해군뉴스 - 해군중앙전산소 컴퓨터 침해사고 대응팀해군뉴스 - 해군중앙전산소 컴퓨터 침해사고 대응팀

Posted at 2011. 7. 17. 18:40 | Posted in Republic of Korea Navy

사이버 전선을 철통 경계하는 해군중앙전산소 ‘컴퓨터 침해사고 대응팀’ 요원들이 상황실에서 정보보호체계가 감시·식별한 로그 기록을 살펴보고 있다.

해군중앙전산소 ‘컴퓨터 침해사고 대응팀’(CERT:Computer Emergency Response Team)은 날로 기승을 부리는 해킹 공격으로부터 정보체계를 보호하는 ‘사이버 방패’다. 이들은 국경 없는 사이버 세상에서 해군·해병대 각급 부대의 인터넷·인트라넷에 대한 침해시도를 24시간 감시·식별·차단하는 임무를 수행한다. 국가안보를 결정짓는 또 하나의 전선으로 부각된 사이버 공간을 물샐틈없이 경계하는 CERT 요원들의 활약상을 소개한다.

#사례 1.
해군 ○○부대에 근무하는 A소령은 지난 5일 오랫만에 인터넷 메일을 확인하기 위해 사무실 인터넷 PC 메일 수신함에 로그인했다. 하지만 PC 화면은 “페이지를 열 수 없습니다”라는 메시지만 깜빡거렸다. A소령이 당황하고 있는 사이 전화벨이 울렸다. 해킹메일로 의심되는 이메일이 수신됐으나 정보보호체계에서 차단해 부대 내 열람은 안 될 것이며, 즉시 삭제하라는 CERT 관제부직사관의 전화였다. 관제부직사관은 또 “가정에서 열람할 경우 악성코드에 감염돼 개인정보 및 PC 내 자료까지 유출될 수 있다”며 “최악의 경우 하드디스크를 포맷해야 하므로 발신계정을 확인한 뒤 반드시 삭제하라”고 당부했다. A소령은 “평소 같았으면 무심코 열어봤을 텐데 CERT 덕분에 악성코드 감염을 막고, 귀중한 개인정보를 보호할 수 있었다”며 “CERT 요원이 신종·변종 해킹메일 확인 방법까지 자세히 알려줘 큰 도움이 됐다”고 말했다.

#사례 2.
지난 3월 3일 오전 7시 58분 해군중앙전산소 내 CERT 상황실. 정보보호체계를 응시하던 상황관제부직사관 노홍래 상사의 표정이 굳어졌다. 해군 인터넷 홈페이지에 패킷(Packet:네트워크를 통해 전송하기 쉽도록 자른 데이터의 전송 단위) 중 평소와 다른 형태의 패킷이 탐지된 것. 노 상사는 ‘분산서비스거부’(디도스·DDoS) 공격으로 의심, 순간적으로 늘어난 공격지로부터 패킷을 막기 위해 공격 IP 주소를 차단하기 시작했다. 이순복(소령·진) 정보보호과장과 김승현 중위 등 분석장교들은 공격 IP를 추적하고 유형에 따른 피해대책을 강구했다. 이와 동시에 디도스 공격에 주의하라는 공지사항을 각급 부대에 전파했다. 디도스 공격은 6일까지 세 차례에 걸쳐 이뤄졌고, 이 기간 동안 공격 IP 주소는 1241개에 달했다. 그러나 군내 최초로 디도스 공격을 탐지, 신속한 초동조치와 상황전파 덕분에 피해사항은 전혀 없었다.

▲ 그 어떤 창으로도 뚫을 수 없다
전 세계는 지금 총성 없는 전쟁 ‘사이버 테러전’이 한창이다. 디도스 공격을 비롯한 사이버 테러는 자칫 잘못 대응할 경우 국가안보에 치명타가 될 수 있다.

해군중앙전산소 CERT는 이러한 사이버 위협에 대응하기 위해 정기적인 보안교육과 공지사항 전파로 사용자들의 보안의식을 한층 강화하고 있다.

특히 사용자들의 PC가 좀비 PC로 악용되지 않도록 운영체제의 보안 패치를 최신 상태로 유지하고, 백신 프로그램의 업데이트와 실시간 검사도 게을리 하지 않는 등 위험관리체제를 완벽히 구축했다.

CERT는 장교·부사관·군무원·병사 등 불과 10여 명으로 구성돼 있다. 무차별한 사이버 공격에 적극 대처하기에는 부족한 인원이지만, 이들은 3개조로 나뉘어 1일 24시간씩 감시체제를 유지한다.

CERT 요원들은 하루가 다르게 고도화·지능화하는 사이버 공격에 대응하기 위해 개인능력 향상에도 정성을 쏟았다. 그 결과 정보보호 박사 학위 소지자, 국제공인정보시스템 보안전문가(CISSP), 악성코드 분석전문가 및 정보보호 프로그래머 등 각종 자격증을 취득한 사이버 전사로 거듭났다.

또 지난 5월 3일에는 국방부 주관으로 열린 국방 해킹방어대회에서 김승현·박상협 중위가 최우수 권좌에 오르는 기염을 토했다.

해군중앙전산소 손익재(중령) 운영실장은 “종전의 사이버 공격은 해커(Hacker)가 자신의 실력을 과시할 목적으로 불특정 다수를 공격하던 게 대부분이었지만 최근에는 금전적 이익이나 사회적 혼란을 노리고 특정 타깃을 집중 공격하는 형태로 변화됐다”며 “특히 시스템과 사람의 취약점을 공략해 원하는 정보를 얻는 공격기법인 ‘사회공학적 해킹’(Social Engineering Hacking)에 대응하기 위해서는 고도의 전문기술과 톱니바퀴 같은 조직력이 필수 조건이다”고 강조했다.

▲ IT 강국 명성 우리가 보호한다
CERT 요원들은 하루가 다르게 양적·질적으로 팽창하는 사이버 위협에 대비해 정기적인 모의훈련으로 실전능력을 배양한다. 이들은 디도스 공격·홈페이지 변조·특정 악성코드 증가·인터넷 자료 유출 등 침해상황별 위기대응 매뉴얼을 작성해 절차 훈련을 반복한다. 서버 및 네트워크 장비, 정보보호체계 취약점 점검·보완 등 침해사고 예방활동은 기본이다.

이들은 특히 날로 심각성을 더해 가는 개인정보 유출 피해 최소화에도 만전을 기하기 위해 을지프리덤가디언(UFG) 처럼 각종 연습 때마다 피싱·해킹메일 유포 훈련을 전개한다.

실제 올해 열린 키리졸브·독수리(KR/FE) 연습에서는 임의로 선정한 해군장병 500명에게 피싱·해킹메일을 유포했다. 3일 동안 확인한 결과 331명이 메일을 열람했고, 그중 131명이 이름·군번·전화번호·집주소 등의 개인정보를 노출했다. CERT 요원들은 해당 인원에게 개인정보 유출이 어떻게 일어나는지, 얼마나 무서운 결과를 초래하는지, 어떻게 대처해야 하는지 등 개인정보 보호 5대 실천 수칙이 담긴 메일을 발송하고 노출된 개인정보를 전량 삭제했다.

이들은 또 웜 바이러스 등 악성코드 감염 예방활동에도 박차를 가한다. 알려지지 않은 신종 악성코드는 백신으로 탐지가 어려워 자료 유출 등의 피해가 발생할 수 있다.

CERT 요원들은 이러한 징후가 감지되면 해당 PC를 회수해 정밀 분석하고 악성코드 샘플을 채취한다. 이어 바이러스 백신 업체에 백신 업데이트를 요청함으로써 신종 바이러스가 더이상 확산되지 않도록 조치하고 있다.

하지만 아무리 예방을 강화해도 시스템을 운용하고 침해사고를 방지하는 것은 결국 사람이다. CERT는 ‘좀비 PC’보다 더 위험한 게 정보보호 인식이 결여된 구성원이라고 인식, 보안 마인드 함양에 역량을 집중한다. 지속·반복적인 교육으로 보안의식을 내재화하고, 보안규정·가이드라인 준수 여부를 실시간 모니터링함으로써 사람과 시스템이 조화를 이뤄 제대로 된 힘을 발휘하도록 노력하고 있다.

조병래(대령) 해군중앙전산소장은 “현대전의 승리와 패배는 사이버전을 어떻게 수행하느냐에 달려 있다고 해도 과언이 아니다”라며 “기술과 지식, 보안 마인드로 무장한 CERT는 언제 공격할지 모르는 적으로부터 사이버전을 승리로 이끌기 위해 지금 이 순간에도 날카로운 매의 눈으로 정보보호체계를 주시하고 있다”고 말했다.

윤병노 기자 trylover@dema.mil.kr
 <저작권자 ⓒ 국방일보, 무단전재 및 재배포 금지>

우연히 전자우편을 정리하다가 해군 뉴스가 있길래 딱 봤는데 해군 CERT 소개하는 뉴스가 나와서 무척 반갑고 신기하였다. 내가 복무를 할 당시에는 김중식 대령님과 김일도 대령님이 계셨는데 벌써 많이 바뀐 듯 하다. 많은 부대원들이 생각난다.
//