정부통합전산센터 사이버안전과
우리나라 정부부처 및 공공기관 정보화의 심장인 정부통합전산센터. 안전한 전자정부 구현을 위해 각 부처에 흩어져 있는 정보 시스템을 통합해 각종 사이버침해로부터 국가정보자원을 안전하게 보호하는 곳이다.

현재 전자정부시스템 통합운영 환경은 국제사회로부터 매우 이상적인 전자정부 모델로 평가받고 있다. 전자정부 수출상품이 되어 연간 400여명의 각국 정부 고위관료가 벤치마킹하고 있으며, 기자가 방문한 날에도 오후에 외국에서 온 손님들을 대상으로 투어 일정이 잡혀 있었다.

이러한 위상은 지난 2010년에는 데이터센터 우수상(Future Gov)을 수상하는 영예를 통해서도 실감할 수 있다. 이에 본지는 정부통합전산센터를 직접 방문해 센터가 어떻게 운영되는지 보안위협에 대해 어떻게 대응하고 있는지 살펴봤다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
정부통합전산센터는 47개 중앙 행정기관의 1만 8천여 대 정보시스템을 통합관리·운영하고 있다. 때문에 출입하는 것 자체가 쉽지 않다. 면회실에서 출입신청서를 작성해서 제출하는 것은 기본이고, 별도로 면회실에 마련된 PC를 통해 방문 목적과 방문자의 인적사항, 접견자의 정보 등을 추가로 신청해야 한다. 승인이 완료되면 만나려고 하는 접견자에게 자동으로 해당 내용이 전달되며, 해당 담당자와의 직접통화하고, 승인이 돼야지만 출입이 가능하다. 물론 직접 접견실로 마중 나와야 한다.

게다가 노트북이나 카메라, 소지품 등은 그 어떤 것도 반입할 수 없다. 때문에 취재하기 위해 들고 갔던 기자의 노트북과 카메라는 고스란히 접견실에 마련된 보관함으로 직행했다.

철저한 출입통제로 국가 정보시스템 보호
방대한 정보시스템을 통합관리·운영하고 있는 만큼 시스템은 독자 개발한 통합운영 시스템인 n-TOPS를 통해 실시간 처리되며, 통합센터와 개별부처를 유기적으로 연결해 안정적인 시스템 운영 서비스를 하고 있다. 특히 센터 구축 이전에는 월평균 장비당 67분이었던 장애시간이 2010년 기준 5.4초로 크게 단축됐다. 또한 ISO20000 국제 인증을 취득했다.

정부통합전산센터의 기술과 노하우로 구축한 통합보안체계인 ‘e-ANSI성’은 해킹, 바이러스, 디도스 등 어떠한 유형의 사이버 위협도 전자정부 시스템에 접근할 수 없도록 방어한다. 또한 재난대비를 위해 정부통합전산센터는 화재, 지진, 정전, 테러 등 각종 자연적, 인위적 재난에 대비한 업무연속성 관리체계(BCM)와 재해복구 시스템(DRS)을 갖추고 있어 어떠한 위기상황에서도 국정 핵심서비스는 중단 없이 국민들에게 제공된다. 이와 관련해서는 BS25999 국제인증을 보유하고 있다.

효율적인 전자정부를 위해 정부통합전산센터는 정부의 시스템을 통합 구매해 자원풀(pool)을 구축하는 동시 하드웨어와 소프트웨어를 인터넷을 통해 빌려 쓰는 클라우드 컴퓨팅 환경도 마련했다. 이를 통해 정보자원을 활용할 수 있는 것은 물론, 국가 전체예산도 절감할 수 있게 되었다. 지난 2011년에는 IT 거버넌스 우수상(ITSMF)을 수상했다.

또한 국내외 데이터센터의 장점을 모두 반영해 구축한 정부통합전산센터는 건물, 전기, 공조, 소방 등 최적의 시스템 운영 인프라와 보안환경을 구축하고 있다. 또한 국가기관을 빠르고 안전하게 그물망처럼 연결해주는 ‘국가정보통신망’을 구축해 고품질의 통신서비스를 제공하고 있다. 뿐만 아니라 빅데이터를 기반으로 한 nSIM 솔루션을 통해 차세대 IDC로 나아가고 있다.

nSIM 주요기능은 ▲운영모니터 ▲침해대응 ▲장애대응 ▲통계/보고다. 운영모니터의 경우 모든 시스템의 운영 상태를 시각화해 실시간으로 모니터링 한다. 침해대응은 사이버공격을 모든 보안장비의 연관분석을 통해 감시 예방 및 대응을 할 수 있도록 도와준다. 장애대응은 시스템의 장애현황을 실시간으로 파악하고 장애원인 파악 및 대응능력을 향상시킨다. 통계/보고는 모든 정보를 통계화해 운영 장애 침해활동의 패턴을 파악한다.

특히 APT(Advanced Persistent)와 같은 공격에는 분명 한계가 존재한다. 근래 공격의 위협은 장기간 정상 사용자와 구분이 가지 않는 범위 내에서 정보를 취합하다가 취약점이 충분하게 모아진 순간 공격으로 전환된다. 때문에 정상 접근까지 수집하여 분석할 필요성이 대두되고 있다.

이러한 정상접근 데이터는 엄청난 데이터 사이즈와 정형화 되어 있지 못하다는 점에서 그간의 기술로는 부족했다. 정부통합전산센터(NCIA)는 빅데이터 기술을 이용해 정상접근까지 포괄하는 사이버대응 체제로 전환해 국가보안수준 향상을 모색하고 있다.

이에 사이버대응 체제의 전환으로 알려지지 않은 공격 대응을 위해 정상접근까지 분석을 확대하고, 빅데이터 기반의 상관분석을 한다. 또한 End to End 로그 분석을 통해 숨겨진 위협에 대해 분석한다.

정부통신기반시설 보호를 위해 뭉친 3인방
정부통합전산센터 정보통신기반시설 보호대책과 각종 사이버 침해대응과 예방 등 사이버안전을 위한 업무를 총괄하고 있는 사이버안전과 김기원 과장과 정보보호기획 업무를 담당하는 신익성 사무관, 그리고 침해대응 업무를 담당하는 고경희 사무관을 만나 우리나라 전자정부의 사이버위협에 어떻게 대응하며, 센터를 운영하고 있는지 자세히 들어봤다. 다음은 일문일답 내용이다.

Q. 정부통합전산센터 사이버안전과에 대해 소개해 달라
김기원 과장: 정부통합전산센터가 발족된 지는 10여년 정도 됐지만 사이버안전과는 여러 부서에 산재해 있던 사이버침해대응과 예방기능 등을 총괄하기 위해 지난 2012년 신설되어 3년째 운영되고 있다.

사이버안전과는 전자정부 서비스의 안전성과 신뢰성 확보를 위해 현재 정보보호기획계, 침해예방계, 침해대응계, 정보보호지원계 총 4개 파트로 구분돼 운영되고 있다. 사이버안전과에서는 ▲정보통신보안·정보보호 정책의 수립 ▲정보통신 보안성 점검·평가 및 관리 ▲사이버위협 동향의 분석 및 대응방안 마련 ▲정보시스템의 취약점 점검·분석과 대응조치 지원 ▲사이버침해 탐지·분석 및 차단 ▲사이버 침해사고 대응 총괄·복구 지원 ▲재발방지 대책 마련 등 다양한 업무를 수행하고 있다.

Q. 정부통합전산센터인 만큼 사이버공격도 많을 것 같은데 어떻게 대응하고 있나?
김기원 과장: 자동 탐지되는 공격징후만 하루 평균 6만~10만 건이다. 최근에는 공격이 갈수록 지능화·고도화 되고 있는 등 공격 수준도 매우 높고 까다롭다. SSL프로토콜 기반 공격이나 SSL 암호화 기반의 공격 등도 탐지된다.

통합관제센터 종합상황실에서는 네트워크 관제, 서버 관제, 사이버위협 관제 등 3개 파트 총52명의 보안담당자들이 4개조 3교대로 24시간 365일 실시간으로 관제 업무를 수행하고 있다. 특히, 알려지지 않은 공격 대응을 위해 로그분석부터 정상접근까지 분석범위를 확대하고 있다. 또한, 빅데이터 기반의 상관분석 등 실시간 탐지를 통해 보안을 강화하고 있다.

Q. 최근 관심 있게 보고 있는 보안위협은?
김기원 과장: 핵, 국방, 원천기술 등 국가기밀이나 중요자료를 노리는 지능형 지속위협(APT) 기반의 해킹공격과 국가정보통신망 전체를 마비시킬 수 있는 대용량 디도스(DDoS) 공격에 대해 주의 깊게 모니터링하면서 대응하고 있다. 특히, OpenSSL, 배시(BASH) 등 고위험성 취약점과 SSL 기반의 디도스 공격에 대한 보안규칙 개발과 적용, 그리고 공공아이핀 등 주요 인증시스템의 인증우회 공격 대응에 역점을 두고 있다.

Q. 공공기관에서 공통적으로 많이 발생하는 보안위협이나 취약점 어떤 것들이 있나
김기원 과장: 공공기관이 보유한 중요자료나 개인정보를 노리는 해킹 시도와 함께 웹사이트와 인터넷 메일 등 외부에 공개된 시스템에 대해 사회공학적 기법을 악용한 공격이 가장 큰 위협이라 할 수 있다. 이는 사람의 심리를 이용하는 것으로, 이에 따라 정부부처, 공공기관 보안담당자들의 정보보호 교육 측면에도 만전을 기하고 있다.

Q. 그간 해킹사고가 발생한 공공기관의 공통된 문제점과 주요 원인은 무엇이라고 보나.
고경희 사무관 아무래도 기관 규모가 작은 시·군·구 단위의 지방자치단체 및 관련 소속기관과 산하기관에서 운영되는 웹사이트는 중앙부처와 광역자치단체의 시스템보다 상대적으로 보안이 허술할 수 있다. 정보보호 조직 및 인력 구성과 예산확보가 현실적으로 힘들뿐더러 보안이 적용된 시스템이라 하더라도 지속적인 보안관리가 이루어지기가 쉽지 않다. 이는 결국 보안사고로 이어지는 주요 원인이 되기도 한다.

Q. 침해사고 분석 업무를 하시면서 에피소드 하나 소개해 주신다면?
고경희 사무관: 금요일 근무를 마치고 지방으로 차를 몰고 가던 중 ‘침해사고 대응 비상소집령(CERT)’이 발령된 적이 있다. 차를 돌려 센터로 복귀해 대응 업무를 수행했다. 빠른 대처로 별다른 피해가 없었지만 당시 스케줄로는 지방으로 가야 했는데 갈 수 없었다. 아무튼 고속도로에서 차를 몰고 가는 도중 소집되는 침해사고 대응 비상소집령은 반갑지 않은 손님이다(웃음). 이러한 경험이 고생스럽긴 했어도 그때 함께 대응했던 직장동료들과 밤늦도록 사이버대응을 화제로 다양한 의견을 주고받으며, 사이버보안의 중요성을 다시 한 번 체감할 수 있었다.

Q. 가장 기억에 남는 침해사고 혹은 공격기법은 무엇인가?
고경희 사무관: 6.25사이버테러 때 국무조정실 웹사이트 해킹과 국가정보통신망 DNS를 타깃으로 한 디도스 공격이 동시에 발생했던 당시가 가장 기억에 남는다. 그 이유는 웹해킹과 디도스 공격이 동시다발적으로 발생한 경우가 거의 없었기 때문이다. 다행히 평소 실제 공격에 대한 대응 경험과 실전에 가까운 모의훈련 덕분으로 신속하게 대처할 수 있었다. 하지만 늘 그렇듯 미연에 공격을 방지하지 못했다는 아쉬움은 남아 있다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	김기원 과장(좌)과 신익성 사무관(우)

Q. 정부통합전산센터에 근무하면서 가장 보람될 때는?
신익성 사무관: 정부통합전산센터가 발족한지가 10여년이 됐다. 양적·질적 규모가 처음보다 크게 확대됐으며, 우리나라 전자정부의 국제적 위상 제고에 정부통합전산센터가 큰 역할을 하고 있다고 자부하고 있다. 특히, 대내외적으로 인정을 받고 있다는 점에 가장 큰 보람을 느끼고 있다.

Q. 반대로 가장 큰 애로사항은 무엇인가
신익성 사무관: 첫 번째 애로사항은 센터에 입주하고 있는 중앙부처의 협조를 이끌어내는 것이다. 이는 센터뿐만 아니라 서비스를 개발하고 제공하는 주체인 중앙부처의 높은 보안의식과 적극적인 협력이 있어야 사이버안전이 보장될 수 있기 때문이다.

현재 정부통합전산센터는 44개 중앙행정기관의 정보시스템 약 25,000대가 대전과 광주센터에 분산되어 입주해 있다. 그러다 보니 입주기관의 보안의식과 책임감이 요구된다. 해당 시스템이 건강한 상태로 입주해 있어야 안전하게 관리할 수 있기 때문이다. 따라서 해당 기관에서의 자체적인 취약점 점검 등 보안 강화는 매우 중요하다. 물론 센터에서도 사이버공격을 차단하기 위해 최선을 다하겠지만 안전한 서비스 개발을 위해서는 애플리케이션 개발단계에서 시큐어코딩을 반드시 적용하는 등 적극적인 협조가 필요하다.

또 다른 애로사항은 정보공유에 대한 문제다. 정부통합전산센터는 연구조직이 아닌 운영조직이기 때문에 신·변종 공격에 대한 대응방안이나 향후 발생할 수 있는 보안위협에 대해 미연에 방지할 수 있는 방안을 고민하고 대응책을 마련하는 데 한계가 있을 수 있다. 이러한 측면에서 국가보안기술연구소나 한국인터넷진흥원, 혹은 민간업체의 노하우를 좀 더 원활히 공유할 수 있다면 좀 더 효율적으로 대응할 수 있을 것으로 보인다.

Q. 우리나라 보안수준 향상을 위해 개선되어야 할 점은 무엇이라고 보는가
신익성 사무관: 아무래도 예산과 인력 측면에서 확충이 필요하다. 보안업무는 당장 눈에 띄는 성과가 나타나는 업무가 아니다. 때문에 다른 안전 분야와 같이 예산을 확보하는데 다소 어려움이 있다. 사고가 난 후, ‘소 잃고 외양간 고치는’ 방식의 예산 편성보단 평소 보안을 위한 적극적인 투자가 필요하다.

두 번째로는 보안업무 담당자들의 처우 문제가 개선돼야 한다. 업무가 전문적이고 침해사고에 늘 대비해야하기 때문에 항시 긴장해야 한다. 게다가 막상 사고가 나면 책임을 묻기 때문에 공무원들이 보안업무를 희망하지 않는 경우가 많다. 어렵고 힘든 일을 하는 만큼 승진이나 성과 평가에 있어 충분한 보상이 마련되어야 한다고 생각한다.

Q. 공공기관의 보안 담당자들에게 요구되는 자질은?
신익성 사무관: 소통과 실무능력이 중요하다. 여느 조직이 다 그렇겠지만 보안업무는 다양한 정부부처 등 타 조직과의 협업으로 완성될 수 있기 때문이다. 그러기 위해서는 어려운 보안기술을 쉬운 언어로 표현할 수 있어야 하며, 그 필요성에 대해서 적극적으로 설득할 수 있는 소통 기술이 무엇보다 필요하다. 또한, 보안은 아주 작은 구멍으로도 뚫릴 수 있어 기술적 대응능력 및 통찰력이 있어야 한다. 이를 위해선 이론과 더불어 실무 경험이 무엇보다 요구된다.

Q. 향후 정부통합전산센터의 운영계획은?
김기원 과장: 올 하반기까지 ‘사이버 침해위협 분석대응 훈련장’을 구축해 사이버침해에 대한 사전탐지와 대응훈련을 실제 상황에 맞게 운영할 계획이다. 또한, 주요 정부기관 및 민간기업과 사이버침해 관련 정보를 공유함으로써 국가차원에서의 사이버공격 예방과 대응에 만전을 기할 수 있도록 최선을 다할 예정이다.

그리고 정부통합전산센터를 ‘국가 클라우드 센터’로 발전시키기 위해 오는 2017년까지 입주 시스템의 약 60%를 클라우드로 전환하는 것을 추진 중에 있다. 특히, 클라우드 분야의 사이버위협 차단에 중점을 둘 예정이며, 빅데이터를 기반으로 다양한 로그정보를 상관 및 시계열 분석을 통해 보안위협을 사전에 제거하는 등 사이버침해 예방 강화에 주력할 방침이다.

[글 시큐리티월드 김경애 기자(sw@infothe.com)]

[월간 시큐리티월드 통권 223호 (sw@infothe.com)]

<저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지>