경기도 성남시 정자동에 소재한 SK-U타워 5층은 보안이 철저하다. SK그룹 주요 계열사 사이버 보안은 물론이고 1600여개에 달하는 고객사 정보보호 최전선에 선 SK인포섹 통합보안관제센터가 있다.
보안관제센터 소속이 아니면 같은 SK인포섹 임직원도 들어가지 못한다. 3층 접견실에서 센터 소속 인솔자를 만나 신분을 확인 받는다. 별도 출입카드를 발급, 인솔자와 함께 5층에 오른다. 5층 통로에는 보안요원이 상시 자리를 지킨다. 센터 출입은 지문인식 게이트를 거친다. 근무자가 적은 새벽 시간에는 일반 출입 경로를 폐쇄하고 별도 통로를 운영한다.
센터 내 모든 PC에는 기본 프로그램만 깔려있다. 발생하는 데이터는 모두 암호화돼 가상화 환경에 저장된다. 고객 관련 정보는 일체 PC에 저장하지 않는다.
김종현 SK인포섹 통합보안관제센터 침해대응팀 부장은 “고객사 보안관제를 책임지는 핵심 업무가 이뤄지기 때문에 자체 보안 체계도 철저하게 구축했다”고 강조했다.
SK인포섹은 최근 통합보안관제센터를 공개했다. 기존 2배 규모로 확대 개편한 이후 첫 내부 공개다. 단순 물리적 공간 확장을 넘어 보안관제와 침해대응, 공격분석, 모의해킹 등 기능을 통합한 공간이다.
센터에 들어서면 한 쪽 벽면을 꽉 채운 대형 디스플레이가 눈에 띈다. 모니터 10대를 붙여 설치했다. 관제요원이 모니터링 하는 주요 고객사 트래픽 상황과 장애 현황, 코드 분석 결과 등이 실시간 표시된다. 이벤트 발생 시 관제요원 바로 뒤쪽 공간에 자리한 침해대응팀(CERT)과 즉시 상황 공유가 가능하다.
김종현 부장은 “통합보안관제센터로 개편하면서 문제 발생 시 대응이 빨라졌다”며 “관제 요원이 모니터링하다 5분 안에 해결 안 되면 즉시 CERT 파트에 넘기고 의견과 분석 결과를 교환한다”고 말했다. 파트 간 협력이 수월히 이뤄지도록 내부 동선을 고려했다.
관제파트와 CERT, PMO, 진단, 운영, SE, MSOC 등으로 구성됐다. 부장, 차장 등 전문 인력으로 이뤄진 PMO는 고객사 요청 업무 지원을 맡는다. 진단 파트는 모의해킹·인프라진단·컨설팅을, 운영 파트는 웹방화벽(WAF)과 디도스(DDoS) 솔루션을 전담한다. SE 파트는 고객사 보안장비 구축과 장애 대응 전문 인력으로 구성됐다.
SK인포섹은 원격관제와 파견관제를 통틀어 국내 보안관제 시장 선두다. 센터에서는 주로 원격관제가 이뤄진다. 고객사 침입탐지·방지시스템(IDS/IPS)에 하루 약 4000만건 이벤트가 수집된다.
관제방법론(ISMM)을 바탕으로 자체 통합보안관제시스템(DMM)을 개발했다. 수천만건 이벤트를 자동 분류해 담당자를 배정한다. 위험도 높은 블랙IP 매칭 여부와 처리 결과를 한 화면에서 확인한다. 공격을 탐지하면 선 차단, 후 고객사 보고가 이뤄진다. 공격자 IP로 경고 메일도 발송한다.
SK인포섹은 프리미엄 보안 관제서비스를 성장동력으로 내세웠다. 통합보안관제센터 확장을 필두로 동적·행위 분석, 인텔리전스 서비스 제공으로 영역을 확장한다. 빅데이터 플랫폼 엔진과 플랫폼에 올릴 분석 툴, 콘텐츠 등을 준비 중이다.
새해 핵심 전략은 지능형지속위협(APT) 관제 프리미엄 서비스다. 사이버 킬체인 일부 영역이 아니라 전 주기와 내·외부 영역을 함께 보는 ‘APT 라이프사이클 관제 서비스(가칭)’다.
박정현 SK인포섹 통합보안관제센터장은 “APT와 통합관제 고객수요가 가장 많다”며 “엔드포인트 솔루션을 구입하더라도 이를 적절히 연계·활용하는데 어려움을 겪기 때문”이라고 말했다. 장비가 제대로 작동하도록 돕는 프리미엄 서비스 수요가 늘었다는 설명이다.
박 센터장은 “빅데이터 플랫폼과 인텔리전스 역량을 높여 APT 관제 프리미엄 서비스를 제공할 것”이라고 덧붙였다.
박정은기자 jepark@etnews.com
