IT >

"이제는 생명과 연결되는 사이버보안… 802일 비상근무 서기도" [내일을 밝히는 사람들]

한국인터넷진흥원 사이버침해대응본부
정예요원 25명 등 총 160명 근무
국내 390만개 홈페이지 속
악성코드 찾아내고 신고접수 모니터링
사흘간 밤새우게 만든 2009년 디도스
2016년 남북 긴장 속 위기 겪으며
예방·대응 시스템 끊임없이 진화
다가온 초연결·초지능사회
코로나19 관련 스미싱 등
지능화하는 공격, 선제대응에 총력

"이제는 생명과 연결되는 사이버보안… 802일 비상근무 서기도" [내일을 밝히는 사람들]
19일 서울 가락동 한국인터넷진흥원 서울청사 종합상황실 상황판 앞에서 주간 정예요원 8명이 기념촬영을 하고 있다.사진=서동일 기자
"이제는 생명과 연결되는 사이버보안… 802일 비상근무 서기도" [내일을 밝히는 사람들]
19일 서울 가락동 한국인터넷진흥원 서울청사 종합상황실에 있는 글로벌 인텔리전스 네트워크 지도. 사진=서동일 기자
"이제는 생명과 연결되는 사이버보안… 802일 비상근무 서기도" [내일을 밝히는 사람들]
19일 서울 가락동 한국인터넷진흥원 서울청사 종합상황실에서 한 정예요원이 국내 민간 인터넷 홈페이지에 침해사고가 일어났는지 여부를 모니터링하고 있다.   사진=서동일 기자
"사이버 공격은 국내외를 가리지 않는다. 전세계에서 공격이 들어오고 장애는 언제 발생할지 모르기 때문에 야간에도 항상 경계를 늦출 수 없다. 오후 6시부터 다음 날 아침 9시까지 근무서는 야간조는 늘 불면증에 시달린다.(배승권 한국인터넷진흥원 상황관제팀장)" 하루 24시간 1년 365일. 긴장을 잠시도 늦추지 않고 일하는 사람들이 있다. 대한민국 인터넷 침해사고를 예방하고 대응하는 최전선에 서 있는 '사이버 파수꾼' 한국인터넷진흥원(KISA) 사이버침해대응본부 직원들이다. 이들은 국내 홈페이지 약 390만개에 악성코드가 숨어있지 않은지 디도스(DDoS·분산서비스거부) 공격, 랜섬웨어 탐지부터 침해사고 신고접수까지 모니터링한다. 악성코드에 감염되거나 해킹이 일어나는 보안 취약점을 사전에 분석하고 침해사고가 발생하면 현장에 출동해 기술을 지원하고 방지책을 마련하는 것도 이들의 주요 업무다. 사이버 공격 발생 시 해외와 공동대응도 한다. 이 같은 수많은 일을 상황관제팀 정예요원 25명을 포함해 총 160여명이 담당하고 있다. 이들은 국내의 침해사고 대응 조직 가운데 한국을 대표해 'KrCERT/CC'로 불린다.

■디도스 공격에 밤샘…802일 최장 비상근무

19일 KISA에 따르면 사이버침해대응본부가 처음 설립된 것은 지난 2003년이다. 그해 1월 25일 발생한 인터넷 대란은 국내 인터넷 75%를 마비시켰다. 두 달 뒤 3월 KISA 전신인 한국정보보호진흥원은 인터넷망 이상 징후를 상시 모니터링하는 인터넷침해대응지원센터와 종합상황실을 만들었고, 2013년 3·20 및 6·25 사이버공격을 두 차례 겪은 뒤 인터넷침해대응본부로 확대개편했다. 침해사고분석단을 만든 것도 같은 해다. 사이버 공격의 패러다임 변화에 대응하면서 KISA의 업무도 확대되고 진화한 것이다.

특히 사이버침해대응본부의 대응체계에 전환점이 된 사건은 지난 2009년 발생한 7·7 디도스 공격이다. 당시 본부 내 관제·분석 요원은 3일 밤을 꼬박 새우며 일했다. 2009년에도 상황관제실에서 근무한 배승권 팀장은 "7·7 디도스는 동시다발적인 공격 뒤 좀비PC를 파괴할 정도로 공격이 정교했다"면서 "시스템을 파괴하니 차단 조치가 문제가 아니라 빨리 원인을 분석해서 추가 피해가 나오지 않도록 막기 위해 두 달간 비상근무를 했다"고 회고했다. 이후 이들은 예상되는 사고에 미리 대응하도록 대응체계를 사후조치에서 사전탐지로 전면 개편하고 종합상황실을 확대했다. 사이버침해대응본부가 민간 분야 인터넷 사고에 대비하는 예방과 대응체계를 구축한 것이다.

지난 2011년 청와대, 국회, 언론사 등 국내 40개 주요 사이트를 표적으로 한 3·4 대규모 디도스 공격부터 이들은 체계적인 대응을 시작했다. 지난 2016년 미국에서 1테라비트(Tbps)가 넘는 디도스 공격이 발생하고 국내에도 시도됐지만 사이버침해대응본부가 사전 탐지를 통해 막은 것이 대표적이다.

지난 2015년부터 공격이 본격화된 랜섬웨어에 대해서도 조기 탐지와 조치를 위해 백신업체와 '랜섬웨어 허브'를 운영해 상시대응하고 있다. 지난 2017년 워너크라이 랜섬웨어의 경우 순식간에 150여개국 최소 30만대 이상이 감염됐지만 국내에서는 24시간 비상대응체계 가동, 백신업체, 통신사와 공조해 다른 나라보다 피해 규모를 줄였다.

랜섬웨어의 타깃이 불특정 개인 다수에서 기업으로 옮겨가면서 기업의 금전적인 피해가 속출하고 있다. 지난해 국내 랜섬웨어 피해액은 약 2조원에 육박하는 것으로 추정된다. 이에 랜섬웨어 대응을 위해서는 '오프라인 백업'이 필수적이다. 이상헌 KISA 인터넷침해단장은 "외장하드도 인터넷으로 연결되면 이 역시 감염된다"면서 "중요한 자료는 항상 오프라인으로 보관해야 한다"고 강조했다. 이 단장은 "기업이 운영시스템 취약이나 네트워크 구성 장애 등 랜섬웨어에 감염된 원인을 파악해야 대책을 강구하고 또 다른 피해를 예방할 수 있으니 사이버침해대응본부로 침해사고 신고를 해달라"고 당부했다.

이들은 사이버위기 경보가 '주의'로 높아지면서 총 802일 동안 비상근무를 선 적도 있다. 지난 2016년 남북관계에 긴장이 고조되는 사건이 발생하고 경보 단계가 '관심'으로 높아진 뒤 다시 '정상'으로 돌아오기까지 2년 동안 긴장을 유지한 것이다.

■융합보안·코로나19 스미싱 '선제대응'

KISA 사이버침해대응본부는 지난해부터 융합보안 선제 대응에 나섰다. 실제 초연결, 초지능사회가 다가오면서 융합보안은 신규 보안 위협으로 급부상했다. 이를 위해 김석환 KISA 원장은 지난해 2월 융합보안단을 신설해 IoT, 융합서비스의 보안 강화에 집중했다. 이 단장은 "자율주행차나 지능형 교통시스템이 해킹되면 이는 생명과도 직결돼 위험성이 지금과는 비교할 수 없다"면서 "인터넷에 연결되는 기기들이 공격에 노출될 것을 대비해 '보안 내재화'를 준비하고 있다"고 말했다. 이를테면 지난 2014년에 IoT혁신센터를 만들고 IoT 정보보호로드맵을 수립해 IoT 융합 제품과 서비스에 대해 기획·설계 단계부터 보안이 적용될 수 있도록 기반을 닦는 식이다.

KISA는 또 사이버 잠재 위협에 대비하고 사고 예측을 할 수 있도록 지난 2018년 사이버보안 빅데이터센터를 열었다. 진화하는 지능형 표적 공격이나 소프트웨어 공급망 공격, IoT 보안 위협 등 사이버공격에 AI 기반 분석기술을 적용해 능동적으로 대응하기 위해서다.

최근 코로나19와 관련된 스미싱이 기승을 부리자 피해 확산을 막는 것도 사이버침해대응본부 직원들의 몫이다. 스미싱 수집부터 악성앱 탐지, 유포지와 정보유출지 차단, 피해현황 종합분석과 유관기관 공조를 하면 24시간도 부족하다.
사이버침해대응본부가 운영하는 코로나19 스미싱 대응 상황반은 약 10일 동안 9692건의 스미싱을 탐지, 분석했고 악성사이트 18개를 신속히 차단하는 성과를 냈다.

유포지 11개와 정보유출지 7개, 악성앱 9개를 신속히 차단하는 성과를 냈다. 김석환 원장은 "최근 이슈가 되고 있는 스미싱, 랜섬웨어, 지능형 표적 공격 등 사이버상 국민의 피해를 최소화하기 위해 선제적 노력을 다하겠다"고 말했다. gogosing@fnnews.com 박소현 기자