[기획/보안강국을 위한 쓴소리-보안관제 현황 진단④]

안관제 효과를 높이려면 각종 취약점, 보안위협 정보를 신속하게 습득하는 것이 아주 중요합니다.

민간 보안 솔루션, 서비스 제공업체들은 대부분 각자 해외와 국내 관련 정보공유 커뮤니티에 참여하거나 고객사에 설치된 시스템·서비스 인프라, 분석체계 등을 통해 자체적으로 보안위협 정보를 확보하고 분석하기 위해 노력하고 있습니다.

하지만 새로운 공격기술과 이를 통한 심각한 침해사고가 발생할 때에는 각자 정보를 습득하는 것보다는 민간기업과 정부기관, 사고대상 기업, 인터넷서비스제공업체(ISP) 등이 서로 공유하는 것이 더욱 효율적이고, 보다 신속하게 대응할 수 있습니다.

그 때문에 특히 국가 차원에서 심각한 사이버공격이나 위협 상황이 발생할 경우에 신속한 침해사고 대응을 위해서는 정보공유와 협력의 중요성이 강조됩니다.

지능화된 신종 공격기법이 점점 더 빠르게 개발되고 있기 때문에, 새로운 위협에 관한 분석정보를 신속하게 보안업체와 주요 관제업체를 포함한 사이버보안 관련 주체들이 공유, 전파될 수 있는 국가적 체계 마련이 필요하다는 지적이 나오고 있습니다.

물론 그동안에도 국가정보원 국가사이버안전센터(NCSC), 행정안전부, 방송통신위원회 한국인터넷진흥원(KISA) 등에서 민간업체들과의 정보공유체계를 운영해오긴 했는데요. 대체적으로 형식적이거나 정보의 범위가 제한적이라는 평가가 이뤄지고 있습니다.

그 이유 중 하나는 이해를 따질 수밖에 없기 때문인데요.

국가적인 사이버 위기상황 발생시에 사명감과 책임감을 갖고 일하긴 하지만 민간 보안업체들은 엄연히 보안을 사업으로 합니다. 따라서 보안 솔루션이나 서비스 업체들은 사이버위협 정보가 자사의 서비스 품질과 차별성을 좌우하는 중요한 요소가 됩니다. 서로 같은 수준으로 도움이 되는 정보를 공유한다는 것이 쉽지 않겠지요.

서로 각자 다른 쪽에서 나오는 정보를 받으려고만 하는 태도로는 정보공유와 협력은 요원할 것입니다.

정부기관과 민간업체들 간의 정보공유 환경도 비슷하다고 지적됩니다. 민간업체들 입장에서는 ‘정부기관이 일방적으로 받으려 한다’는 볼멘소리가 나옵니다. 아무 대가도 없이 말이지요.

상생할 수 있는 협력과 공조가 이뤄지지 않고 있습니다. 또 국가 안보 차원에서 접근하는 정부기관 입장과 민간업체의 입장이 다르다는 점을 감안하면 모든 정보를 서로 오픈하는 것이 쉽지는 않아 보입니다.

그 때문에 최근 정보공유분석체계 강화 필요성이 제기되는 한편으로, 이는 현실적으로 불가능 하다는 회의적인 시각도 존재합니다.

하긴, 민·관의 협력을 이야기하기에 앞서 정부기관 간 체계적인 협력체계도 미흡했군요. 지난 2009년 7.7 DDoS(분산서비스거부) 공격 당시 문제점이 여실이 드러났었죠. 이 사고 이후 사이버보안 ‘컨트롤타워의 부재’로 인한 문제가 수없이 지적됐습니다.

아직도 사이버위기대응 주체라 할 수 있는 민·관·군(NCSC, 사이버사령부, 보안업체), 더 나아가 수사기관인 검찰과 경찰 간의 정보공유와 협력의 중요성이 크게 강조됨에도 불구하고 원활하고 일사분란한 체계가 운영되지 못했습니다.

민간업체들 입장에서 관과의 협력에 힘들어 하는 이유가 여기에도 있습니다. 한 업체가 여러기관에 불려가다보니(?) 창구를 통일했으면 한다는 바람을 한목소리로 이야기하고 있습니다.

사용자 삽입 이미지

여하튼 현재 국가 사이버 위기관리 차원에서 정보공유와 협력을 강화하기 위한 많은 시도가 현재 이뤄지고 있습니다.

국가정보원은 최근 ‘국가 사이버안보 마스터플랜’을 NCSC를 중심으로 국가 안보차원에서 각 정부부처와 기관이 사이버공격에 공동으로 대응할 수 있는 체계를 강화하고, 이를 위한 실행계획을 구체화하고 있습니다.

그 중 핵심이 바로 각 민·관·군 합동 대응체계, 통합정보공유체계 강화입니다. (관련기사 국정원 “민간전문가 참여, 사이버보안 사고 조사·검증체계 운영”, 국가 사이버안보 마스터플랜 수립…“사이버공간도 국가수호 영역”)

민간 부문의 사이버 침해사고 대응 역할을 담당하고 있는 KISA 인터넷침해대응센터 역시 민간 주요 인터넷서비스사업자(ISP), 백신업체를 비롯한 보안업체, 정부기관과의 정보공유와 협력을 강화하기 위한 활동을 벌이고 있습니다.

국가기관과 민간 주요 보안업체들과의 정보공유가 체계적으로 이뤄지지 못하고 있다는 점에서 내년 초 오픈을 목표로 ‘정보공유체계(가칭)’를 개선하기 위한 시스템을 개발 중에 있습니다.

이 시스템은 보안권고문과 유포 중인 악성코드 등 보안위협, 유포사이트 차단 등 대응조치 사항을 포괄해 양방향 정보공유 체계와 프로세스 자동화를 목표로 하고 있다고 합니다. 

행정안전부 정부통합전산센터 역시 올해 초에 사이버위협 정보 공유시스템을 개통했습니다. 이 시스템은 중앙행정기관, 지방자치단체의 시스템 관제기관이 제공하는 통합 모니터링 자료와 침해 시도 분석결과를 정보보호 전문업체 20곳과 공유해, 사이버위협에 즉각 대응할 수 있도록 지원하기 위해 구축한 것입니다.

이 역시 크게 활성화돼 있지는 못하다는 평가가 나오긴 합니다만, 사이버 공격유형이나 공격 IP, 대응방법을 공유하기 위해 센터는 민간업체들과 MOU를 체결해 체계적인 정보공유 체계를 마련했습니다. 자체적으로 악성코드분석센터도 운영하고 있지요.

*** 참고 : 그림은 지난 7월 국가정보화전략위원회 주최로 열린 ‘제2회 국가정보화전략포럼’ 에서 서종렬 KISA 원장 발표자료임.


2011/10/12 11:24 2011/10/12 11:24

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단③]

보안관제는 네트워크상에 적용된 방화벽을 관제하면서부터 시작했습니다. 여기에 IDS/IPS(침입탐지/방지시스템), DDoS(분산서비스거부) 대응시스템, 웹방화벽 등으로 설치되는 보안시스템이 여러 종류로 늘면서, 다양한 솔루션에서 발생하는 이벤트와 로그를 실시간 수집, 통합관리, 분석해 침해사고·위협을 종합적으로 탐지하고 대응할 수 있도록 운영합니다.

현재 활용되고 있는 보안관제시스템은 이기종 보안시스템의 보안 이벤트와 로그를 취합해 중앙에서 분석·관리하는 ESM(통합보안관리)시스템과 IDS/IPS 등 침입탐지 센서를 기반으로 네트워크 트래픽의 이상징후와 위협요소를 조기에 탐지할 수 있도록 상태변화를 실시간 감시, 분석하는 TMS(위협관리시스템)이 있습니다.

보안관제를 위한 기본 솔루션인 ESM은 여러 보안장비의 관리 효율성을 제공할 뿐만 아니라 IT시스템 전반의 보안정책을 수립하도록 합니다. 보안장비에서 나타나는 정보에만 의존하게 되면 제로데이 공격과 같은 새로운 공격에 대응할 수 없고 지나치는 보안정보가 생겨나게 됩니다.

이 때문에 네트워크 트래픽 이상징후 등 네트워크 상태 변화를 민감하게 감지해 사이버공격을 탐지할 수 있도록 네트워크 트래픽 모니터링 및 분석 기능을 제공하는 TMS가 보안관제시스템을 보강하는 솔루션으로 활용되고 있습니다. TMS는 사이버공격을 탐지해 조기 예·경보체계를 구축할 수 있도록 기반을 제공합니다.

종합분석시스템은 각종 IT자산과 ESM 등에서 수집된 정보를 바탕으로 내·외부 위협정보를 자동으로 추출하고 보다 복합적으로 상관분석하도록 강화돼 있는 최상위 보안관제시스템이라 할 수 있습니다. 종합분석시스템의 가장 큰 특징은 현재의 위협상황 등을 대시보드 형태로 직관적으로 파악할 수 있도록 보여줍니다.

해외에서는 ESM, TMS, 종합분석시스템 등 여러 종류로 나뉘어 있지 않고 SIM(보안정보관리), SIEM(보안정보·이벤트관리)시스템아 포괄적인 통합관리·분석시스템으로 활용되고 있습니다. 

ESM, TMS, 종합분석시스템, SIEM 등과 같은 보안관제시스템을 잘 구축해 놨다고 해도 보안관제의 효용성이 무조건 발휘되는 것은 아닙니다. 인력 수준에 따라 탐지 그 자체와 위협여부 판단, 보안시스템 운영상태나 정책·임계치·경고 설정 등 실무업무에서 차이가 날 수 있기 때문에 결국 관제 품질이 좌우됩니다.

결국 보안관제에서의 문제는 기술측면 보다는 인력에 있다는 것이 전문가들의 공통된 지적입니다. 관제시스템을 통해 탐지된 기술을 이용하지만 결국 최종 판단은 전문인력이 하는 것이기 때문입니다.

더욱이 조직마다 필요한 보안시스템을 100% 완비할 수 없고, 예산과 상황에 맞춰 현실적으로 투자할 수밖에 없다는 점을 감안하면, 시스템상의 한계로 지적되는 한정된 관제 범위나 려진 공격 위주, 과다 탐지됐거나 잘못 탐지된 이벤트 등과 같은 문제나 부족한 점은 사람이 갖고 있는 전문성과 노하우로 해결해 나가고 채워지게 됩니다.

일단 기본 문제는 현재 보안관제 전문인력이 극히 부족하다는 데 있습니다. 보안관제 인력에 대한 인식이나 처우 개선도 시급하다고 지적됩니다. 보안관제 업무를 기피하게 되는 요인이 현재로선 많기 때문입니다.

24시간 365일 돌아가는 관제업무의 특성상 야근과 밤샘, 휴일근무 등 힘든 근무환경에서 보상이나 복지가 미진하고, 개인적인 성장 불확실성도 크기 때문에 경력이 쌓이면 이직이나 컨설팅 등 다른 업무로 전환하는 사례가 많다고 합니다. 

그러다보니 신입 등 경력이 부족한 초급인력이 관제에 투입되는 경우가 많아지겠지요. 심지어 “팔 다리만 달리면 뽑는다”는 식의 이야기까지도 나올 정도라네요. 이 경우 보안관제를 아웃소싱하거나 관제업무 담당자를 두고 있는 기업이나 기관에서도 만족하지 못합니다.

사고가 나면 “보안관제 요원들은 뭐했냐”고 하고, 아무 일이 일어나지 않을 때에는 또 보안관제 인력 투자비용을 아까워하며 “보안관제 인력을 둬야 하나”하는 말이 나옵니다.

변화가 수반되지 않는다면 계속 악순환 될 것입니다.

기본적인 네트워크와 서버, 웹 또는 보안 관련 기초지식만 있을 뿐 경험과 전문성이 크게 부족한 사람에게 중요한 자산을 침해하거나 마비, 탈취하려는 공격을 예방, 탐지하고 최전선에서 대응하는 역할을 맡긴다고 상상해보십시오. 결과는 뻔할 것입니다.

사실 보안관제를 보안위협을 종합적이고 체계적으로 관리하는 차원에서 보면 전문성은  매우 중요합니다.

관제 요원은 분석 능력을 갖춘 전문가라기보다는 단순 ‘운영’요원으로서 인식되는 측면이 있었다는 것이 업계의 이야기입니다. 그러다보니 관제 업무경력도 낮게 평가됩니다.

애초에 전문성을 검증할 수 있는 체계도 부재합니다. 현재 인력의 전문성을 교육프로그램 역시 꾸준히 지원되지 못하고 있는 상황입니다.

부족한 보안관제 전문인력을 전문가로서 인식하고 대우하는 것, 현실적인 처우개선은 시급하고도 중요한 과제로 인식됩니다.

보다 실효성 있는 보안관제가 이뤄지기 위해서는 기업과 기관에서 보안관리서비스와 보안아웃소싱에 대한 전문성을 인정해야줘야 합니다. 

공공분야에 정책적으로 보안관제 의무화 및 활성화 노력을 벌이고 있는데요. 정부에서부터 실천하는 것이 필요해 보입니다.

일례로 보안관제서비스 업체들에게 맡길 경우에도, 발주기관에서는 일반 IT 엔지니어 도입 단가를 통해 제안을 요청하고 있다고 합니다. 이 또한 최저가 입찰을 통해 인력을 수주 받고 있습니다. 업계에서는 적어도 관제 인력 및 서비스 단가를 소프트웨어 노임단가 수준만을 인정해줘도 상황은 나아질 것이라고 이야기합니다.

비단 보안관제만의 문제는 아닐 것입니다. 우리나라는 상시적인 보안서비스에 대한 인식이 척박합니다. 보안업계에서 쉽게 유지보수라 불리는 보안시스템 서비스 요율을 현실화하기 위해 꾸준히 노력했지만 이번 정부에서도 결국 무산되는 분위기입니다.

지속적인 업데이트 및 개선작업, 관리가 이뤄지지 않으면 아무리 훌륭한 보안시스템도 시간이 지나면 무용지물이 될 뿐입니다.   

때문에 전문가들은 보안강국이 되려면 사회와 기업·기관의 전반적인 보안 인식의 개선, 이에 따른 예산 및 투자 확대 노력이 절실하다고 목소리를 높이는 것입니다.

보안관제 서비스 및 인력단가가 현실화된다면 민간 업체들 주축의 인력 양성이나 교육, 회사 차원의 보안관제 요원에 대한 지원 역시 개선될 것으로 전망됩니다.

다양한 경로를 통해 들어오는 새로운 보안관련 이슈와 정보를 수집하고, 이러한 이슈를 분석해 관제에 적용하고, 또 파견관제 인력으로 해결이 어려운 사건·사고 발생시에도 신속하게 지원인력을 투입해 이슈를 보안관제 회사 차원에서 실시할 수 있다면 보안관제 수준을 높이는 대안이 될 수 있습니다. 

개개인의 전문성이 부족하더라도 서비스 회사 차원에서 실제로 발생한 공격 특성이나 대응 방식, 보안관제 서비스 노하우가 지식화돼 효과적으로 공유하고 전수할 체계가 마련된다면 보다 효과적으로 만들어갈 수 있을 것입니다.

2011/10/12 11:24 2011/10/12 11:24

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단②]

지금까지 보안관제시스템 등을 토대로 구축해 놓은 침해사고대응체계를 발전시켜, 각종 공격과 침해사고를 미연에 막을 수 있고 신속하게 조치해 피해를 최소화할 수 있는 방안은 찾기 위해, 현재 부족한 것이 무엇인지 진단해보고자 합니다.

전문가 분들에게 서면을 통해서나 직접 만나 의견을 구해봤습니다. 한국인터넷진흥원 인터넷침해대응센터, 삼성SDS, LG CNS, 싸이버원, 안철수연구소, 윈스테크넷, 이글루시큐리티, 인포섹의 전문가분들과 공공·기업의 보안관제센터 등에서 관제업무를 담당하시는 여러분들이 도움을 주셨습니다.

사용자 삽입 이미지

일단 보안관제의 목표는 중요자산을 보호하는 것입니다. 쉽게 말해 궁극적인 보안관제는 각종 침해사고를 막는데 목적이 있습니다. 그런데 지금의 보안관제체계에서 침해사고를 막을 수 있을까요? 

보안관제가 침해사고를 탐지하고 대응하는데 상당한 효과가 있다는 점은 인정되고 있지만, 공격 예방과 실시간 탐지 측면에서는 아직도 부족하다는 진단이 내려지고 있습니다.

더욱 큰 문제는 알려지지 않은 취약점을 이용한 공격, APT(Advanced Persistent Threat) 공격, 사회공학적 공격 등 지능화된 최신 공격에 한계를 노출하고 있다는 점입니다.

우리가 기억하는 최대규모 고객정보를 유출한 옥션이나 SK커뮤니케이션즈의 사고가 보안관제체계가 부재했기 때문은 아닙니다.

그래서 사고 이후 “보안관제서비스를 받고 있는데 왜 못 막았냐?”, “보안관제 업체의 책임 아니냐”며, 이를 둘러싼 많은 논란이 대두되기도 했습니다. 

전체적으로 보면 보안관제시스템을 제대로 운영해온 기간이 짧기도 하지만, 그동안에는 대형사고 경험 역시 부족한 탓이 있습니다.

또 보안관제를 제대로 하려면 기본적인 보안 투자가 기반이 돼야 하는데, 아직도 정부와 금융기관, 기업의 보안 투자는 부족합니다. 더욱이 지속적으로 새로운 공격수법이 빠르게 개발되고 있는데, 보안시스템을 보강하는 계획을 수립하고 투자를 벌이기 위한 의사결정은 느립니다.

보안관제는 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 분산서비스거부(DDoS) 공격 대응시스템 등 보안 장비를 기반으로 합니다.

그동안 보안투자는 주로 외부에서 내부로의 차단에 집중한 보안시스템을 구성해 보안정책을 설정하는 분야에서 이뤄져 왔지만, 이 또한 일부일 뿐입니다.

이들 장비에서 나오는 이벤트와 로그를 취합하거나 이상징후를 파악한 뒤 침해 여부를 분석해야 하기 때문에 대부분 보안사고가 발생한 뒤의 시점이 됩니다. 때문에 사전탐지 보다는 보안사고를 확인하고 사후대응하는 것, 같은 유형의 2~3차 피해를 예방하는데 더 기능적이라고 할까요. 

더욱이 관제 대상과 범위는 주로 네트워크 분야로 한정돼 있고 외부로부터 들어오는 공격과 침입에 집중돼 있는 체계여서 내부PC단을 대상으로 하는 최신 공격기법이나 지능형지속위협(APT)과 같은 정교하고 지능적인 위협을 대응하는데 역부족이라고 평가됩니다.

최근의 해킹은 주로 상대적으로 취약한 내부 사용자의 PC를 악성코드 등을 통해 감염시켜 내부 시스템 접근한 후 중요정보를 탈취하는 식으로 이뤄집니다. 이로 인해 보안관제의 내·외부의 균형적인 운영에 대한 필요성과 특정한 부문이 아니라 전체 시스템을 유기적으로 연동하는 노력이 요구되고 있습니다.

즉, 인바운드 트래픽뿐만 아니라 내부에서의 정보 흐름, 아웃바운드 트래픽에 대한 통합된 보안관제의 필요성과 함께 관제의 대상도 단순 네트워크 장비, 서버에서 나아가 PC, 저장매체 활용 등 사용자단까지 확대돼야 한다는 것입니다.

일부 기관 등에서는 이미 PC 보안관제도 함께 수행하고 있다고 하는데요. 백신·PC보안 중앙관리시스템 등을 기반으로 한 PC단과 네트워크단의 포괄적인 탐지·분석이 이뤄져야 합니다.

개인정보유출 문제가 확산되면서 최근 잇달아 출시된 정보유출 방지시스템처럼 사용자들의 행위를 통합적으로 추적·감사하고 외부로의 불법적인 정보유출이나 이상행위를 통제·차단하는 시스템을 도입해 보안관제시스템과 연동하는 작업도 필요할 것입니다.

내부망에서 외부로 나가는 것을 차단할 수 있는 정책 수립도 검토해봐야 합니다.

이를 위해서는 먼저 내부에서 외부로 이루어지는 서비스 정의를 수행한 뒤 외부로 나가는 것에 대한 정책을 수립해야 합니다. 다만 추가적인 보안투자와 함께 사용자의 불편함이 대두될 수 있어 보안 수준 사이에서 정책을 어느 정도로 수립할 것인지 결단이 필요할 듯합니다.

보안관제시스템 자체의 기술적인 한계도 지적됩니다.

먼저 보안관제시스템이 다양한 이기종 보안장비 지원에 한계가 있을 경우의 문제입니다. 또 여러 장비에서 나온 이벤트를 동일한 기준으로 탐지·분석·대응할 수 있는 관리체계를 반영하지 못한다면 전적으로 보안관제서비스 수준 자체에 문제가 됩니다. 

공격 여부 등을 판단하는 기본 정보가 되는 탐지 이벤트에 대한 신뢰성 문제도 크게 지적됩니다. 

공격 탐지센서로 활용되는 각각의 보안 제품의 수준이 떨어지는 것과도 연관돼 있습니다. 오탐지(False Positive)된 이벤트가 많을 경우 실제 위협을 판별해내기는 당연히 어렵습니다.

때문에 최적화 작업이 아주 중요한 것으로 인식됩니다.

보안장비에서 발생하는 엄청난 이벤트를 바탕으로 위협에 대응하기가 매우 어렵기 때문에 현실적으로 커스터마이징 처리된 이벤트를 중심으로 분석이 이뤄지게 되기 때문입니다.

보안장비에서 발생하는 수많은 오탐 이벤트를 커스터마이징 작업을 통해 최적화된 탐지·분석·대응체계를 갖출 수 있다는 얘기입니다.

제로데이 공격에 대한 탐지가 어렵다는 점도 한계로 지적됩니다. 만일 솔루션마다 신규 공격에 대한 패턴 업데이트 주기가 길어지면 최신공격 대응이 어려울 수밖에 없습니다. 

솔루션 업체들의 업데이트, 능력에 대한 의존도가 높기 때문에 만일 솔루션 개발업체에서 신규 공격 패턴을 곧바로 제공하지 못할 경우 보안관제시스템에서도 탐지하는데 한계가 있을 수 있습니다.

따라서 기반이 되는 보안 솔루션의 수준이 아주 중요합니다.

패턴이 제대로 제공된다 하더라도 보안관제시스템의 최적화 작업을 계속해서 벌이지 않을 경우에도 문제는 발생합니다.

백신의 경우 설치만 하고 업데이트를 하지 않게 되면 새로운 바이러스를 막지 못하는 것처럼 보안관제시스템도 지속적인 커스터마이징이 필요하다는 게 전문가들의 지적입니다. 각사마다 IT환경과 사업환경 차이로 인해 같은 패턴을 적용하더라도 시스템상에서 충돌이나 오류가 발생해 오탐지로 이어지는 경우도 있기 때문입니다.

전문 보안관제서비스 업체 역시 침입탐지에 전문성을 갖고 지속적으로 신규 공격 탐지 패턴에 관해 연구하며 이같은 능력을 갖춰야 하는 노력도 요구됩니다.

그래야 예방과 실시간 탐지를 수행할 수 있는 신규 공격을 시스템에 반영할 수 있기 때문입니다.

사전예방 기능을 강화하기 위해 최근에는 보안관제의 범위에 취약점 진단과 모의해킹 업무도 포함되고 있는 추세입니다.

지속적인 신규 패턴 업데이트, 커스터마이징 및 최적화 작업, 사전진단 등을 강화하려면 보안관제서비스 업체나 관제업무 담당자를 대상으로 적절한 보안관제서비스 비용을 지불하고 그 업무의 중요성을 인정하는 것도 반드시 병행돼야 할 것입니다.

2011/10/12 11:23 2011/10/12 11:23

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단①]

사용자 삽입 이미지

사이버위협이 날이 갈수록 심각해지면서 보다 보안관제에 대한 중요성이 어느 때보다 높아지고 있습니다.

기업이나 기관 중요 정보자산을 악성코드, 해킹, 분산서비스거부(DDoS), 정보유출과 같은 악의적인 행위와 위협으로부터 보호하기 위해선 실시간 모니터링을 실시해 공격을 탐지, 분석하고 대응하는 체계를 갖추는 보안관제가 필수적으로 요구됩니다.

그 이유로 정부는 사이버공격이 발생하면 신속하게 탐지·대응하기 위한 각 부처와 시·도 등 각 영역별로 보안관제센터를 구축해 침해사고대응체계를 선도적으로 구축·운영해왔습니다.

보안관제는 방화벽, 침입탐지/방지시스템(IDS/IPS), 그리고 통합보안관리시스템(ESM), 위협관리시스템(TMS) 등 단위 보안시스템과 보안관리시스템에서 발생하는 이벤트, 네트워크 트래픽 정보를 통합 모니터링하고, 상관관계를 분석해 사고를 처리 대응하며, 정보를 공유하는 기능을 포괄적으로 수행합니다. 

2000년대 초반부터 일원화된 보안관리체계 운영과 침해사고 대응협력의 필요성이 대두되면서 금융, 통신 등 각 영역별로 정보공유·분석센터(ISAC)를 만들기 시작했었죠. 벌써 까마득한 이야기입니다. 하지만 원래 목적대로 운영되지 못하면서 크게 활성화되지 못했습니다. 그나마 금융ISAC 정도만 운영이 되고 있다고 할까요.

본격적인 보안관제체계가 마련된 것은 현재 한국인터넷진흥원에서 운영하고 있는 인터넷침해대응센터가 만들어지면서부터가 아닐까 싶습니다. 2003년 12월에 신설됐죠.

이후 2003년 1월 25일, 우리나라 인터넷이 몇 시간 동안 마비되는 사상초유의 사태가 발생합니다. ‘인터넷대란’이라고 불리고 있죠. 이때부터 본격적으로 사이버보안에 대한 국가차원의 종합적이고 체계적인 대응 필요성이 제기됐습니다. 그 이듬해 정부는 국가정보원에 국가사이버안전센터를 설립합니다.  

국가사이버안전센터 운영이 본격화되고, 행정안전부 정부통합전산센터가 출범하죠. 이 때부터 본격적으로 보안관제센터가 정부·공공 분야에서 확산됩니다.

전자정부 보안관제센터가 구축된 2005년부터 지난해까지 정부부처 등 20여개 영역, 16개 시·도 광역자치단체까지 보안관제센터와 사이버안전센터가 마련되면서 실시간 발생하는 사이버위협을 탐지·대응할 체계를 구축했습니다. 

이제는 국가사이버안전관리규정이 개정돼 정부·공공기관은 보안관제센터 구축과 운영이 의무화돼 있습니다.

정부가 이달 중 보안관제 전문업체를 지정하게 되면, 예산과 전문인력 부족 등의 이유로 구축해 놓은 정부·공공기관의 보안관제센터 운영업무를 자체적으로 담당하기 힘들 경우 민간 전문업체에게 위탁하게 됩니다.

그 사이에 은행 등 금융기관, 대기업들도 자회사를 통해 보안관제를 운영할 센터를 구축하면서, 민간분야에서도 보안관제체계 도입이 확대되고 있습니다.

이제는 보안관제 인프라를 제대로 구축해 놓는 것뿐만 아니라 어떻게 하면 제대로 운영해 효과를 볼 수 있을지 총체적인 고민이 시작된 것 같습니다. 과연 보안관제체계를 본래의 목적에 맞게 구축해 운영하고 있는가 하는 점입니다. 

그러면서 짧은 시간 동안 보안관제의 중요성이 강조되는 동시에 한계성 또한 부각되기 시작했습니다. 최근 2~3년 간 발생한 사이버침해사고로 인한 결과는 치명적으로 다가왔기 때문입니다.

분산서비스거부(DDoS) 공격으로 정부기관·은행 등 주요사이트가 다운되고 금융전산망이 마비됐으며, 인터넷사용 인구 대부분이라 할 수 있는 정도의 개인정보가 유출됐습니다.

지난 2009년 발생한 7.7 DDoS 공격, 올해 발생한 농협 전산망 장애, 네이트·싸이월드 해킹사고 이야기입니다.

앞으로 어떤 강력한 공격이 우리나라의 정보통신망이나 시스템을 대상으로 발생할지, 그 피해는 대체 어느 규모가 될지 예측하기 어려운 상황에서 불안감만 커지고 있습니다. 

앞으로 해결해야 할 도전과제는 무엇일까요. 보안관제센터를 중심으로 사이버침해사고 예방과 탐지, 대응조치를 포함해 사이버보안에 대한 전방위적이고 종합적인 역할을 수행할 수 있도록 지속적으로 발전시켜야 할 것입니다. 

사이버위협은 계속 지능화되고 강력해지고 있기 때문에 보안관제체계를 구축했다고 안심할 게 아니라 계속해서 업그레이드, 보강해야 하는 것이 우리가 처한 현실입니다.


2011/10/12 11:23 2011/10/12 11:23