– 웹 보안 게이트웨이, SSL 가시성 솔루션, 네트워크 DLP 등 다양한 보안 솔루션 연계 활용
– 암호화 트래픽까지 위협 가시성 확장, 내부 중요정보 세밀한 통제 정책 운영

KT는 지난 2014년 8월 정보보안단 발족을 기점으로 정보보안 체계를 대폭 강화해왔다. 다계층 보안 정책을 바탕으로 외부 해킹 위협과 내부 정보유출 통제, 협력사와 그룹사 보안관리까지 포괄적으로 수행하고 있다.

지난 2017년에는 갈수록 증가하는 보안위협에 보다 효과적으로 대응하기 위해 지능형 사이버보안센터(Intelligent Cyber Security Center)를 개소하기도 했다. 사내 IT보안관제와 고객 네트워크 보안관제를 통합한 센터로, 단말부터 네트워크, 서버에 이르는 종합대응체계를 구축했다.

사이버보안센터는 외부에서 침입하는 사이버공격과 지능형지속위협(APT) 공격 탐지와 분석, 그리고 내부 정보유출 시도를 감시해 차단하는 1차 방어선 역할을 수행한다. 관문에 설치된 방화벽, 침입방지시스템(IPS) 등 1차 탐지·방어체계를 뚫고 위협이 내부로 들어오더라도 그 안에서 전파되지 못하도록, 또 중요 정보를 외부로 유출하는 활동을 탐지하고 차단하기 위해 다양한 보안 시스템이 가동된다.

여러 보안 솔루션들을 연계해 위협 가시성을 확보하고 양질의 위협 인텔리전스를 확보하는데 힘을 기울이고 있다. 바로 다계층 보안 정책을 통해 다양한 지능형 위협에 효과적으로 대응하기 위한 조치다.

KT 정보보안단(단장 문영일 상무)의 유기무 보안기획담당 상무보는 보안 전략에 대해 “‘신뢰하되 모든 것을 검증하라’는 모토로 관리적·기술적 보안을 강화하고 있다”며 “외부 공격과 APT, 내부정보유출 같은 내부자 위협, 협력사와 그룹사 통한 위협까지 대응하는 보안 프레임워크를 바탕으로 계속해서 탄탄하고 촘촘한 보안체계를 만들어 나가고 있다”고 밝혔다.

암호화 트래픽 위협 가시성 확보, 포렌식 솔루션과 연계

KT는 보안체계를 구축하는데 있어 위협 가시성을 폭넓게 확보하는 것을 중요하게 봤다. 특히 암호화된 (SSL/TLS) 네트워크 트래픽 가시성을 확보하는 것이 외부 위협 대응에서 필수라고 보고 시만텍의 ‘SSL VA(Visibility Appliance)’를 도입했다.

인라인 복호화 솔루션인 ‘SSL VA’는 모든 암호화 트래픽을 복호화해 IPS와 연동해 위협 트래픽의 경우 차단 조치를 수행하고 있다.

유 상무보는 “보이지 않으면 관리되지 않는다. 외부에서 들어오는 공격 가운데 SSL 트래픽은 40% 이상이고, 계속해서 그 수치가 올라가고 있다”라면서 “SSL 트래픽 가시성을 확보해야 공격을 막을 수 있기 때문에 장비로 복호화를 수행해 차단한 후 향후 분석을 할 수 있도록 포렌식 장비에 저장하고 있다”고 설명했다.

KT는 시만텍의 포렌식 솔루션인 ‘SA(Security Analytics)’에서 악의적인 공격으로 판단되는 트래픽을 수집·저장하고 있다. 이를 바탕으로 위협에 대한 추가 분석을 수행한다. 주로 기존에 알려지지 않은 신종 위협이나 의심스러운 트래픽, 이상행위를 파악하고 조사하는데 활용하고 있다.

보안 웹 게이트웨이로 악성코드 유입 차단, 정보유출 통제

KT는 악성·유해 사이트를 차단하는 것은 물론 중요정보가 외부로 전송되는 것도 통제해 정보유출 방지체계를 강화하는데 효과를 거두고 있다. 시만텍의 보안 웹 게이트웨이(SWG)인 ‘프록시SG’를 활용한다.

‘프록시SG’를 도입하면서 KT는 시만텍이 제공하는 글로벌 인텔리전스 네트워크(GIN)를 이용할 수 있게 됐다. 이 위협 인텔리전스를 기반으로 국내뿐만 아니라 해외 악성 웹사이트와 유해 사이트, 비업무 사이트로 구분해 관리를 수행하고 있다.

외부에서 웹을 통해 유입되는 악성코드 등 위협 차단은 물론, 내부에서 외부로 데이터를 유출하려는 시도를 실시간 탐지·차단한다. SSL 트래픽을 복호화 시킨 데이터를 포함해 모든 데이터의 크기와 목적지에 제한을 둬 드롭박스나 에버노트 같은 클라우드 서비스를 이용한 외부 유출을 통제하고 있다.

유 상무보는 “80, 443포트처럼 열어놓은 웹 프로토콜을 이용해 내부정보를 유출하거나 포트 정책을 위반한 공격이 들어오는 경우 ‘프록시SG’로 차단하고 있고, 토렌트같은 파일 공유 프로그램, 토르를 비롯해 다크웹도 자동 차단한다”라면서 “기존에는 단말단에서 일일이 조치하던 것을 시스템으로 막고 있다”고 말했다.

네트워크 가상 위협 동적분석(샌드박스)을 수행하는 APT 보안시스템과 연계 구성해 보안운영 효율성을 개선하는 효과를 얻기도 했다. ‘프록시SG’가 샌드박스의 악성코드 분석 작업량을 감소시켰기 때문이다.

샌드박스, 네트워크 DLP와 연동해 보안운영 효과 향상

KT는 ‘프록시SG’를 샌드박스뿐만 아니라 시만텍의 네트워크 데이터유출방지 솔루션인 ‘시만텍 DLP’와도 연동해 보다 강화된 정보유출 방지체계를 구축했다.

이를 기반으로 혹시 모를 직원들의 보안정책 위반, 데이터 오남용 현황을 파악하고 점검, 통제할 수 있게 돼 개인정보보호와 기업비밀보호 수준을 한층 높일 수 있게 됐다.

KT는 내부정보유출 방지체계를 보다 강화하기 위해 클라우드 서비스까지 확장해 보호할 수 있는 방안을 고민하고 있기도 하다.

정보보안단 내에서 일부 사용자들을 대상으로 클라우드 서비스에 클라우드접근보안중개(CASB)를 적용해 개념검증(POC)을 수행하면서 테스트를 하고 있다.

보안 솔루션을 도입할 때 우선 고려하는 사항으로 유 상무보는 “안정성과 탄탄한 가용성은 기본이지만 매우 중요하다”라면서 “우수한 보안 솔루션들을 잘 연계하고 묶어 최대한 가치있게 활용하는데 힘을 기울이고 있다”고 전했다.

이어 “앞으로도 클라우드와 5G, 사물인터넷(IoT) 등 새로운 환경 변화에 대응하면서도 내부정보보안, 다중보안체계를 공고히 하는데 힘을 기울일 것”이라고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network