한국과학기술정보연구원 과학기술사이버안전센터(S&T-SEC) 탐방기

[보안뉴스 민세아] 우리나라에는 수많은 연구기관들이 존재한다. 해킹 위협이 높아지고 있는 요즘, 국가핵심기술을 연구 및 보유하고 있는 연구기관들의 보안은 그 어느 곳보다 중요하다. 교육·금융기관 등 각 분야별 사이버 위협을 총괄 대응하는 곳이 있듯, 연구기관의 보안위협을 탐지·대응하는 사이버안전센터가 있다. 한국과학기술정보연구원(KISTI) 과학기술사이버안전센터(이하 S&T-SEC)가 바로 그곳이다.


지난 2004년 4월 이후 10개 공공기관이 중국발 해킹에 의한 정보유출 사건이 발생했다. 그러나 해킹 공격이 발생한 후 50일이 지나도록 그 누구도 피해사실을 파악하지 못했다. 이에 당시 과학기술부(現 미래창조과학부)를 중심으로 과학기술 분야 정보보안 실태를 점검하고 개선하기 위해 S&T-SEC가 설치·운영되기 시작했다.

S&T-SEC는 지난 2005년 3월, 과학기술계 출연연 총 41개 기관을 중심으로 네트워크 기반 실시간 보안관제 인프라와 정보보호시스템 연계 기반 종합정보분석 인프라를 구축하고 서비스하기 위해 당시 과학기술부(現 미래창조과학부)가 주관해 ‘과학기술정보보호센터’라는 이름으로 만들어졌다.

이후 2008년 중앙부처가 개편됨에 따라 관할부처가 과학기술부에서 교육과학기술부(現 미래창조과학부)로 변경되면서 명칭 또한 ‘과학기술사이버안전센터’로 바뀌었다. 2013년에 교육과학기술부가 미래창조과학부로 개편되면서 과학기술분야 총 51개 기관을 중심으로 서비스하기 시작했다.

KREONET 활용, 국가 과학기술 핵심 연구정보자원 보호
현재 ‘과학기술사이버안전센터’는 과학기술연구망(KREONET)을 활용해 국가 과학기술 핵심 연구정보자원을 보호하고 있다. S&T-SEC의 활동은 추진전략 별로 크게 네 가지로 나눠 설명할 수 있다. 바로 Safety, Infrastructure, Technology, Experience(SITE)다.

먼저, 안전한 연구 환경 조성(Safety)이다. S&T-SEC은 실시간 보안관제, 분석, 긴급 대응 지원이라는 일련의 과정을 통해 웹사이트 위·변조 실시간 모니터링, DNS 싱크홀 서비스, 가상환경 기반 악성행위 사전차단 서비스, 웹사이트 보안수준 자가진단 서비스, 취약점 점검·사이버전 모의훈련 기술지원 등의 역할을 수행한다.

두 번째로는, 국가 차원의 정보보호 인프라(Infra) 활동이다. S&T-SEC은 국가과학기술연구망(KREONET)을 통해 정보보호 인프라를 구축하고 운영한다. 전국에 흩어져 있는 지역망 센터의 침해 위협 정보를 수집·분석해 58개의 관련 출연연구기관에 공유하는 역할을 한다.

세번째로는 세계 수준의 정보보호 기술(Tech)을 선도하는 역할이다. 국내에서는 국가정보원 산하의 국가사이버안전센터(NCSC)와 국가보안기술연구소(NSR), 한국인터넷진흥원(KISA)의 인터넷침해사고대응지원센터(Kr-CERT) 등 유관기관과 함께 국가 차원의 일원화된 공동대응을 통해 정책·기술을 공유한다.

국외로는 일본 정보통신연구원(NICT), 일본 국립정보학연구소(NII), 일본 나고야대학교 등이 속한 국제 컴퓨터 침해사고대응협의회(FIRST)를 통해 국제 공조체계를 구축하고 대응기술을 연구하는 등의 역할을 수행한다.

최근 S&T-SEC는 빅데이터 기반의 보안관제 고도화 작업을 통해 기존에 인적 기반의 수동적인 분석 방법에서 벗어나 시스템 기반의 자동 검증을 통해 정확성·신속성을 향상시켰다. 또한, 실시간 보안이벤트 가시화(K-Cube) 기술을 통해 보안관제의 직관성을 확보하고 디도스 등 대규모 침해공격 시 신속한 대응이 가능하도록 했다. 여기에는 KREONET 기반의 신·변종 악성행위 수집·분석 환경도 한몫했다.

마지막으로는 최고의 정보보호 전문가(Experience)를 통해 대규모 네트워크 기반 보안관제 기술을 선도하고, 실용화를 위한 R&D 핵심역량을 강화하는 활동이다. 국가과학기술연구망을 통해 사이버 위협정보를 수집하는 기술로, 자동화된 해킹탐지 규칙을 생성하는 등의 해킹공격 프로파일링 기술, 가상환경 기반의 신·변종 공격을 검출해 해킹공격을 유인하고 역추적하는 기술, 대용량 보안정보를 자동 검증하는 보안 빅데이터 처리 기술 등이 이에 해당한다.

독자적 보안관제를 위한 종합정보분석시스템(SMART) 구현
S&T-SEC은 전문화된 ‘논스톱’ 실시간 관제와 분석체계 마련을 통해 침해사고 피해를 최소화하고 있다. 2005년부터 연간 2천 건 이상의 위협상황을 조기에 발견해 신속하게 대응하고 있으며, 이는 ‘침해대응 지원 신속성’을 향상시키는 결과를 가져왔다. 종합상황실에서 최초 위협상황을 인지한 후, 대응방안을 마련해 통보하는 데까지 걸리는 시간이 지난 2010년 16분 14초에서 2014년 14분 28초로, 1분 46초를 단축했다는 게 S&T-SEC 측의 설명이다.


또한, 국내외 정보보호 시장과 기술분석을 통해 창의적 보안관제 시스템을 개발하고 적용했다. 웹 기반 정보시스템의 성능 및 수익성 확대 튜닝 방법론 등 다양한 연구 노하우를 기반으로 제품공급 사에 의존하지 않고 독자적 보안관제를 위한 종합정보분석시스템(SMART)를 구현한 것이다.

이를 통해 웜·바이러스, 악성코드 유포 등을 연간 2천건 이상 조기에 발견해 피해를 최소화하고 있다. 이는 교육사이버안전센터, 국가보안기술연구소 등 타 보안관제센터에서 상황관제 핵심 시스템 구축을 위한 객관적 표준모델로 활용하는 좋은 사례가 됐다.

더불어 침해사고 예방을 위한 최신 해킹기술 분석 및 성공적인 기술접근 체계를 마련한 것으로 알려졌다. 지난 2009년 7.7 사이버 대란을 경험하면서 악성코드에 감염된 좀비PC의 근원적 문제 해결의 중요성을 인지한 후, 자체 기술을 활용해 독자적인 디도스 대응체계를 구축·운영하고 있다.

일례로 중앙집중식 좀비PC 활동 차단을 위한 DNS 싱크홀 서비스를 자체 개발하고, 이를 과학기술분야 출연연에 적용해 연간 5만 건 이상의 좀비PC 활동을 사전에 차단할 수 있었다는 것. 해당 기술의 적용·확산을 통해 2011년 3.4 디도스 공격 발생시 연구기관에서는 좀비PC 활동이 전무했으며, 교육사이버안전센터(교육기관 정보보호 컨트롤타워, ECSC)에 기술을 전파하고 교육기관에 적용함으로써 좀비PC 활동이 현저히 줄어드는 성과를 거두기도 했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>