• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

CISO 뉴스

보안 제품정보

[구축사례] 국가핵융합연구소, 통합 보안관리 솔루션 도입記 2015.07.21

클라우드 기반 통합 로그관리로 연구소 보안 모니터링 강화


[보안뉴스 민세아] 지난해말 한수원 사태 이후, 국가기반시설의 보안이 화두가 되고 있다. 발전소, 핵, 전력, 통신 등 국가기반시설의 보안은 결국 국민의 생명과 직결돼 있다는 시실을 인식했기 때문이다. 최근 이러한 주요 국가기반시설 가운데서도 선진적인 보안관리체계로 주목을 받은 곳이 있다. 바로 국가핵융합연구소(NFRI)다.


▲ 국가핵융합연구소 전경


국가핵융합연구소라고 하면 쉽게 원자력 발전시설을 생각하기 쉽지만 국가핵융합연구소는 태양에너지의 원리인 핵융합에너지를 연구하는 곳으로, 원자력 발전시설과는 조금 다르다. 핵분열로 에너지를 얻는 원자력 발전과는 달리 핵융합 에너지는 수소의 융합과정에서 에너지를 얻어 보다 친환경적이라는 호평과 함께 미래 인류의 희망에너지로 손꼽히고 있다.


그러나 이 역시 핵을 기반으로 한 에너지다. 핵을 다루는 기술인만큼 그 기술력은 물론 기술을 보호하기 위한 내부정보 유출관리, 사이버 침해공격에 대응하기 위한 보안 솔루션와 체계도 매우 중요하다. 이와 관련 빅데이터 기반의 보안이벤트정보관리(SIEM) 솔루션이 주목을 받고 있는 추세에서 국가핵융합연구소가 그 선례를 보여주고 있다.


국가핵융합연구소의 정보보안을 책임지고 있는 정보전산팀 이도섭 선임기술원은 업무를 수행하면서 느꼈던 통합 보안관리의 필요성에 대해 말했다. “국가핵융합연구소는 기반시설이기 때문에 국가사이버안전센터의 관제를 받고 있습니다. 내·외부의 모든 트래픽을 관제하고 있지만 상당히 많은 공격에 모두 대응하지 못하는 경우도 있어 통합적인 관리가 필요하다는 점을 느꼈습니다.”


“보안 솔루션이 많이 발전했기 때문에 해커들도 정공법으로 침투하기 어렵다는 것을 압니다. 그래서 내부 인력을 공격대상으로 삼은 표적공격 방식으로 변화하고 있죠. 이 때문에 포인트 솔루션을 아우르는 또 다른 시스템이 필요했습니다.”


이도섭 선임기술원은 통합 보안관리 솔루션 도입시 로그관리와 위협분석에 초점을 맞췄다. 또 사전대응을 위해 장비를 도입했지만 보안위협뿐만 아니라 시스템 내부의 트러블에도 대응하기 위한 기능이 필요했다. 그래서 도입한 것이 IBM의 큐레이더(Qradar)다.


큐레이더는 클라우드 기반 서비스형 소프트웨어로, 연구소 내 거의 모든 장비에서 발생한 로그들을 통합해 상호 연관관계를 분석한다. 상관관계 및 이상현상 감지능력으로 어떤 위협이 발생할지 미리 예측하는 기능을 제공한다. 이전에 지역센터에서 장비 온도가 급상승하는 문제를 이상현상으로 캐치해 위협을 알린 사례를 예로 들 수 있다. 또한, IBM의 엑스포스(X-Force) 연구소에서 정기적으로 제공하는 전 세계 위협정보를 받아볼 수 있고, 이러한 정보를 토대로 계속해서 패치를 진행한다.


하지만 이러한 통합 보안관리 장비를 도입할 때도 어려운 점이 있었다. 보통의 솔루션보다 약 2~3배 정도 높은 가격과 통합 보안정보를 제공하는 만큼 솔루션을 효과적으로 운영하기가 쉽지 않다는 점이었다. “똑똑하지 않으면 못 쓰는 솔루션이에요.” 이 선임기술원은 큐레이더를 잘 운영하려면 연구소의 시스템 정책 전체를 이해해 룰을 설정해야 한다고 말했다.


또 로그 사이징에 관한 문제가 있다. 시스템에 하루 동안 어느 정도의 로그가 발생하는지 사전에 엔지니어들과 협의하지만, 담당자가 발생하는 로그 양을 정확히 알 수 없는 법이다. 로그 사이즈를 제대로 파악하지 못한 상태에서 사이즈를 적게 계산해 도입했을 때 메모리가 금방 가득 차버리는 문제가 있었다고. “사전에 실제 장비로 연동시켜 보고 정확한 양을 측정한 후 도입하는 것이 좋은 방법”이라고 이 선임기술원은 덧붙였다.


이 선임기술원은 통합 보안관리 솔루션을 도입함으로써 임직원들이 어떤 정보 시스템에 접근하더라도 담당자의 통제 하에서 관리할 수 있고, 이벤트들 간의 연결고리를 담당자가 원하는 로직에 맞게 잘 볼 수 있어 원하던 높은 가시성 측면에서 만족스러움을 나타냈다.


▲국가핵융합연구소 정보전산팀 이도섭 선임기술원


“기관 규모는 비교적 작은 편이지만, 정보보안 체계나 정책을 만드는 데 있어서는 선제적으로 잘 대응해오고 있다고 생각합니다. 기초기술 분야나 인문사회계열 공사에서도 견학을 많이 오는데, 팀 자체적으로 열심히 하는 것도 있지만 임원진의 적극적인 관심과 예산 투자·지원이 바탕이 돼 다른 연구소들에 비해 보안 부분에 있어서 모범을 보일 수 있는 것 같아요.”


다만 기술유출 예방을 위한 관리에 어려움을 겪고 있다고 이 기술원은 말했다. 연구를 수행하면서 중요 기술 등에 대한 관리의 중요성을 아직 인식하지 못하는 내부직원들이 있다고. 또한 보안정책을 적용할 때에도 보안정책이 너무 강하면 ‘연구에 지장을 준다, 협업이 안 된다’는 의견을 연구원들에게 간혹 받는다고 한다.


때문에 내부 보안교육이 매우 중요한데, 정보전산팀에서 임직원들에게 1년에 두 번 정보보안과 개인정보보호 교육을 진행하고 있고, 일반보안과 시설보안에 관한 부분은 안전보안팀에서 담당하고 있다. 이 외에도 국가사이버안전센터나 기업의 보안전문가를 초빙해 내부교육을 진행하기도 한다.


보안 관련해서 추가 장비 도입 계획은 당분간 없다는 입장이다. 지금까지 도입된 장비들도 아직 100% 활용하지 못하고 있다는 생각에서다. 이 선임기술원은 기존 도입 장비들과 시스템 간의 안정화에 향후 초점을 맞출 계획이라고 전했다.

[민세아 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>