국내 최대 통신·인터넷서비스사업자(ISP)인 KT가 올해 2월 ‘사이버보안센터(Intelligent Cyber Security Center)’를 개관했다.
경기도 과천 KT 스마트타워에 위치한 사이버보안센터는 90명의 전문인력이 교대로 24시간 365일 보안관제를 수행하고 있다.
KT는 사이버보안센터가 “IT 보안과 네트워크 보안 관제를 통합 수행하는 국내 최초의 보안관제센터”라며 “단말과 네트워크, 서버까지 아우르는 종합 대응체계를 구축해 다양한 사이버위협에 대응하고 있는 최고 수준의 통합 보안센터”라고 내세우고 있다.
사이버보안센터는 KT 사내망과 ‘코넷’ 등 유무선 가입자망을 포괄하는 통합 보안관제센터로, KT의 사이버보안 기술과 역량이 결집돼 있다. 인터넷 백본부터 사용자 단말까지 전체 위협을 모니터링, 분석함으로써 서비스별 적절한 대응책을 시행할 수 있는 기반을 제공한다.
현재 사이버보안센터에서 대응하고 있는 사이버위협은 하루 평균 2만2천건에 달한다. 웹 공격, 정보유출, 지능형지속위협(APT) 공격, 디도스(DDoS) 공격과 스미싱과 파밍 공격 등 다양하다.
단말-네트워크-서버 아우르는 사이버위협 대응체계 구축
정보유출 위협의 경우 서버와 서버 간 이상접속과 고객정보에 대한 비정상 접속을 집중 감시하면서 외부로의 정보유출 사전봉쇄해 대응하는 체계를 운영하고 있다. 서버에서 외부로 나가는 일정용량 이상의 파일 전송은 차단하는 것이 기본 정책이다. 방화벽, 유해트래픽 차단 시스템, 포렌식 장비 등을 활용해 개인정보를 포함한 주요 정보 유출을 집중 탐지·차단하고 있다.
APT 공격 대응과 관련해서도 매일 2천건의 이메일을 통한 악성코드와 하루 200건의 네트워크단에서의 악성코드 유입을 차단하고 있다. 악성코드를 분석해 공격자가 운영하는 명령제어(C&C) IP 차단 조치도 수행하고 있다.
알려지지 않은 지능형 위협을 활용한 공격에 대응할 수 있도록 정적·동적(샌드박스) 분석과 더불어 시나리오 기반 상관분석 체계도 구현하고 있다. 통합보안관리·빅데이터 분석 시스템을 통한 상관분석도 실시하고 있다.
만일 악성코드가 내부로 유입되더라도 보호체계가 가동될 수 있도록 가상데스크톱인프라(VDI) 등을 이용한 다단계 보안체계를 운영하고 있다.
디도스 팀지·대응면에서도 KT는 최고 수준의 역량을 자랑한다. 해외에서 유입되는 불필요 트래픽이나 디도스 트래픽을 차단하는 싱크홀과 클린존, 백본라우터를 활용해 국내 최대 규모의 디도스 탐지·대응체계를 운영하고 있다. 이를 바탕으로 디도스 공격 발생시 5분 이내에 차단한다는 것이 KT의 설명이다.
예를 들어 인터넷 대역폭 고갈 공격이 발생하면 싱크홀에서 공격 트래픽 경로를 우회하거나 폐기하고, 클린존 서비스를 통해 정상 트래픽은 우회해 서비스가 지속적으로 이뤄질 수 있도록 제공한다. DNS 과부하 공격이 발생하면 탐지·분석 후 비정상 도메인을 검출해 탐지·차단 보안장비를 이용해 조치를 수행하고 있다.
임호문 KT 플랫폼관제센터장은 “2009년부터 클린존 서비스를 운영해오면서 KT는 최고수준의 디도스 공격 대응력을 확보해 왔다. 국내 최대규모 네트워크망을 운영하고 있고 가입자도 많은 만큼 100기가비트 이상 대규모 공격을 포함해 수많은 공격을 경험해 노하우를 쌓았다”라고 설명했다. 임 센터장은 “공격규모가 1테라 이상 대형화되고 증폭반사(DR) 디도스 공격도 많이 발생하고 있어 공격 탐지·차단뿐 아니라 다양한 예방조치를 수행하는 것에도 힘을 기울이고 있다”라고 말했다.
컨트롤타워 역할 수행, 그룹사·외부 기관·기업과도 위협정보 공유
사이버보안센터의 보안관제 대상은 사내 단말 6만여대, 유무선 네트워크 장비 130만대, 350여종의 애플리케이션과 보안장비까지 방대하다.
KT는 사이버보안센터에서 수행하는 보안관제 외에도 코넷 운영국사, IDC 고객을 위한 관제센터를 별도로 운영하고 있다. 각 센터에도 관제요원 등 보안 인력들이 배치돼 있다. 이들은 90명의 사이버보안센터 인력에 포함되지 않는다.
KT는 “사이버보안센터는 컨트롤타워 역할을 수행한다”라면서 “대규모 시스템·네트워크 보호체계를 효과적으로 유지하기 위해 대부분의 보안 관제정보가 집합되는 센터에서 분석해 대책을 도출한 후 각 지역, IDC 등으로 전파돼 적용되도록 체계로 운영하고 있다”라고 설명했다.
KT는 자체 보안관제체계를 운영하는 것 외에도 사이버안전센터, 경찰청, 한국인터넷진흥원(KISA) 인터넷침해대응센터 등 유관기관과 파이어아이, 시만텍(옛 블루코트), 안랩 등 국내외 보안업체들과 공조체계를 갖추고 있다.
KISA가 운영하는 사이버위협정보 분석·공유시스템(C-TAS)과 연동해 C&C, IP 등의 정보를 공유하는 체계를 구현하고 있다.
KT는 지난 2014년 8월 정보보안단을 신설하면서 통신업계 최초로 최고정보보호책임자(CISO)직을 최고정보관리책임자(CIO) 조직에서 분리했다. 정보보안단은 2012년 홈페이지 해킹에 의한 개인정보 유출에 이어 2014년 1170만여건의 개인정보 유출 사고가 발생한 뒤 재발방지와 기술·관리적 보호조치 등 보안 강화를 위해 신설한 조직이다.
초대 정보보안단 수장은 현재 KT IT기획실장인 신수정 전무가 맡았다. 현재는 정보보안단이 IT기획실 소속으로 편입된 상태이지만, KT는 지난 3년간 지속적으로 정보보안 투자를 강화하면서 정보보안단을 확장해 왔다. 사이버보안센터 출범 역시 이같은 보안역량 강화를 지속 추진해온 결과물이기도 하다.
사이버보안센터는 정보보안단이 총괄한다. 사이버침해사고가 발생하면 정보보안단장이 ‘상황대응 총괄’을 맡아 신속하고 일사분란한 대응을 위한 체계가 운영되도록 했다. 센터에서 수집된 보안위협 정보를 바탕으로 특이사항이 발생하거나 사회적인 보안이슈가 발생하면 즉시 보고, 대응체계를 가동하게 된다.
주요 사이버위협은 기업(B2B) 고객사와 비씨카드 등 31개 그룹사에까지 상황을 전파, 공유한다.
그룹사에 대한 보안 거버넌스를 KT가 수행해 보안수준 향상을 꾀하는 한편, ‘싱글(single) KT’를 추구하고 있다는게 회사측 설명이다.
보안 수준, 서비스 안정성·신뢰성 강화 효과 기대
KT는 사이버보안센터가 출범하면서 전반적인 네트워크 보안 수준 강화로 인해 서비스 망의 안전성과 품질 향상, IT 서비스·가입자 정보보호와 신뢰성 강화에 크게 기여할 것으로 기대하고 있다.
실제로 기존에 IT·네트워크 보안관제가 각각 수행하던 체계에서는 불가능했던 방대한 위협 탐지·분석정보를 모아 서로 공유해 주요 위협 리스크를 폭넓게 인지·판단할 수 있게 됐다는 설명이다. 이로 인해 보다 신속하게 적절한 대책을 적용할 수 있게 됐다.
KT의 CISO인 문영일 IT기획실 정보보안단장은 “사이버보안센터는 국내뿐 아니라 아시아에서도 사내 보안과 고객단 네트워크 보안 관제를 통합해 엔드 투 엔드로 수행하는 최초의 사례”라며 자부심을 나타내면서 “앞으로 글로벌 최고의 보안관제센터로 만드는 것이 목표”라고 강조했다.
사이버보안센터가 세계 최고수준의 보안위협 대응 역량을 확보하기 위해 KT는 지속적인 투자를 벌일 계획이다.
그 일환으로 보안관제에 인공지능(AI) 기술 적용을 추진하고 있다. 센터 설립을 준비하면서 적용한 빅데이터 기반 로그분석 시스템과 포렌식 솔루션에 머신러닝 기능을 9월까지 적용할 계획이다. AI 기술을 위협 판단에 활용하기 위해 외부 솔루션 도입과 자체 개발까지 검토하고 있다.
현재 KT는 빅데이터 기반 로그분석 솔루션을 기반으로 외부침입, 정보유출 등 45개 시나리오를 수립해 탐지체계를 운영하고 있다.
KT의 미래 핵심사업으로 통합보안 사업을 적극 추진하고 있다. 사이버보안센터를 보안사업 지원을 위한 전초기지로 활용한다는 계획도 이미 밝혔다.
이미 디도스 탐지·방어 서비스인 ‘클린존’ 서비스가 탄생, 발전한 사례나 작년 하반기에 첫 선보인 휴대형 통합보안 플랫폼인 ‘위즈스틱’에도 오랜 보안 운영 노하우를 담았다.
문영일 KT 정보보안단장 “글로벌 정보보안 1등 조직 만들겠다”
“정보보안단이 신설된 후 지난 3년 간 정보보안의 관점이 크게 바뀌었다. 외부로부터 들어오는 해킹과 내부에서 나가는 정보 통제, 협력사와 그룹사 관리까지 전체 정보보안 프레임을 기반으로 관리하는 체계를 운영하고 있다.”
경기도 과천 KT 스마트타워에 위치한 사이버보안센터에서 만난 문영일 KT 정보보안단장(상무)은 “KT의 목표는 정보보안 1등 조직을 만드는 것”이라며 2014년 정보보안단 신설 후 지속적인 정보보안 투자를 강화해 이같은 정보보안체계를 구축·운영하고 있다고 밝혔다.
KT는 2012년과 2014년 고객정보 유출 사고를 냈다. 정보보안단은 2012년 홈페이지 해킹에 의한 개인정보 유출에 이어 2014년 1170만여건의 고객정보 유출 사고가 발생한 뒤 정보보안단을 신설했다.
그간 KT의 정보보안 인력은 크게 늘었다. 정보보호 공시 현황에 따르면, KT의 정보보호 전담인력은 외주인력 32명을 포함해 총 252명이다. 정보보호부문 투자액은 910억원 규모로 정보기술(IT) 부문 투자액 대비 4.41%다.
IT 대비 보안 투자비중은 그리 크지 않다고 볼 수 있다는 지적에 문 단장은 “공시된 정보보호 투자금액은 그룹사 전체가 아니라 KT 자체 투자 규모”라며 “국내 통신사들 가운데 정보보안 인력은 최대 규모이고 대부분이 내부인력이며, 투자규모도 타 통신사 대비 2배 이상 크다”라고 말했다. 그는 “위협이 엄청나게 늘어나고 있고 지능화, 고도화, 복합화하는 상황에서는 지속적으로 투자를 늘려나갈 수밖에 없다”라고 덧붙였다.
KT가 올해 2월 사내 IT보안과 네트워크보안 관제를 통합한 사이버보안센터를 설립한 것도 정보보안 투자 강화 일환이라는 설명이다. 문 단장은 “KT 사이버보안센터는 국내뿐 아니라 아시아에서도 사내 보안과 고객단 네트워크 보안 관제를 통합해 엔드 투 엔드로 수행하는 최초의 사례”라며 차별성을 강조했다.
KT의 보안 전략에 대해 문 단장은 “정보보안은 사람을 포함해 기업이 가진 모든 자산을 통제(Control)하는 것”이라고 정의하면서 “모든 위협이 사내로 들어온다는 가능성을 기반으로 단계적인 보안 전략을 추구하고 있다”라고 말했다.
“악성코드가 매일 40만개씩 엄청나게 늘어나고 있는 상황에서 위협을 완벽하게 막을 수는 없다”는 게 단계적 보안 전략을 추진하는 이유다.
문 단장에 따르면, KT는 먼저 위협이 유입되는 관문에서 방화벽, 침입방지시스템(IPS) 등을 활용해 1차 차단한다. 위협이 내부로 들어오게 되면 다른 시스템을 통해 전파되는 것을 차단하기 위한 내부보안시스템이 가동된다. 내부 서버를 통해 외부로 파일을 전송하려는 정보유출 시도가 발생하면 이를 실시간 탐지해 차단하는 체계를 운영하고 있다.
직원들의 정보보안 인식을 높이기 위한 테스트와 훈련도 수행하고 있다. 피싱 메일을 포함해 랜섬웨어같은 지능형 위협이나 지능형지속위협(APT) 공격에 악용되는 악성 메일을 정기적으로 직원들에게 보낸다.
문 단장은 “지능화돼 있고 표적화된 APT 공격을 막는 것은 굉장히 어렵다. 한 명만 뚫려도 모든 게 뚫리는 결과로 이어질 수 있기 때문에 직원 대상 피싱 테스트를 수행하고 있다”라며 그 성과로 “직원들의 정보보안 인식이 크게 바뀌고 있다. 직원들의 참여율도 높다”라고 설명했다.
그는 “보안 수준을 너무 높이면 사용자들이 불편해진다”라고 전제하면서 “사용자 편리성과 보안성을 모두 높일 수 있어야 하는데, 이는 곧 ‘예술’”이라고 표현하기도 했다. 때문에 “자발적인 사용자 보안 인식 전환이 중요하다”는 게 문 단장의 지적이다.
문 단장은 “보안 수준은 단계적으로 향상될 수밖에 없다”라며 “지난 3년간 큰 도약을 이뤘지만 앞으로도 직원들이 한마음으로 정보보안 수준을 높여 정보보안 1등 조직을 만들어내겠다는 목표를 세우고 노력하고 있다”라고 강조했다.
