체 노력도 필요하지만, 기관과 기업이 보안에 많은 투자를 해야 한다고 강조했다. 특히 사이버 공격 기법이 고도화되고 있어 신속한 침해사고 대응과 사전예방을 위해서는 각 기관과 기업은 침해사고 발생에 대비해 정보보안 인력 양성 및 보안 투자 등의 선제적 조치가 필요한 상황이다.

#KISA#종합상황실#빗썸#가상화폐#침해사고#보안관제

이승윤 기자  hljysy@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

이승윤 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2018 CCTV뉴스. All rights reserved .