[디지털데일리 이유지기자] “보안위협이 감지되면 평균 5~7분 이내에 대응합니다.”

연중무휴 24시간 365일, 고도로 훈련 받은 다양한 국적의 보안전문가들이 나날이 폭증하는 사이버 보안위협과 싸우고 있다.

글로벌 1위 보안업체인 시만텍은 전세계에서 발생하는 보안위협을 분석해 신속히 대응하고, 기업고객들에게 정교한 보안서비스를 제공하기 위해 세계 곳곳에 보안대응센터(SRC)와 함께 보안운영센터(SOC)를 구축해 운영하고 있다.

이들 센터는 시만텍이 전세계 157개국 4150만대의 네트워크 센서, 1억5000만대 이상의 시스템을 기반으로 구축한 글로벌 인텔리전스 네트워크와 서로 연동해 지능형 공격에 대한 종합적인 정보보안서비스 대응체계를 마련했다.

미국 버지니아, 영국 리딩, 인도 첸다이, 일본 도쿄, 호주 시드니까지 5곳에서 운영 중인 SOC에서는 1000여명의 보안전문가들이 동일한 조직구조와 위협 수집·분석 아키텍처를 기반으로 전세계에서 발생하는 보안위협에 대처한다.

시만텍은 아시아태평양지역(APAC)에서 SOC를 세 곳이나 운영하고 있다. 최근 아태지역에서 보안위협이 가장 빠르게 증가하고 있는 추세를 감안해 가까운 지역 환경에서 발생하는 위협에 신속하게 대응하기 위해서다.

이와 관련해 시드니에서 만난 마이클 카운슬 시만텍 아태 및 일본지역(APJC) 최고기술책임자(CTO)는 “보안위협은 계속해서 급증하고 있다. 아태지역은 세계에서 보안위협이 가장 빠르게 증가하는 곳”이라며 “이 지역은 인구가 크게 늘고 있는 만큼 인터넷 연결이나 모바일 기기 사용도 증가하고 있지만 중요 정보자산이나 금융·개인정보 등이 제대로 관리되지 못해 위협이 더욱 커지고 있다”고 말했다.

이 가운데 호주의 명소인 ‘더 록스(The Rock)’센터 근처에 위치한 시드니 SOC는 APAC에서 운영되는 시만텍 SOC 가운데 가장 규모가 크다. 지난 8월, 시만텍은 호주지사 설립 25주년을 맞아 시드니 SOC를 확장 개관했다. 기존 센터 규모에 비해 두 배로 확장했다. 일본 도쿄 SOC보다도 규모가 커졌다.

시드니 SOC에는 APAC에서 발생하는 보안위협에 기민하게 대처할 수 있도록 전문가들이 보안관제(매니지드시큐리티서비스, MSS)부터 사고대응, 위협 분석을 통한 인텔리전스, 시뮬레이션에 이르는 보안역량을 제공하고 있다.

SOC의 보안위협 수집·분석 아키텍처는 먼저 고객사에 구축돼 있는 시만텍 제품과 방화벽 등의 보안시스템, PC·모바일기기, 클라우드 등에서 로그를 수집한다. 수집된 로그는 데이터웨어하우스에 보내 빅데이터 분석 플랫폼 기반의 글로벌 위협 인텔리전스를 사용해 통합적으로 상관분석하고, 보안 분석가들이 위협을 수준에 따라 단계적으로 분류해 대응하는 체계로 운영된다.

SOC는 크게 고객 환경을 조사·분석해 자산 현황과 보안 요구사항을 파악하는 ‘온보딩팀’과 고객 환경으로부터 로그를 받아 보안현황을 지속적으로 파악하는 엔지니어링팀인 ‘서비스데스크’, 로그를 분석해 위협을 탐지하고 전달하는 ‘분석팀’으로 구성된다.

시드니 SOC의 파람비르 아후자(Parambir Ahuja) 보안분석가는 “6900만개의 공격센터를 갖고 수백만개의 URL, 도메인, IP를 모니터해 모든 보안위협 활동을 탐지하고 있다. 매년 10조건의 로그를 수집하며 1520억개의 파일과 시스템 노드를 자동화된 방식과 분석가들에 의해 걸러내고 있다. 또 2만1500건 넘는 보안 인시던트를 매일 분석하고 있다”며 차별성을 부각했다.

이어 그는 “SOC 테크놀러지 플랫폼이 다양한 공격벡터로부터 수집한 로그를 빅데이터 분석을 거쳐 공격 종류를 분류한다”며 “시만텍 MSS는 위협을 감지하면 평균 5~7분 이내에 고객사에 통보해 대응할 수 있도록 제공한다”고 강조했다.

시만텍 SOC에서 인시던트는 일반(Informational), 주의(Warning), 심각(Critical), 긴급(Emergency)로 분류하고 있다. 시만텍의 매니지드시큐리티서비스(MSS)를 받고 있는 고객사는 긴급한 상황 발생시 SOC의 보안분석가들로부터 직접 연락을 받아 대응조치를 취할 수 있게 된다. 이와 함께 SOC에서는 웹 포털로도 실시간 보안위협 상황을 공유, 제공하고 있다.

SOC의 모든 보안전문가들은 높은 수준의 역량을 보유해야만 부여받을 수 있는 GIAC(Global Information Assurance Cerification) 자격증을 보유하고 있다. 분석가가 되기 위해서는 전세계 5곳의 SOC로부터 엄격한 테스트와 면접을 거쳐 선발하며, 3개월에서 6개월에 걸친 훈련기간도 가져야 한다.

시드니 SOC를 총괄하는 피터 스팍스 시만텍 APJC 사이버 보안 서비스 사업부 수석이사는 “지능적인 보안위협을 찾아 보호하는 역할을 수행하는 SOC에서 핵심은 기술이나 시스템보다는 ‘사람’”이라며 “SOC의 분석가들은 높은 지식과 경험, 분석 능력뿐만 아니라 고객과의 커뮤니케이션 능력도 뛰어나야 한다. 시만텍이 다양한 지역에 SOC를 운영하고 있고 다국적 분석가와 여러 언어를 사용하는 인력을 SOC에 두고 있는 이유”라고 설명했다.

<시드니(호주)=이유지 기자>yjlee@ddaily.co.kr