"초당 25만건 사이버 공격 막는다"…SK 시큐디움의 '총성없는 전쟁' [IT돋보기]

[아이뉴스24 김혜경 기자] '365일 총성없는 전쟁'

정보통신기술(ICT) 기업 밀집 지역인 판교. 중심부에는 SK쉴더스의 사이버보안관제센터인 '시큐디움 센터(Secudium Center)'에서 벌어지는 일이다.

21일 실제 방문한 관제센터에서는 파란 조명 아래 수십명의 직원들이 각자 앞에 놓인 3대의 모니터를 주시하고 있었다. 앞쪽에 위치한 대형 스크린 중앙에는 각 대륙을 잇는 여러 개의 선들이 쉴 새 없이 밝게 빛나고 있었다.

이날 SK쉴더스 판교 사옥에서 미디어 세미나에서 김종현 시큐디움 센터장은 "화면에 보이는 라인들은 실시간으로 사이버 공격을 시도하고 있다는 표시"라며 "센터에서는 2천여개 고객사를 대상으로 모니터링을 통해 초당 25만건, 일일 79억건, 연간 8조건에 달하는 위협 데이터를 수집·방어하고 있다"고 설명했다.

SK쉴더스는 2016년 시큐디움이라는 보안관제플랫폼을 개발해 센터의 메인 시스템으로 구축했다. 시큐디움은 '시큐리티(Security)'와 단상을 뜻하는 '포디움(Podium)'의 합성어로, 보안관제의 주춧돌이 되겠다는 의미를 담았다고 회사는 설명했다.

김 센터장은 "지난해 12월과 지난달 각각 벌어진 '로그포쉘(Log4shell)'‧'스프링포쉘(Spring4shell)' 제로데이 위협(Zero-Day Attack)에도 신속한 정보 수집과 자체 위협 탐지로 대응했고 현재까지 고객사 피해는 없는 것으로 분석됐다"며 "해킹 기법이 끊임없이 발전하고 모든 산업 영역에서 보안 관리 범위가 확대되면서 통합 관제 플랫폼의 중요성이 커지고 있다"고 강조했다.

제로데이는 보안 취약점이 발견됐을 때 해당 취약점을 방어할 수 있는 패치가 나오지 않은 시점에서 이뤄지는 사이버 공격을 뜻한다.

보안 위협 분석은 ▲로그 수집 ▲해킹 위협 탐지 ▲해킹 영향도 분석 ▲공격 대응 ▲대응 결과 보고 등의 순으로 이뤄진다. 효율적인 위협 판단을 위해 인공지능(AI) 기술을 이용하고 있으며, AI 분석 결과 위험도가 높은 이벤트의 경우 전문가가 개입해 처리하는 구조다. 분석 과정에서는 로그 데이터와 함께 '위협 인텔리전스(Threat Intelligence‧TI)' 조회도 병행한다. TI는 공격 기법과 유형, 히스토리 등 위협 분석 데이터를 총망라한 것이다.

김 센터장은 "분석이 끝난 후에는 고객사에 분석 보고서를 보내는데 사안에 따라 공격자에게도 메시지를 함께 발송한다"며 "공격을 방어했다는 내용과 함께 국내 공격자로 분류될 경우 어떤 법과 제도를 위반했는지 등도 함께 포함하고 있다"고 설명했다.

세미나에서는 최근 엔비디아와 삼성전자, 마이크로소프트(MS) 등을 공격한 해킹조직 '랩서스'의 공격 기법과 대응 방안도 소개됐다. 김성동 SK쉴더스 탑서트(Top-CERT) 팀장은 "랩서스는 공격을 수행하기 전 다크웹을 통해 공격 타깃으로 삼은 임직원 정보를 구매하거나 이메일 피싱을 통한 악성코드 배포 등으로 계정 정보를 습득했다"며 "이같은 방식으로 습득한 계정을 이용해 내부 시스템에 침투한 후 필요한 정보들을 탈취했을 것"이라고 분석했다.

김 팀장은 최초 정보 수집 단계에서 계정 유출에 대한 모니터링이 미흡했다고 진단했다. 그는 "다크웹 모니터링과 이메일 악성코드‧APT 탐지 솔루션을 구축해야 한다"며 "특히 이메일을 겨냥한 해킹 공격은 매년 급증하고 있으므로 효과적인 솔루션 도입이 중요하다"고 강조했다.

김태형 EQST 담당은 이날 드론 모의 해킹을 시연했다. EQST는 SK쉴더스의 화이트해커그룹이다. 김 담당은 "과거에는 각종 언어와 네트워크 기술 등 전문지식을 습득해야만 해킹을 시도할 수 있었다"며 "그러나 최근에는 자동화 툴(도구)을 이용해 누구나 쉽게 해킹을 할 수 있는 상황"이라고 말했다.