[CCTV뉴스=이승윤 기자] 올해 6월 가상화폐 거래소 ‘빗썸’에 해킹공격으로 350억원의 피해가 발생했다. 이번 해킹사고는 금전적인 손실과 함께 입·출금 서비스가 중지돼 ‘빗썸’을 통해 가상화폐를 거래하고 있던 사용자들이 큰 불편을 겪었다. 최근 ‘빗썸’ 해킹 사고와 같은 보안 침해사고가 많이 발생하고 있다. 이런 보안 침해사고는 발생하기 전에 사전에 공격을 감지해 선제적 대응이 중요하다. 한국인터넷진흥원(KISA) 침해대응본부에서는 침해사고에 선제적 대응하기 위해 종합 상황실을 운영하고 있다. 종합상황실은 현재 16명의 보안 관제 전문인력이 2교대 방식을 통해 24시간 사이버보안위협과 침해사고에 대응하고 있다. 그렇다면 종합상황실은 어떤 방법을 통해 침해사고를 감지하고 있을까? 실제 종합상황실을 찾아 침해사고 감시와 대응방법에 대해 알아보았다.

국내 공공기관의 사이버 보안위협 모니터링 및 침해사고 대응과 민간분야의 보안 침해사고 대응하기 위해 마련된 KISA 사이버 침해대응본부 종합상황실은 2010년 12월에 개소해 현재 KISA 서울분원에서 사이버 공격에 대한 모니터링과 침해사고 대응 등 전반적인 보안에 대한 총괄업무를 수행하고 있다.

송파구 KISA 서울 분원 5층에 위치한 종합상황실은 보안 관제라는 업무 특성 상 출입통제가 엄격하다. 실제 종합상황실은 보안관제 요원들만 출입이 가능하며, 특수한 상황을 제외하고 침해대응센터 관계자들도 상황실 출입이 어렵다. 종합상황실에 내부 상황은 침해사고 대응 등 다양한 보안 업무를 수행하고 있어 바쁘고 분주할 것이라고 생각했던 것과는 다르게 조용했다. 보안관제요원들은 보안 상황에 대해 보고하는 움직임 이외에는 각자 자리에서 모니터를 통해 보안침해 상황을 체크하고 있었다.

종합상황실에서 가장 눈길을 끈 것은 중앙에 위치한 한눈에 보기에도 거대한 대형 모니터를 통해 송출되는 보안 침해 현황에 대한 내용이었다. 화면에서는 악성코드 유포 사이트 현황, DDoS 공격 현황, 악성사이트 차단 현황 등 총 3개의 영상이 표시되고 있었다. 특히 DDoS 공격 현황의 경우 전 세계의 DDoS 공격 시작 지점을 표시해주고 있어 한눈에 DDoS 공격에 대해 파악할 수 있다.

MFC 시스템과 협력을 통해 침해사고 대응

KISA 사이버침해대응본부 종합상황실은 인터넷 이상 징후 및 사이버 위협 탐지를 위해 신종 악성코드 및 보안 취약점 모니터링, 국내 통신사 등 인터넷 서비스 제공자의 트래픽 소통 상태를 지속적으로 점검하고 있다. 그리고 주요 웹사이트 및 DNS의 접속 상태, 홈페이지 위변조 등을 모니터링하면서 보안 침해사고를 대비하고 있다. 특히 KISA에서 개발한 ‘악성코드 은닉사이트 탐지 시스템(Malicious Code Finder 이하 MCF)’는 국내 340만개 웹사이트를 실시간 점검해서 악성코드가 유포되고 있는지를 실시간으로 파악 할 수 있는 기능을 제공한다.

종합상황실은 직접 보안 관제를 통해 침해 사고에 대한 대응과 함께 KISA에서 운영하는 보호나라 홈페이지와 118사이버민원센터를 통해 침해사고가 발생한 기업으로부터 신고를 받아서 도 대응하고 있다. 신고 접수된 기업에게는 피해 예방 및 확산 방지를 위해 피해기관 또는 기업에 사고 원인분석과 조치를 위한 기술지원을 하고 있으며, 침해사고 관련 도메인 및 IP를 통신사와 공조해 차단을 실시하고 있다.

이와 함께 종합상황실에서는 사이버 침해사고에 대해 신속한 대응과 사전예방을 위해 민간 및 주요기관과 협력하고 있다. 현재 악성코드 등 사이버위협정보 분석을 위해 안랩 등 국내 보안업체와 협력하고 있다.