지난 6일 오후 대전 정부통합전산센터 통합보안관제상황실. 토요일인데도 평상시와 마찬가지로 직원 100여명이 야근 중이다. 직원들은 중앙모니터와 개인 모니터를 번갈아 주시한다. 한 쪽에서는 사이버공격 여부를 판단하는 대책 회의가 한창이다. G20 정상회의를 5일 남기고 잦아진 ‘사이버공격’에 팽팽한 긴장감이 흘렀다.
이날 경찰은 G20을 맞아 ‘갑호 비상근무체제’에 돌입했다. 센터는 이에 앞서 지난 1일부터 경찰의 갑호 비상근무와 비슷한 ‘집중 비상근무체제’로 전환했다.
일주일째 센터에서 숙식을 해결 중인 장광수 센터장은 “G20 정상회의 한 달 전인 지난달 11일부터 일반 비상근무에 돌입하다 이달부터 집중 비상근무체제로 수위를 올렸다”며 “집중 비상근무가 시작되면서 전 직원은 주말이나 휴일에 상관없이 3교대로 밤샘 근무에 돌입하고 출장, 휴가 등도 모두 못 간다”고 말했다.
우리나라 전자정부 심장인 정부통합전산센터에는 총 48개의 정부기관 전산망이 대전 26개, 광주 22개 등 두 곳에 통합돼 있다. G20 관련 전산망도 여기서 관리 중이다.
겹겹의 보안문을 통과해 도착한 통합보안관제상황실은 ‘워룸’을 방불케 했다. 정면에 위치한 대형 모니터에는 G20 관련 홈페이지는 물론이고 주요 정부기관의 전산망 정상가동 여부가 실시간으로 표시됐다.
이상 트래픽이 감지되자 공격받은 기관의 아이콘이 빨간색으로 깜박였다. 상황팀 직원들이 유해 트래픽 여부를 판단한 뒤 걷어내고, 그래도 공격이 멈추지 않자 공격자 IP를 직접 찾아내 차단했다.
곽병진 보안통신기획과장은 “원래 모니터를 담당하는 관제팀과 트래픽 차단 등을 실행하는 상황팀이 각각 따로 사무실을 쓰다 관제와 조치가 바로 이뤄지도록 한곳으로 모았다”며 “최근 G20을 앞두고 해킹 시도가 부쩍 늘어 유해 트래픽 관제와 차단이 촌각을 다투는 양상”이라고 소개했다.
실제로 전날 24시간 동안 센터에 시도된 악성코드, 스팸메일, 분산서비스거부(DDoS) 공격 등 각종 해킹 시도는 무려 12만6810건에 달했다. 이 가운데 대부분이 자동 소프트웨어(SW)로 차단됐고, 의미 있는 공격 540건은 센터 직원들이 수동으로 차단했다.
곽 과장은 “540건의 의미 있는 공격은 전일보다 30% 증가한 수치인데 G20을 앞두고 매일 10~30% 늘어나는 추세”라며 “대부분 공격이 우리와 시차가 다른 해외에서 새벽에 이뤄져 밤새 긴장을 늦출 수 없다”고 말했다.
밤샘 근무와 전일 근무가 잦아지면서 센터 로비 한 쪽에는 간이침대 20여개도 마련됐다. 몇몇 직원들은 스마트폰에 주요 홈페이지에 이상이 생기면 바로 알려주는 애플리케이션까지 탑재해 비번일 때도 당직자에게 이상 여부를 알려주곤 한다. G20을 앞두고 지난 1일 조달청 ‘나라장터’에 대규모 DDoS 공격이 감행되면서 직원들의 긴장도는 더욱 높아진 상황이다.
이날 밤 9시쯤 서울 행정안전부 본부에서도 강성주 정보기반정책관이 직접 주말을 이용해 대전 센터를 찾았다. 센터 보안활동을 일일이 둘러보고 관제활동을 직접 체험한 그는 대전에서 1박한 뒤 다음날 광주 센터로 곧바로 내려갈 예정이라고 말했다.
장광수 센터장은 “이번 G20 정상회의 기간에는 각국 정상들이 우리나라의 앞선 IT를 접하는 프로그램이 많아 더욱 보안에 만전을 기할 수밖에 없다”며 “국민들도 좀비PC에 감염되는 것을 막기 위해 최신 보안패치를 설치해줬으면 좋겠다”고 강조했다.
깜깜한 밤, 하얗게 불을 밝힌 센터 정문을 빠져나오자 중무장한 군인이 거수경례했다. 아무 말 없는 센터 건물. 하지만 그 속의 ‘소리 없는 사이버전’은 이번 주 내내 숨가쁘게 펼쳐질 것이다.
장지영기자 jyajang@etnews.co.kr
