[현장을 찾아서]KISA 인터넷침해사고대응지원센터

 지난 2003년 1월 25일 블래스터 웜이 국내 네트워크를 마비시킨 1·25 인터넷 대란이 발생했다.

 이 사건을 계기로 국내 인터넷망에 대한 사이버테러를 탐지, 분석하기 위한 대응센터 설립의 중요성이 강조됐고 한국정보보호진흥원(KISA)에 인터넷침해사고대응지원센터(Korea Internet Security Center)가 개소됐다.

 인터넷침해사고대응지원센터는 지난해 12월로 센터 개소 1주년을 맞으며 365일 24시간 센터가 위치한 가락동에 불을 밝히고 있다.

 대응지원센터는 인터넷서비스사업자(ISP)를 중심으로 민간 정보통신망을 상시 관제하는 중심 센터다. 24시간 네트워크 트래픽 모니터링과 관련기관과의 유기적인 정보공유 등을 통해 인터넷망의 이상징후를 조기에 탐지, 분석하는 역할을 담당하고 있다.

 센터의 상황판은 시시각각 들어오는 각종 정보로 넘쳐난다. 24개 ISP 및 관련사들은 전용라인을 통해 5분 단위로 인터넷 트래픽과 포트, 프로토콜, 공격 유형 정보를 전송한다.

 이상징후 발견 직후 대국민 예·경보 발령과 침해사고 복구 관련 기술지원 등의 역할을 담당함으로써 일종의 인터넷 기상청 역할을 수행하고 있다.

 대응지원센터는 특히 그동안 신고에 의존해온 이상징후 및 정보수집 체계를 네트워크 트래픽 통계를 직접 모니터링하는 능동형으로 전환했다. ISP에 분산돼 있던 대응체계를 자체 개발한 전문가 시스템을 이용한 국가 차원으로 확대했다. 또 기존 해외 협력기관인 AP-CERT나 FIRST뿐 아니라 카네기멜론대, 마이크로소프트(MS), 시스코 등 해외 관련기관 및 기업으로 정보 교류 채널을 확대함으로써 정보분석체계를 강화했다. 특히 마이크로소프트는 센터와의 협력모델을 전세계로 확대하는 등 센터의 능력을 전세계에서 인정받고 있다.

 “지난 1·25 대란 이후 그해 8월에는 바이러스의 대공습이 있었습니다. 그러나 당시 우리는 큰 피해를 보지 않았습니다.” 김우환 센터장은 1·25 대란 이후 센터 설립은 물론 국가 차원의 대비책을 만들면서 인터넷침해사고 대응에 대한 새로운 패러다임을 만들어 가고 있다고 자신했다. 과거 클라이언트에 머물렀던 웜 바이러스의 위협이 네트워크로 확대된 것에 맞춰 대응 체계도 모두 네트워크 부분까지 확대돼 센터도 새로운 틀을 갖추게 됐다는 게 그의 설명이다.

 센터는 현재 국내 중요 웹서버 439개를 실시간 모니링하고 있다. 또 총 40개 DNS와 총 133개 사이트를 모니터링하는 등 국내 주요 기관의 상태를 한눈에 점검하는 태세를 갖추고 있다.

 이런 체계로 갖춰진 센터의 업무는 KISA 내부에서도 고된 것으로 정평이 나 있다. 365일 24시간 한시도 눈을 뗄 수 없고 사고 발생시 신속한 대응이 생명이기 때문이다.

 “센터 업무는 3D 직업입니다.” 김 센터장은 센터에서 3D는 △24시간 비상근무(Day and Night) △장애 발생시 긴급상황(Doomsday Disorder) △보고의 어려움(Difficult Report) 등을 의미한다고 설명했다. 30분만 자리를 비워도 모든 인터넷은 대혼란을 겪게 되고 대응할 겨를도 없이 상황이 종료되기 때문이다.

 이런 긴급한 상황의 센터 직원들이 일반인에게 가장 바라는 것은 바로 보안 의식의 생활화다.

 점심 식사를 하러 나가기 전에 윈도 업데이트를 실행하는 작은 생활화가 개인 PC는 물론 국가적인 인터넷 침해사고를 예방하는 첫걸음이라는 것이다. 센터 직원들은 보안은 불편한 것이 아니라 안전한 인터넷 환경을 위한 필수요소라는 생각이 널리 퍼지길 소망했다.

  김인순기자@전자신문, insoon@