KT ‘사이버보안센터’ “사내IT·네트워크 통합보안관제 수행, 하루 2만여건 사이버위협 대응”
국내 최대 통신·인터넷서비스사업자(ISP)인 KT가 올해 2월 ‘사이버보안센터(Intelligent Cyber Security Center)’를 개관했다.
경기도 과천 KT 스마트타워에 위치한 사이버보안센터는 90명의 전문인력이 교대로 24시간 365일 보안관제를 수행한다.
KT는 사이버보안센터가 “IT 보안과 네트워크 보안 관제를 통합 수행하는 국내 최초의 보안관제센터”라며 “단말과 네트워크, 서버까지 아우르는 종합 대응체계를 구축해 다양한 사이버위협에 대응하고 있는 최고 수준의 통합 보안센터”라고 내세우고 있다.
사이버보안센터는 KT 사내망과 ‘코넷’ 등 유무선 가입자망을 포괄하는 통합 보안관제센터로, KT의 사이버보안 기술과 역량이 결집돼 있다. 인터넷 백본부터 사용자 단말까지 전체 위협을 모니터링, 분석함으로써 서비스별 적절한 대응책을 시행할 수 있는 기반을 제공한다.
현재 사이버보안센터에서 대응하고 있는 사이버위협은 하루 평균 2만2000건에 달한다. 웹 공격, 정보유출, 지능형지속위협(APT) 공격, 디도스(DDoS) 공격과 스미싱과 파밍 공격 등 다양하다.
단말-네트워크-서버 아우르는 사이버위협 대응체계 구축
정보유출 위협의 경우 서버와 서버 간 이상접속과 고객정보에 대한 비정상 접속을 집중 감시하면서 외부로의 정보유출 사전봉쇄해 대응하는 체계를 운영하고 있다. 서버에서 외부로 나가는 일정용량 이상의 파일 전송은 차단하는 것이 기본 정책이다. 방화벽, 유해트래픽 차단 시스템, 포렌식 장비 등을 활용해 개인정보를 포함한 주요 정보 유출을 집중 탐지·차단하고 있다.
APT 공격 대응과 관련해서도 매일 2000건의 이메일을 통한 악성코드와 하루 200건의 네트워크단에서의 악성코드 유입을 차단하고 있다. 악성코드를 분석해 공격자가 운영하는 명령제어(C&C) IP 차단 조치도 수행하고 있다.
알려지지 않은 지능형 위협을 활용한 공격에 대응할 수 있도록 정적·동적(샌드박스) 분석과 더불어 시나리오 기반 상관분석 체계도 구현하고 있다. 통합보안관리·빅데이터 분석 시스템을 통한 상관분석도 실시하고 있다.
만일 악성코드가 내부로 유입되더라도 보호체계가 가동될 수 있도록 가상데스크톱인프라(VDI) 등을 이용한 다단계 보안체계를 운영하고 있다.
디도스 팀지·대응면에서도 KT는 최고 수준의 역량을 자랑한다. 해외에서 유입되는 불필요 트래픽이나 디도스 트래픽을 차단하는 싱크홀과 클린존, 백본라우터를 활용해 국내 최대 규모의 디도스 탐지·대응체계를 운영하고 있다. 이를 바탕으로 디도스 공격 발생시 5분 이내에 차단한다는 것이 KT의 설명이다.
예를 들어 인터넷 대역폭 고갈 공격이 발생하면 싱크홀에서 공격 트래픽 경로를 우회하거나 폐기하고, 클린존 서비스를 통해 정상 트래픽은 우회해 서비스가 지속적으로 이뤄질 수 있도록 제공한다. DNS 과부하 공격이 발생하면 탐지·분석 후 비정상 도메인을 검출해 탐지·차단 보안장비를 이용해 조치를 수행하고 있다.
임호문 KT 플랫폼관제센터장은 “2009년부터 클린존 서비스를 운영해오면서 KT는 최고수준의 디도스 공격 대응력을 확보해 왔다. 국내 최대규모 네트워크망을 운영하고 있고 가입자도 많은 만큼 100기가비트 이상 대규모 공격을 포함해 수많은 공격을 경험해 노하우를 쌓았다”라고 설명했다. 임 센터장은 “공격규모가 1테라 이상 대형화되고 증폭반사(DR) 디도스 공격도 많이 발생하고 있어 공격 탐지·차단뿐 아니라 다양한 예방조치를 수행하는 것에도 힘을 기울이고 있다”고 말했다.
컨트롤타워 역할 수행, 그룹사·외부 기관·기업과도 위협정보 공유
사이버보안센터의 보안관제 대상은 사내 단말 6만여대, 유무선 네트워크 장비 130만대, 350여종의 애플리케이션과 보안장비까지 방대하다.
KT는 사이버보안센터에서 수행하는 보안관제 외에도 코넷 운영국사, IDC 고객을 위한 관제센터를 별도로 운영하고 있다. 각 센터에도 관제요원 등 보안 인력들이 배치돼 있다. 이들은 90명의 사이버보안센터 인력에 포함되지 않는다.
KT는 “사이버보안센터는 컨트롤타워 역할을 수행한다”라면서 “대규모 시스템·네트워크 보호체계를 효과적으로 유지하기 위해 대부분의 보안 관제정보가 집합되는 센터에서 분석해 대책을 도출한 후 각 지역, IDC 등으로 전파돼 적용되도록 체계로 운영하고 있다”고 설명했다.
KT는 자체 보안관제체계를 운영하는 것 외에도 사이버안전센터, 경찰청, 한국인터넷진흥원(KISA) 인터넷침해대응센터 등 유관기관과 파이어아이, 시만텍(옛 블루코트), 안랩 등 국내외 보안업체들과 공조체계를 갖추고 있다.
KISA가 운영하는 사이버위협정보 분석·공유시스템(C-TAS)과 연동해 C&C, IP 등의 정보를 공유하는 체계를 구현하고 있다.
KT는 지난 2014년 8월 정보보안단을 신설하면서 통신업계 최초로 최고정보보호책임자(CISO)직을 최고정보관리책임자(CIO) 조직에서 분리했다. 정보보안단은 2012년 홈페이지 해킹에 의한 개인정보 유출에 이어 2014년 1170만여건의 개인정보 유출 사고가 발생한 뒤 재발방지와 기술·관리적 보호조치 등 보안 강화를 위해 신설한 조직이다.
초대 정보보안단 수장은 현재 KT IT기획실장인 신수정 전무가 맡았다. 현재는 정보보안단이 IT기획실 소속으로 편입된 상태이지만, KT는 지난 3년간 지속적으로 정보보안 투자를 강화하면서 정보보안단을 확장해 왔다. 사이버보안센터 출범 역시 이같은 보안역량 강화를 지속 추진해온 결과물이기도 하다. <관련기사: 문영일 KT 정보보안단장 “글로벌 정보보안 1등 조직 만들겠다”>
사이버보안센터는 정보보안단이 총괄한다. 사이버침해사고가 발생하면 정보보안단장이 ‘상황대응 총괄’을 맡아 신속하고 일사분란한 대응을 위한 체계가 운영되도록 했다. 센터에서 수집된 보안위협 정보를 바탕으로 특이사항이 발생하거나 사회적인 보안이슈가 발생하면 즉시 보고, 대응체계를 가동하게 된다.
주요 사이버위협은 기업(B2B) 고객사와 비씨카드 등 31개 그룹사에까지 상황을 전파, 공유한다.
그룹사에 대한 보안 거버넌스를 KT가 수행해 보안수준 향상을 꾀하는 한편, ‘싱글(single) KT’를 추구하고 있다는게 회사측 설명이다.
보안 수준, 서비스 안정성·신뢰성 강화 효과 기대…보안사업 지원 전초기지
KT는 사이버보안센터가 출범하면서 전반적인 네트워크 보안 수준 강화로 인해 서비스 망의 안전성과 품질 향상, IT 서비스·가입자 정보보호와 신뢰성 강화에 크게 기여할 것으로 기대하고 있다.
실제로 기존에 IT·네트워크 보안관제가 각각 수행하던 체계에서는 불가능했던 방대한 위협 탐지·분석정보를 모아 서로 공유해 주요 위협 리스크를 폭넓게 인지·판단할 수 있게 됐다는 설명이다. 이로 인해 보다 신속하게 적절한 대책을 적용할 수 있게 됐다.
KT의 CISO인 문영일 IT기획실 정보보안단장은 “사이버보안센터는 국내뿐 아니라 아시아에서도 사내 보안과 고객단 네트워크 보안 관제를 통합해 엔드 투 엔드로 수행하는 최초의 사례”라며 자부심을 나타내면서 “앞으로 글로벌 최고의 보안관제센터로 만드는 것이 목표”라고 강조했다.
사이버보안센터가 세계 최고수준의 보안위협 대응 역량을 확보하기 위해 KT는 지속적인 투자를 벌일 계획이다.
그 일환으로 보안관제에 인공지능(AI) 기술 적용을 추진하고 있다. 센터 설립을 준비하면서 적용한 빅데이터 기반 로그분석 시스템과 포렌식 솔루션에 머신러닝 기능을 9월까지 적용할 계획이다. AI 기술을 위협 판단에 활용하기 위해 외부 솔루션 도입과 자체 개발까지 검토하고 있다.
현재 KT는 빅데이터 기반 로그분석 솔루션을 기반으로 외부침입, 정보유출 등 45개 시나리오를 수립해 탐지체계를 운영하고 있다.
KT의 미래 핵심사업으로 통합보안 사업을 적극 추진하고 있다. 사이버보안센터를 보안사업 지원을 위한 전초기지로 활용한다는 계획도 이미 밝혔다.
이미 디도스 탐지·방어 서비스인 ‘클린존’ 서비스가 탄생, 발전한 사례나 작년 하반기에 첫 선보인 휴대형 통합보안 플랫폼인 ‘위즈스틱’에도 오랜 보안 운영 노하우를 담았다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
