• 사무국
• 7월 21, 2020
• 댓글 없음

 CERT(Computer Emergency Response Team)라는 명칭은 미국 카네기멜론 대학에서 처음 사용한 것으로 알려졌다. 세계 최초의 인터넷 보안 관련 민간기구의 탄생이다. 이후 세계 각국의 여러 조직들은 사이버 보안의 중요성을 인식하게 됐고, 앞다퉈 CERT 조직을 만들기 시작했다. 그리고 CERT들은 국제공조의 필요성에 따라 ‘FIRST(Forum of Incident Response and Security Teams, 국제침해사고대응팀협의회)’란 이름으로 세계 기구를 만들었다.

▲한국인터넷진흥원 사이버위협 종합상황실[사진=보안뉴스]
그렇다면 우리나라의 CERT는 어떻게 시작됐을까? 우리나라 최초의 CERT는 1994~1995년 KREONet(국가과학기술연구망)을 운영하던 당시 시스템공학연구소에서 KREONet을 노린 사이버 위협에 대응하기 위해 만든 것으로 알려졌다. 그리고 국가차원의 CERT는 1996년 한국정보보호센터(현 KISA)가 만든 ‘해킹바이러스상담지원센터’가 최초이며, 현재 한국인터넷진흥원 사이버침해대응본부로 거듭나 민간분야의 사이버보안 강화에 앞장서고 있다.

한국을 대표하는 민간분야 국가 침해사고대응팀
사이버침해대응본부는 KISA의 조직명이며, 공식적인 CERT의 이름은 ‘KrCERT/CC(Korea CERT Coordination Center)’다. 최초로 ‘팀’ 규모로 시작했으나, 이후 1.25 인터넷 대란과 7.7/3.4 디도스, 3.20/6.25 사이버 테러 등을 계기로 침해사고 탐지-분석-대응에 전문화된 조직으로 발전했다. 현재 인원은 약 130여명이며, 특히 상황실은 5개조로 24시간 운영된다. 또한, 사건·사고 발생시 기업에 직접 출동하는 현장출동조와 해킹조직 프로파일링팀 등 다양한 조직으로 구성되어 있다.

국내 웹사이트와 주요 서비스 등에 대하여 해킹이나 장애로 인한 이상 징후를 1년 365일 24시간 모니터링하고 인터넷에서 발생하는 악성코드, 취약점, 사이버 공격을 탐지·분석·지원하는 등 민간분야의 인터넷 영역을 보호하고 있다. 참고로 공공영역은 국가정보원이 운영하는 ‘국가사이버안보센터(NCSC)’에서 맡고 있다.

한국에서는 가장 먼저 국제침해사고대응팀협의회(FIRST)에 가입해 정회원으로 활동하고 있으며, 아태침해사고대응팀협의회(APCERT, Asia Pacific CERT)에서는 창립멤버로서 운영위원 활동 및 멤버십 워킹그룹을 리드하고 있다. 아태침해사고대응팀협의회는 매년 국제 공동 모의훈련을 개최해 국가 간, 기관 간 공동 대응 협력체계를 점검하고 있는데, KrCERT/CC는 2022년 APCERT 국제 공동 모의훈련을 주관하기도 했다.

사이버침해대응본부는 사이버 위협 탐지와 모니터링, 침해사고 원인분석, 국민과 기업의 사이버 보안강화 업무를 중점 수행하고 있다. 아울러 능동적 대응체계를 구축하고 운영하기 위해 국내외 사이버위협 인텔리전스, 사이버보안전문단, 민관합동협의회 등을 통한 긴밀한 협력체계를 구축하고, 다양한 사이버 해킹사고 조사와 악성코드를 분석했던 현장 경험 등을 토대로 대규모 침해사고 발생 시 해킹 공격을 파악하고 신속하게 조치하는 데 주력하고 있다.

특히, 제48조의2(침해사고의 대응 등), 제48조의3(침해사고의 신고 등), 제48조의4(침해사고의 원인분석 등), 제52조(한국인터넷진흥원)에 따라 침해사고 발생 시 신고를 받고 사고에 대한 원인 분석, 피해확산 방지, 사고대응, 복구 및 재발 방지를 위해 노력하고 있다.

한편, KrCERT/CC는 매년 각국의 CERT 담당자를 대상으로 APISC(Asia Pacific Information Security Center) 침해사고 대응 교육을 개최하고 사이버위협 대응능력을 강화하기 위한 교류의 장을 마련하는 등 다양한 국제 활동을 전개하며 글로벌 정보보호 수준 향상을 선도하고 있다. 또한, 아시아 지역 최초로 TI(Trusted Introducer) 인증의 마지막 단계인 인증심사를 진행 중이다. TI 인증이란 유럽 CERT 커뮤니티에서 설립한 TI(Trusted Introduce)가 CERT의 보안 성숙도를 인증·평가하는 서비스로 ①등재(Listed), ②승인(Accredited), ③인증(Certified)의 총 3단계로 구성된다.

▲최광희 한국인터넷진흥원 사이버침해대응본부 본부장[사진=보안뉴스]
기업의 사이버 보안 강화 위한 체계적인 솔루션 및 서비스 제공
그렇다면 현재 사이버침해대응본부는 어떤 사이버 보안위협에 주목하고 있을까? 최광희 사이버침해대응본부장은 “해킹, 디도스 공격, 랜섬웨어 감염 등 침해사고 신고 건수는 매년 약 두 배 가까이 늘어나고 있는 상황”이라면서, “그중 랜섬웨어 공격은 올해 3월에 상대적으로 많은 피해가 있었으며, 특히 제조업체에 집중됐다”고 설명했다.

“우리나라는 여러 지역에 공장이 분산되어 관리가 어렵고, 자동화 시스템은 많지만 전문 보안인력과 장비가 부족한 상황입니다. 침해사고 분석 결과를 보면, 공격자는 기업 네트워크에 침투한 후 백업 시스템을 최우선으로 찾아 파괴하는 것을 확인할 수 있습니다. 최근 공격은 파일 암호화뿐만 아니라 내부 파일들을 외부로 유출했다가 다크웹에서 판매하거나 공개하겠다고 협박하는 등 이중으로 피해를 입히는 형태를 보이고 있습니다. 이에 대응하기 위해서는 별도의 네트워크에 백업하거나 중요 자료는 오프라인 백업을 진행해야 합니다. 또한, KISA가 지난 8월 초 배포한 랜섬웨어 대응을 위한 가이드라인 개정본을 참고하시면 도움이 될 것입니다.”

또한, 지난 6월에는 국내 보안기업의 업데이트 서버를 통한 공급망 공격이 확인되기도 했는데, 특히 보안 솔루션의 경우는 기업 보안담당자들이 이를 신뢰하고 별도의 주의를 기울이지 않는 경향도 있어 악용될 경우 피해가 더욱 커질 수 있다고 최광희 본부장은 우려했다. 이 때문에 최근 ‘제로트러스트’ 모델 도입을 검토하는 기업들이 늘고 있으며, KISA도 제로트러스트 보안 가이드라인 1.0을 발표했다고 덧붙였다.

한편, 사이버 공격에 효과적으로 대응하기 위해 체계적이고 신속하게 위협정보를 수집·공유할 수 있도록 국가차원의 공유체계를 구축·운영하고 있는데, 이것이 바로 ‘C-TAS(Cyber Threat Analysis & Sharing, 사이버 위협정보 분석공유 시스템)다. 과거에는 양방향 정보공유 방식으로 운영해 참여할 수 있는 기관이 한정적이었지만, 2021년 12월 사용자 중심으로 개편한 뒤, 기업의 정보 제공 여부를 가리지 않고 정보공유와 협력을 원하는 모든 기업이 참여할 수 있도록 전면 개방하면서, 기업은 간편한 회원가입만으로 SMS 등을 통해 실시간 긴급 상황과 최신 동향정보 등을 공유받을 수 있게 됐다.

최광희 본부장은 “기본적으로 모든 회원사에게는 정보보호최고책임자와 보안 실무자별 맞춤형 정보를 제공하고 있으며, SMS와 메일 등을 통한 즉시성 있는 긴급 이슈 공유로 상시적인 민·관 협력 대응 지원 서비스를 받을 수 있다”면서 적극적인 참여를 독려했다.

아울러 사이버침해대응본부는 중소기업을 대상으로 침해사고 발생 시 원인 및 침투 경로 등을 분석해 재발 방지를 위한 원인 제거 조치를 지원하고, 기업에 직접 방문해 기존 침해사고 및 향후 발생 가능한 침해사고에 대한 컨설팅은 물론 임직원을 대상으로 온/오프라인 보안교육을 지원하는 ‘침해사고 피해지원서비스’를 운영하고 있다.

이와 함께 △내 서버 돌보미 △보안취약점 점검 △SW 보안취약점 진단 △홈페이지 보안강화(휘슬, 캐슬, 웹 취약점 점검, 사이버대피소) △사이버 위기대응 모의훈련 △DNS 싱크홀 서비스 등 다양한 정보보호 서비스를 무료로 제공하고 있다.

최광희 본부장은 “사고 원인을 파악해 이를 제거하지 않으면 언제든 다시 공격을 당할 수 있다”고 지적하면서, “앞으로도 KISA는 사이버보안 정책을 선도하는 전문 기관으로서 디지털 사회안전망 구축을 위해 적극적인 역할 수행에 최선을 다할 것”이라고 강조했다.
[원병철 기자(boanone@boannews.com)]

by 보안뉴스 ([대한민국 사이버범죄, 우리가 막는다-2] 한국인터넷진흥원 사이버침해대응본부 (boannews.com))