'DDOS 대란'에 해당되는 글 1건

침해위협 탐지 정확도 99%
과학기술 사이버안전센터 종합상황실 '24시'


평소와 다름없이 조용하던 3월 4일 오전 10시. 갑자기 심상치 않은 분위기가 감돌기 시작했다. “앗, DDoS 공격이다!!” “실제상황입니다!!” DDoS 공격임을 알리는 이벤트가 과학기술사이버안전센터(S&T-SEC, Science and Technology SEcurity Center)의 관제화면을 가득 메우고 순간 모든 S&T-SEC 담당자들의 손이 일제히 분주해진다. DDoS 공격을 수행하고 있는 좀비PC 및 피해 대상 사이트를 확인한 후 해당 기관으로 연락하여 상황을 통보하는 과정을 반복하고, 탐지된 좀비PC는 즉시 네트워크로부터 차단시킨다. 얼마간의 시간이 지났을까, 공격이 잠잠해지고 나서도 한동안 촉각을 곤두세우고 화면을 주시하던 사람들이 그제서야 비로소 짧게 한숨을 돌렸다.


최근 발생한 3·4 DDoS 대란 때의 일이다. DDoS 공격은 일반 사용자의 PC를 웜·바이러스 및 악성 프로그램으로 감염시켜 ‘좀비PC’로 만든 다음 명령을 통해 특정 사이트로 엄청난 양의 트래픽을 발생시켜 시스템을 마비시키는 공격 방식이다. 당시 청와대를 비롯한 국가기관 및 금융기관과 유명 국내 포털 사이트를 동시에 공격했던 좀비PC들 중에는 과학기술분야 연구기관의 사용자 PC도 일부 포함되어 있었다.

1분 1초를 다투는 보안관제 업무
사이버공격은 공격자가 어떤 목적을 가지고 언제 어디로 공격을 할지 예측하기 어려우며 실제 발생한 이후에야 그 피해를 확인하고 대처할 수 있다. 따라서 네트워크에 대한 실시간 보안 관제를 통해 피해가 생기지 않도록 예방하고, 이미 피해가 발생한 경우에는 확산을 방지하는 등 피해를 최소화하도록 노력하는 것이 무엇보다 중요하다.

보안업무는 업무 특성상 보안이 잘 이루어지고 있는 경우보다 보안 사고나 장애 등의 불편한 상황이 발생했을 때 이슈가 되는 경우가 대부분이기에 365일 24시간 쉴 틈 없이 보안에 대한 관제를 수행한다고 해도 단 하나의 실수가 발생하면 ‘업무 태만‘으로 평가 받는다. 그래서 보안 업무는 종종 ‘잘해야 본전’이라는 취급을 받으며 기피 대상 업무로 분류되곤 하지만 그럼에도 불구하고 누군가는 꼭 해야 하는 일이라는 것 역시 명백한 사실이다.

 

그렇다면 과학기술 분야에서 이와 같은 일을 하고 있는 이들은 누구일까. 연구기관에서 창출되는 수많은 연구 정보를 보호하고 네트워크에서의 다양한 공격으로 인한 피해를 최소화하기 위해 최전선에서 보안관제 업무를 수행하는 곳이 바로 대전의 한국과학기술정보연구원 내에 위치한 과학기술사이버안전센터(S&T-SEC)이다. S&T-SEC은 2005년에 개소한 이래 현재까지 37개 연구기관에 대해 보안관제 서비스를 비롯하여 침해사고 예방 및 대응 업무를 수행하고 있다.

센터에서 자체 개발한 종합정보분석시스템이 각각의 공격 시도에 관한 모든 정보를 수집 및 1차 분석해서 공격 정보를 다양한 시각에서 분석한 후, 공격 시도라는 판단이 확실해지면 바로 시스템에 사고 내역을 등록하고 이메일 및 전화통화를 통해 대상기관에 대한 대응 및 지원을 제공한다. 이 모든 과정이 약 15분의 짧은 시간 안에 이루어진다. 지난해에는 1,915건의 침해위협 시도를 탐지 및 분석하여 대상기관에 대응 및 지원하였으며, 탐지 정확도가 평균 98.9%인 만큼 높은 정확도를 기록하고 있다.

S&T-SEC을 총괄하고 있는 박학수 책임연구원은 “보안관제도 사람이 하는 일이니만큼 매순간 발생하는 다양한 공격 시도를 100% 정확하게 탐지하기는 어렵다. 하지만 모든 관제요원들이 24시간 365일 불철주야 과학기술 분야의 보안을 위해 노력하고 있으니 그 결과에 대해 아주 조금만 더 관대한 시선으로 바라봐 주면 좋겠다.”라고 호소한다.

②편에서 이어집니다..

출처 : FOCUS 5월호

블로그 이미지

굿가이(Goodguy)

우리 생활 속 과학이야기