[사이버 냉전 공습경보] (中) NCSC, 1848개 국가전산망 감시
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
네트워크 보안은 누가 책임져야 하는가.단말 단계에서는 PC 사용자 본인 소관이다.보안 시스템 구축은 정부,기업 등 조직 차원에서 담당한다.최상위 네트워크 단계는 국가정보원 국가사이버안전센터(NCSC)와 한국정보보호진흥원(KISA) 침해사고대응지원센터가 맡고 있다.
정부 전산망에 대한 사이버 공격 시도는 하루 1억건에 달한다.NCSC는 방어하기 어려운 1000여건을 자동으로 걸러내고 위협적인 100~150여건을 수작업으로 분석한다.이런 식으로 18부ㆍ4처ㆍ18청을 포함,국가ㆍ공공기관의 1848개 전산망을 연중무휴로 밤낮없이 감시하고 있다.
NCSC의 관제 시스템은 각 기관의 네트워크와 연결돼 있다.연결된 기관의 네트워크 방화벽이나 침입탐지시스템(IPS)에서 해킹이나 바이러스가 감지되면 NCSC 관제 시스템에 바로 통보된다.NCSC는 평소 '안전''양호''보통''주의''심각' 5단계로 구분해 실시간 모니터링을 한다.감지된 공격 발생지가 A국이라면 A국 국가명과 인터넷 주소 등이 모니터에 뜬다.NCSC는 어느 기관의 시스템이 해킹을 당하면 즉각 해당 기관에 알리고 조치를 취하라고 지시한다.때로는 직접 직원을 파견하기도 한다.NCSC는 현재 한국전자통신연구원(ETRI) 등과 함께 해킹 징후를 미리 파악할 수 있는 '사전위협예측시스템'을 개발 중이다.
KISA 침해사고대응지원센터는 민간 분야의 네트워크 보안을 관장한다.KT를 비롯한 112개 인터넷서비스사업자(ISP)와 60여개 인터넷데이터센터(IDC),170만개 홈페이지,1470만 인터넷 가입자가 관리대상이다.망 연결부분인 '뉴트럴 포인트(NPㆍ중립지역)'도 KISA가 관리한다.이곳은 해외에서 들어오는 사이버 공격을 막아내는 1차 관문이다.
KISA는 접속률이 높은 인기 사이트를 타깃으로 한 해킹을 차단하기 위해 2005년 'MC파인더'라는 탐지기술을 개발했다.KISA 직원들은 대표적 인기 사이트 10만여개를 지속적으로 모니터링하다가 악성코드가 발견되면 해당 서버 관리자에게 알려주고 대처 방법을 조언한다.때로는 해당 업체의 웹서버가 위치한 곳에 직접 '공개 웹방화벽'도 설치해주고 있다.
DDoS 공격도 KISA가 막는다.특정 IP 주소에 DDoS 공격이 발생하면 KISA는 해당 IP를 차단한 후 공격에 동원된 '좀비'(원격조종을 받는 PC)를 찾아낸다.좀비는 공격 명령을 내리는 '봇마스터'(해커)와 끊임없이 연결하려는 속성이 있다.이 점에 착안해 '봇넷 싱크홀'로 유인해 감염된 IP를 모두 찾아내 차단한다.이런 긴박한 과정은 불과 몇 시간 동안 일어난다.
이해성 기자 ihs@hankyung.com
정부 전산망에 대한 사이버 공격 시도는 하루 1억건에 달한다.NCSC는 방어하기 어려운 1000여건을 자동으로 걸러내고 위협적인 100~150여건을 수작업으로 분석한다.이런 식으로 18부ㆍ4처ㆍ18청을 포함,국가ㆍ공공기관의 1848개 전산망을 연중무휴로 밤낮없이 감시하고 있다.
NCSC의 관제 시스템은 각 기관의 네트워크와 연결돼 있다.연결된 기관의 네트워크 방화벽이나 침입탐지시스템(IPS)에서 해킹이나 바이러스가 감지되면 NCSC 관제 시스템에 바로 통보된다.NCSC는 평소 '안전''양호''보통''주의''심각' 5단계로 구분해 실시간 모니터링을 한다.감지된 공격 발생지가 A국이라면 A국 국가명과 인터넷 주소 등이 모니터에 뜬다.NCSC는 어느 기관의 시스템이 해킹을 당하면 즉각 해당 기관에 알리고 조치를 취하라고 지시한다.때로는 직접 직원을 파견하기도 한다.NCSC는 현재 한국전자통신연구원(ETRI) 등과 함께 해킹 징후를 미리 파악할 수 있는 '사전위협예측시스템'을 개발 중이다.
KISA 침해사고대응지원센터는 민간 분야의 네트워크 보안을 관장한다.KT를 비롯한 112개 인터넷서비스사업자(ISP)와 60여개 인터넷데이터센터(IDC),170만개 홈페이지,1470만 인터넷 가입자가 관리대상이다.망 연결부분인 '뉴트럴 포인트(NPㆍ중립지역)'도 KISA가 관리한다.이곳은 해외에서 들어오는 사이버 공격을 막아내는 1차 관문이다.
KISA는 접속률이 높은 인기 사이트를 타깃으로 한 해킹을 차단하기 위해 2005년 'MC파인더'라는 탐지기술을 개발했다.KISA 직원들은 대표적 인기 사이트 10만여개를 지속적으로 모니터링하다가 악성코드가 발견되면 해당 서버 관리자에게 알려주고 대처 방법을 조언한다.때로는 해당 업체의 웹서버가 위치한 곳에 직접 '공개 웹방화벽'도 설치해주고 있다.
DDoS 공격도 KISA가 막는다.특정 IP 주소에 DDoS 공격이 발생하면 KISA는 해당 IP를 차단한 후 공격에 동원된 '좀비'(원격조종을 받는 PC)를 찾아낸다.좀비는 공격 명령을 내리는 '봇마스터'(해커)와 끊임없이 연결하려는 속성이 있다.이 점에 착안해 '봇넷 싱크홀'로 유인해 감염된 IP를 모두 찾아내 차단한다.이런 긴박한 과정은 불과 몇 시간 동안 일어난다.
이해성 기자 ihs@hankyung.com