과학기술 사이버안전센터 종합상황실 ‘24시’ #2


Non-stop 연구정보 지킴이
최근 발생했던 금융기관의 보안 사고에 대한 기사를 살펴보면 전산 시스템 계정의 비밀번호를 계정 이름과 동일하게 설정하거나 0000과 같은 단순한 숫자로 설정하고 약 7년간 그대로 사용했다고 하는 경우를 볼 수 있다. 사실 이렇게 시스템을 취약하게 설정한 경우 이후에 사고가 발생한다고 해도 변명할 길이 없다. 아주 위험한 환경에 어린 아이를 보호자도 없이 내버려둔 것이나 마찬가지기 때문이다. 결국 보안의 핵심은 ‘예방’이다. 밤낮없이 보안관제 서비스를 제공한다고 해도 시스템에 대한 기본적인 보안 설정도 없이 공격 시도를 ‘막는’ 일만 한다면 이후에도 언제든 다양한 공격에 노출될 수밖에 없다.

그렇기 때문에 S&T-SEC에서는 단지 보안관제 업무만 수행하는 것이 아니라 외부의 공격으로부터 연구기관의 시스템들을 1차적으로 보호한다. 그 대표적인 예가 대중에게 가장 이슈가 되고 있는 DDoS 공격을 예방하기 위해서 운영중인 싱크홀이라는 시스템이다. 싱크홀은 좀비PC가 지령 서버(C&C 서버, Command and Control Server)로 접속하지 못하도록 우회시키는 시스템으로, 좀비PC가 공격 지령을 받지 못하기 때문에 향후 발생할 가능성이 있는 악성 활동을 예방할 수 있다.


또한 보안 요원들이 필요 시 연구기관에 방문하여 서버 등 주요 시스템들에 대한 취약점 점검 서비스를 제공한다. 기본적인 비밀번호 설정에서부터 보안과 관련된 시스템 환경 설정까지 하나하나 상세하게 점검한 후 취약점이 발견되면 안전하게 설정하도록 권고한다. 그 외에도 홈페이지, 서버, 라우터 및 개인 PC에 대한 다양한 보안 가이드를 매년 발간하여 연구기관이 자체적으로도 예방활동을 수행할 수 있도록 지원하고 있다.

하지만 S&T-SEC이 가야할 길은 멀다. 박학수 책임연구원은 “갈수록 고도화되고 지능화되는 사이버 공격에 대응하기 위해서는 센터와 연구기관의 상호 협력이 무엇보다 중요하다."며, "S&T-SEC이 과학기술분야의 정보보안을 위해 지원하는 만큼 각 연구기관에서도 자체적인 노력을 통해 함께 대응한다면 안전한 네트워크 환경을 만드는 것이 결코 어렵지 않을 것이다.”라고 말한다.

과학기술 분야에서 단 하나의 사이버 공격도 놓치지 않기 위해 오늘도 S&T-SEC 종합상황실의 불은 꺼지지 않는다.

출처 : FOCUS 5월호

블로그 이미지

굿가이(Goodguy)

우리 생활 속 과학이야기

침해위협 탐지 정확도 99%
과학기술 사이버안전센터 종합상황실 '24시'


평소와 다름없이 조용하던 3월 4일 오전 10시. 갑자기 심상치 않은 분위기가 감돌기 시작했다. “앗, DDoS 공격이다!!” “실제상황입니다!!” DDoS 공격임을 알리는 이벤트가 과학기술사이버안전센터(S&T-SEC, Science and Technology SEcurity Center)의 관제화면을 가득 메우고 순간 모든 S&T-SEC 담당자들의 손이 일제히 분주해진다. DDoS 공격을 수행하고 있는 좀비PC 및 피해 대상 사이트를 확인한 후 해당 기관으로 연락하여 상황을 통보하는 과정을 반복하고, 탐지된 좀비PC는 즉시 네트워크로부터 차단시킨다. 얼마간의 시간이 지났을까, 공격이 잠잠해지고 나서도 한동안 촉각을 곤두세우고 화면을 주시하던 사람들이 그제서야 비로소 짧게 한숨을 돌렸다.


최근 발생한 3·4 DDoS 대란 때의 일이다. DDoS 공격은 일반 사용자의 PC를 웜·바이러스 및 악성 프로그램으로 감염시켜 ‘좀비PC’로 만든 다음 명령을 통해 특정 사이트로 엄청난 양의 트래픽을 발생시켜 시스템을 마비시키는 공격 방식이다. 당시 청와대를 비롯한 국가기관 및 금융기관과 유명 국내 포털 사이트를 동시에 공격했던 좀비PC들 중에는 과학기술분야 연구기관의 사용자 PC도 일부 포함되어 있었다.

1분 1초를 다투는 보안관제 업무
사이버공격은 공격자가 어떤 목적을 가지고 언제 어디로 공격을 할지 예측하기 어려우며 실제 발생한 이후에야 그 피해를 확인하고 대처할 수 있다. 따라서 네트워크에 대한 실시간 보안 관제를 통해 피해가 생기지 않도록 예방하고, 이미 피해가 발생한 경우에는 확산을 방지하는 등 피해를 최소화하도록 노력하는 것이 무엇보다 중요하다.

보안업무는 업무 특성상 보안이 잘 이루어지고 있는 경우보다 보안 사고나 장애 등의 불편한 상황이 발생했을 때 이슈가 되는 경우가 대부분이기에 365일 24시간 쉴 틈 없이 보안에 대한 관제를 수행한다고 해도 단 하나의 실수가 발생하면 ‘업무 태만‘으로 평가 받는다. 그래서 보안 업무는 종종 ‘잘해야 본전’이라는 취급을 받으며 기피 대상 업무로 분류되곤 하지만 그럼에도 불구하고 누군가는 꼭 해야 하는 일이라는 것 역시 명백한 사실이다.

 

그렇다면 과학기술 분야에서 이와 같은 일을 하고 있는 이들은 누구일까. 연구기관에서 창출되는 수많은 연구 정보를 보호하고 네트워크에서의 다양한 공격으로 인한 피해를 최소화하기 위해 최전선에서 보안관제 업무를 수행하는 곳이 바로 대전의 한국과학기술정보연구원 내에 위치한 과학기술사이버안전센터(S&T-SEC)이다. S&T-SEC은 2005년에 개소한 이래 현재까지 37개 연구기관에 대해 보안관제 서비스를 비롯하여 침해사고 예방 및 대응 업무를 수행하고 있다.

센터에서 자체 개발한 종합정보분석시스템이 각각의 공격 시도에 관한 모든 정보를 수집 및 1차 분석해서 공격 정보를 다양한 시각에서 분석한 후, 공격 시도라는 판단이 확실해지면 바로 시스템에 사고 내역을 등록하고 이메일 및 전화통화를 통해 대상기관에 대한 대응 및 지원을 제공한다. 이 모든 과정이 약 15분의 짧은 시간 안에 이루어진다. 지난해에는 1,915건의 침해위협 시도를 탐지 및 분석하여 대상기관에 대응 및 지원하였으며, 탐지 정확도가 평균 98.9%인 만큼 높은 정확도를 기록하고 있다.

S&T-SEC을 총괄하고 있는 박학수 책임연구원은 “보안관제도 사람이 하는 일이니만큼 매순간 발생하는 다양한 공격 시도를 100% 정확하게 탐지하기는 어렵다. 하지만 모든 관제요원들이 24시간 365일 불철주야 과학기술 분야의 보안을 위해 노력하고 있으니 그 결과에 대해 아주 조금만 더 관대한 시선으로 바라봐 주면 좋겠다.”라고 호소한다.

②편에서 이어집니다..

출처 : FOCUS 5월호

블로그 이미지

굿가이(Goodguy)

우리 생활 속 과학이야기