[디지털데일리 최민지기자] KT가 개인정보유출 기업이라는 주홍글씨를 지우고 실패를 반면교사 삼아 ‘글로벌 1등 정보보안 조직’으로 도약하기 위해 보안강화에 매진하고 있다.

전사 차원에서 보안위협에 적극 대응하고자 전담 보안조직과 체계를 마련했고 내부 보안시스템도 새롭게 꾸렸다. 특히, KT는 통신사 처음으로 사이버보안센터를 설립했다. 인공지능(AI)까지 도입해 단계별로 보안을 강화하고 다양한 사이버위협에 철저히 대응할 계획이다.

이와 관련 <디지털데일리>는 KT 과천사옥에 위치한 사이버보안센터를 방문해 문영일 정보보안단장<사진>, 임호문 플랫폼관제센터장, 유기무 인프라기획담당 상무, 김영석 서비스보안팀장 등을 만나 KT의 보안전략에 대해 들어봤다.

이날 문영일 단장은 “개인정보 유출이라는 트라우마를 기회로 바꾸기 위해 노력하고 있다”며 “글로벌에서 정보보안 1등 조직을 목표로 단계별로 보안수준을 높이고 있고, 수년 후 KT가 정말 잘 하고 있다는 것을 보여줄 것”이라고 강조했다.

◆사이버보안센터, IT+네트워크 보안 통합 “머신러닝·빅데이터 적용”=이러한 KT의 다짐을 실현하기 위한 전초기지가 바로 ‘KT 사이버보안센터’다. 지난 2월 개관한 KT 사이버보안센터는 정보보안 역량을 결집해 사이버위협에 대응하고, KT 보안 관련 사업을 지원하는 역할을 하고 있다.

KT 사이버보안센터는 사내보안을 담당하는 IT 보안관제센터와 대고객 보안을 책임지는 네트워크보안관제센터를 통합한 형태로 구성됐다. 파이어아이, 안랩, 블루코트(현재 시만텍 통합법인), 스플렁크 등 글로벌 보안사업자들과 사이버경찰청, 국가사이버안전센터, 한국인터넷진흥원 등과 공조체계도 갖추고 있다.

KT는 웹공격, 정보유출, 지능형지속위협(APT), 디도스(DDoS), 스미싱 공격 등에 대응하기 위해 해킹분석 및 대응 인력 약 90명과 단말, 네트워크, 서버에 이르는 종합 대응 체계를 구축했다. 일평균 2만2000건의 위협에 대처하고 있다는 설명이다.

김영석 서비스보안팀장은 “발생되는 이벤트를 수집해 실시간 대응하고 경로를 추적하는 한편, 해외에서 오는 불필요한 서비스와 단말에서 웹으로 가는 파일전송을 원천 차단하고 있다”며 “포렌식 장비 활용해 서버에서 외부로 유출되는 개인정보를 신속히 탐지하고 대응한다”고 말했다.

해외싱크홀을 통해 해외에서 유입되는 공격 이벤트를 차단한 결과, 해외 공격 이벤트의 40%가 감소했다. 통신망을 책임지는 인터넷서비스 사업자인 KT의 장점을 살려 관문을 넘어올 수 없게 조치한 것이다.

또한, KT는 APT 공격에 대응하기 위해 악성코드를 분석해 배포 사이트와 명령제어(C&C) 서버를 차단한다. 알려지지 않은 악성코드에 대해서는 자체분석을 통해 대응한다. 내부 시스템에서는 망분리를 통해 접근제어시스템으로만 접근, PC에서 직접 접속이 되지 않도록 하고 있다. 또, 유해사이트를 찾아 네트워크단에서 실시간 차단하는 기능을 통해 스미싱 공격에도 대처하고 있다.

김 팀장은 “웹쉘 공격에 대한 실시간 탐지를 하고 있고, 중앙 싱크홀과 클린존을 활용해 디도스 공격에도 트래픽을 우회할 수 있도록 한다”며 “머신러닝과 빅데이터를 접목해 시나리오 기반 정책으로 새로운 위협을 예측·탐지 및 경로 추적을 통해 정보유출을 방지한다”고 설명했다.

이 센터는 최고 수준의 인텔리전트 사이버보안센터 및 글로벌 관제센터를 목표로 하고 있다. 이에 AI 도입을 위협 판단에 활용할 방침이다. 1단계로 현재 빅데이터 기반 로그분석 솔루션을 기반으로 외부침입·정보유출 등 45개 시나리오를 수립해 탐지체계를 운영 중이다.

2단계에서는 포렌식 솔루션 및 로그분석 솔루션에서 제공되는 머신러닝 기능을 오는 9월까지 관제에 적용할 예정이다. 3단계에서는 실질적인 AI를 위협 판단에 활용하며, 자체 개발방안 및 외부 솔루션 도입 등을 검토하고 있다.

◆은행 디도스 공격 예고, KT 클린존 사용 협의 중=KT 사이버보안센터는 최대 규모의 디도스 대응을 지원하고 있다. KT에 따르면 싱크홀, 클린존, 백본라우터를 비롯해 디도스 탐지·분석시스템을 활용, 5분 이내 공격 탐지 및 대응이 가능하다.

최근 국내 은행과 금융기관을 대상으로 해커그룹이 오는 26일 대규모 디도스 공격을 예고한 바 있다. 이에 일부 은행은 KT의 클린존 사용에 대해 협의하고 있는 상황이다.

임호문 플랫폼관제센터장은 “클린존에서 트래픽을 우회시켜 정상트래픽만 서비스하도록 하고 있다”며 “금융권 공격 예고 이후 몇몇 곳에서 클린존을 바로 사용하면 좋겠다고 해 협의하고 있다”고 전했다.

이어 “백본 용량과 비슷하게 차단할 수 있으며, 만반의 준비를 통해 공격이 일어나지 않도록 선제적으로 막고 있다”며 “1T(테라바이트) 이상의 디도스 공격 규모를 동원하기는 어려울 것으로 보이지만 예방 조치 등을 통해 준비하고 있다”고 덧붙였다.

KT 사이버보안센터는 디도스 방어 싱크홀을 통해 해당 트래픽 경로를 우회하고 폐기한다. 이후 클린존 서비스를 활용해 정상트래픽은 우회 소통하도록 한다. 도메인네임시스템(DNS) 공격 때는 비정상 도메인을 검출해 차단한다.

◆“트라우마를 기회로” 보안전담 조직부터 통합보안사업까지=이처럼 KT가 보안 역량을 갖추기 시작한 것은 개인정보 유출 사고 때문이다. 2014년 1170만명의 대규모 개인정보가 유출된 후 KT는 보안시스템을 비롯해 조직·인력 정비에 나섰다.

기존에 없었던 정보보안단도 새로 꾸렸다. 보안이슈가 발생하면 그룹 차원으로 신속 대응하고 리스크를 예방하는 조직체계도 마련됐다.

KT는 보안관제분과, 보안분석분과, 보안진단분과, 개인정보분과, 보안전략분과를 상황대응반 내부 조직으로 꾸렸다. 상황대응총괄에 속한 정보보안단장은 총책임자 역할을 한다. 보안위협이 발생하면 분과별로 긴급 피해 조사와 영향에 대해 분석하고 그룹사 및 사내 등에 전파한다. 상황대응총괄과 상황대응반은 최고경영자(CEO)를 비롯한 임원에게 신속히 보고한다.

문 단장은 “기존에 없었던 정보보안단이 마련되면서 인력, 조직, 예산이 늘어나는 변화가 생겼다”며 “내부 직원 및 그룹사를 어떻게 관리해야 하는지에 대해 고민하면서 전체적인 프레임 관점에서 접근하고 있다”고 부연했다.

또 “모든 위협은 사내로 들어올 수밖에 없는데 유무형 자산을 모두 컨트롤할 수 있는 기업은 없다”며 “이에 KT는 단계별 전략을 구사하고 있는데, 방화벽과 침입차단시스템(IPS) 등으로 1단계 관제를 하고 다른 시스템으로 악성코드가 확산될 수 없도록 막는 한편 개인정보 유출을 실시간 파악해 차단하는 시스템을 구현했다”고 말을 보탰다.

KT는 PC에서 웹으로 이동하는 파일과 서버에서 외부로 전송되는 파일 등을 모니터링하고 있다. 망분리와 DB접근제어를 통해 PC가 감염돼도 내부망에 들어갈 수 없도록 서버 대역도 완전 분리한 상태다.

김 팀장은 “철저하게 공격에 대해 방어하고 있지만, 미처 대응하지 못하는 부분이 생겨 정보가 유출될 수 있기 때문에 개인정보 유출을 실시간으로 탐지·차단하는 부분을 고민하고 있다”며 “자체적으로 개발하거나 외부 솔루션 도입을 고려하겠다”고 전했다.

KT는 정보보호 전담인력을 대부분 내부 인력으로 충원하고 있다. 정보보호공시에 따르면 내부 정보보호 전담인력은 219명 수준이며, 대부분의 보안인력이 내부 정규직으로 구성돼 있다. IT부분 투자액 대비 정보보호 투자액 비율은 4.4%로, 이통3사 중 가장 높은 수준이다.

문 팀장은 “보안위협이 지능화, 고도화되고 있기 때문에 인력 및 투자를 늘려야 한다”며 “보안인력을 내부 직원으로 구성했기 때문에 역량 내재화 관점에서 전문가 육성에 유리한 구조로 운영되고 있다”고 제언했다.

아울러 “매달 직원들을 대상으로 이메일 피싱 테스트를 하고 있다”며 “불편함은 있겠지만 직원들의 인식이 바뀌고 있다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr