국가 과학기술 핵심연구정보자원 보호 KISTI S&T-SEC

[시큐리티월드 민세아] 우리나라에는 수많은 연구기관들이 존재한다. 해킹의 위협이 높아지고 있는 요즘, 연구기관들도 이로부터 자유롭지 못하다. 교육기관과 금융기관 등의 사이버 보안 위협을 탐지하고 대응하는 기관이 따로 있듯 연구기관의 보안위협을 탐지하고 대응하는 곳이 있다. 바로 한국과학기술정보연구원(KISTI)의 과학기술사이버안전센터(S&T-SEC)다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲종합상황실

지난 2004년 4월 이후 10개 공공기관이 중국발 해킹공격에 의해 정보유출 사건이 발생했으나 해킹 사건이 발생한 후 50일이 지나도록 피해사실조차 파악하지 못했다. 이에 당시 과학기술부(現 미래창조과학부)를 중심으로 과학기술 분야 정보보안 실태를 점검하고 개선하기 위한 일환으로 과학기술사이버안전센터(이하 S&T-SEC)가 설치·운영을 시작했다.

S&T-SEC(Science and Technology SEcurity Center)는 2005년 3월, 과학기술계 출연연 총 41개 기관을 중심으로 네트워크 기반 실시간 보안관제 인프라와 정보보호시스템 연계 기반 종합정보분석 인프라를 구축하고 서비스하기 위해 당시 과학기술부(현 미래창조과학부)가 주관해 ‘과학기술정보보호센터’라는 이름으로 만들어졌다.

이후 2008년 중앙부처가 개편됨에 따라 관할부처가 과학기술부에서 교육과학기술부(현 미래창조과학부)로 변경되면서 명칭 또한 ‘과학기술사이버안전센터’로 바뀌었다. 2013년에 교육과학기술부가 미래창조과학부로 개편되면서 과학기술분야 총 51개 기관을 중심으로 서비스하게 됐다.

KREONET 활용, 국가 과학기술 핵심 연구정보자원 보호
현재 ‘과학기술사이버안전센터’는 과학기술연구망(KREONET)을 활용해 58개 첨단응용연구그룹을 대상으로 국가 과학기술 핵심 연구정보자원을 보호하고 있다. S&T-SEC의 활동은 추진전략 별로 크게 네 가지로 나눠 설명할 수 있다.

먼저, 안전한 연구 환경 조성(Safety)이다. S&T-SEC은 실시간 보안관제, 분석, 긴급 대응 지원이라는 일련의 과정을 통해 웹사이트 위·변조 실시간 모니터링, DNS 싱크홀 서비스, 가상환경 기반 악성행위 사전차단 서비스, 웹사이트 보안수준 자가진단 서비스, 취약점 점검·사이버전 모의훈련 기술지원 등의 역할을 수행한다.

두 번째로는, 국가 차원의 정보보호 인프라(Infra) 활동이다. S&T-SEC은 국가과학기술연구망(KREONET)을 통해 정보보호 인프라를 구축하고 운영한다. 전국에 흩어져 있는 지역망 센터의 침해 위협 정보를 수집하고 분석해 51개의 관련 출연연구기관에 공유하는 역할을 한다.

세 번째로는 세계 수준의 정보보호 기술(Tech)을 선도하는 역할이다. 국내에서는 국가정보원 산하의 국가사이버안전센터(NCSC)와 국가보안기술연구소(NSR), 한국인터넷진흥원(KISA)의 인터넷침해사고대응지원센터(Kr-CERT) 등 유관기관과 함께 국가 차원의 일원화된 공동대응을 통해 정책·기술을 공유한다.

국외로는 일본 정보통신연구원(NICT), 일본 국립정보학연구소(NII), 일본 나고야대학교 등이 속한 국제 컴퓨터 침해사고 대응 협의회(FIRST)를 통해 국제 공조체계를 구축하고 대응기술을 연구하는 등의 역할을 수행한다.

뿐만 아니라 빅데이터 기반의 보안관제 고도화 작업을 통해 기존에 인적 기반의 수동적인 분석 방법에서 벗어나 시스템 기반의 자동 검증을 통해 정확성·신속성을 향상시켰다.

또한 실시간 보안이벤트 가시화(K-Cube) 기술을 통해 보안관제의 직관성을 확보하고 DDoS 등 대규모 침해공격 시 신속한 대응이 가능하게 됐다. KREONET 기반의 신·변종 악성행위 수집·분석 환경도 여기에 한 몫 했다.

마지막으로는 최고의 정보보호 전문가(Experience)를 통해 대규모 네트워크 기반 보안관제 기술 선도 및 실용화를 위한 R&D 핵심역량을 강화하는 활동이다. 국가과학기술연구망을 통해 사이버 위협정보를 수집하고, 자동화된 해킹탐지 규칙을 생성하는 등의 해킹공격 프로파일링 기술, 가상환경 기반의 신·변종 공격을 검출해 해킹공격을 유인하고 역추적 하는 기술, 대용량 보안정보를 자동 검증하는 보안 빅데이터 처리 기술 등이 이에 해당한다.

독자적 보안관제를 위한 종합정보분석시스템(SMART) 구현
S&T-SEC은 전문화된 ‘논스톱’ 실시간 관제와 분석체계 마련을 통해 침해사고 피해를 최소화했다. 2005년부터 연간 2천 건 이상의 위협상황을 조기에 발견하고 신속하게 대응하고 있으며, 종합상황실에서 최초 위협상황을 인지한 후 대응방안을 마련해 통보하는 ‘침해대응 지원 신속성’을 향상시키는 결과를 가져왔다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲종합상황실 기반 실시간 관제/분석 및 긴급대응 지원 실적

또한 국내·외 정보보호 시장과 기술분석을 통해 창의적 보안관제 시스템을 개발하고 적용했다. 웹 기반 정보시스템의 성능 및 수익성 확대 튜닝 방법론 등 다양한 연구 노하우를 기반으로 제품공급 사에 의존하지 않고 독자적 보안관제를 위한 종합정보분석시스템(SMART)을 구현했다.

이로 인해 위에 언급한 웜·바이러스, 악성코드 유포 등을 연간 2천 건 이상 조기 발견해 피해를 최소화 하고 있다. 이는 교육사이버안전센터, 국가보안기술연구소 등 타 보안관제 센터에서 상황관제를 위한 핵심 시스템 구축을 위한 객관적 표준모델로 활용하는 좋은 사례가 됐다.

더불어 침해사고 예방을 위한 최신 해킹기술 분석 및 성공적 기술접근 체계를 마련했다. 지난 2009년 7.7 사이버 대란을 경험하면서 악성코드에 감염된 좀비PC의 근원적 문제 해결의 중요성을 인지한 후 자체기술을 활용해 독자적인 DDoS 대응체계를 구축·운영하고 있다. 중앙집중식 좀비PC 활동 차단을 위한 DNS 싱크홀 서비스를 자체 개발하고 과학기술분야 출연연에 적용해 연간 5만 건 이상의 좀비PC 활동을 사전에 차단하는 것이다.

해당 기술 적용·확산을 통해 2011년 3.4 DDoS 공격 발생 시 연구기관에서는 좀비PC 활동이 전무했으며, 교육사이버안전센터(교육기관 정보보호 컨트롤타워, ECSC)에 기술을 전파하고 교육기관에 적용함으로써 좀비PC 활동이 현저히 줄어드는 성과를 창출하기도 했다.
[글 사진 시큐리티월드 민세아 기자(sw@infothe.com)]

[월간 시큐리티월드 통권 228호(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>