사이버세상 안전 위해 365일 24시간 해킹대응의 최전방에서 뛴다!
[인터뷰] SK인포섹 김 종 현 보안관제팀장
[보안뉴스 임종민·민세아 객원기자] 24시간 365일 휴일과 주말 없이 사이버세상의 안전을 지키기 위해 불철주야 노력하는 해킹 대응의 최전방에는 보안관제사들이 있습니다. 보안관제사들은 침해 위협을 즉시 탐지하여 대응팀과 협조 하에 빠르게 보안위협에 대응하고 있는 직업이라 할 수 있습니다.
이번 보안직업군 프로젝트에서는 보안관제 분야로 현재 SK인포섹에서 보안관제팀장을 담당하고 있는 김종현 부장을 인터뷰했습니다. 지금부터 ‘보안관제업무’의 매력에 대해 상세하게 알아보겠습니다.
Q. 기술적인 측면에서 업무 수행시 필요한 기본능력이 있다면?
보안업무를 수행한다고 했을 때, 가장 기본적인 능력은 네트워크와 시스템인 것 같습니다. 이것을 모르고서는 보안을 할 수가 없기 때문이죠. 해킹기술을 배우는 것이 아니라 기술을 배우기 위해 필요한 기본 능력은 네트워크와 시스템에 대해 잘 알아야 된다는 것입니다. 특히, 유닉스와 리눅스 시스템에 대해서는 세부적으로 이해하고 있어야 한다고 봅니다. 실제로 지원자들을 보면 유닉스와 리눅스 시스템을 써보지 않은 사람들이 많더라고요. 사용했다 하더라도 학교나 학원에서 잠시 다뤄본 정도인데, 실질적으로 리눅스와 유닉스에 대해서 자유자재로 다룰 수 있고, 네트워크 환경 구성도에 대해서도 이해를 할 수 있어야 관제가 가능합니다.
네트워크 환경에 대한 이해가 선행되어야 외부에서 침입이 들어왔을 때 어떤 경로를 통해 들어왔는지를 알 수 있기 때문입니다. 실제로 해킹을 당했을 때에도 분석을 하다 보면 유닉스 시스템에 대해 분석해야 하는 경우가 많기 때문에 위의 지식은 꼭 갖추어야 됩니다. 추가적으로 말씀드리면, 대부분의 WAF, IDS, IPS, DDoS 보안장비들이 유닉스 기반인 경우가 많습니다. 그래서 유닉스, 리눅스 시스템에 익숙하면 네트워크 보안장비를 이해하는 데도 많은 도움을 받을 수 있습니다.
Q. 보안관제 업무를 효율적으로 수행하기 위해 인성 및 자질 측면에서는 어떤 능력이 요구되나요?
모두들 잘 아시듯이 보안업무를 하는 사람들에게 가장 중요한 것은 보안의식입니다. 이러한 윤리의식은 가장 기본적인 베이스죠. 그리고 업무 특성상 IDS, IPS, WAF, Anti-DDoS 대응 등 많은 보안장비를 운용하게 되는데, 이러한 장비의 정책을 잘못 건드리게 되면 고객사 서비스에 영향을 주게 됩니다.
이렇듯 인적인 요소에 의해 장애가 발생하게 되면 고객사 서비스와 바로 직결될 수 있기 때문에 꼼꼼함과 성실함이 필수적인 능력으로 요구됩니다. 덜렁대거나 대충하는 것이 아니라, 어떤 정책 하나를 세우더라도 이 정책이 적절한지, 정말 필요한 하는지 등을 세심하게 검토할 수 있는 꼼꼼함이 필요합니다. 게다가 관제 업무는 대부분 교대 근무인데, 한 조가 같이 근무를 하기 때문에 한 사람이 나태해지거나 불성실하면 다른 근무자들에게 피해를 줄 수 있기 때문에 성실함도 꼭 필요한 능력중 하나라고 생각합니다.
|
▲ SK인포섹 보안관제팀 김 종 현 팀장 |
Q. 취업준비 시 기술 및 자격 등에 있어 어느 정도의 준비가 필요한가요?
대학에서는 프로그래밍 위주의 교육을 주로 하는데, 학교에서 기본적인 네트워크와 보안에 대해 교육을 하지 않는다면 개인적으로 공부해야 합니다. 그리고 취업준비시 기본적으로 CCNA나 정보보안기사 등의 자격증은 소지하고 있는 것이 좋습니다.
기업에서는 신입사원들에게 고수준의 보안지식을 요구하는 것이 아니라, OSI 7 계층이 무엇인지? 활용 가능한지? 그리고 방화벽은 몇 계층 장비인지? 등 기초적인 능력을 많이 물어봅니다. 또한, 기술에 대해 전혀 모르는 사람이 아니라면 입사 후 가르쳐도 충분하기 때문에 신입사원들의 경우는 인성적인 능력을 많이 보고 있습니다. 특히, 관제업무에 있어서는 작은 단서하나 놓치지 않는 꼼꼼함이 필수적인 것 같습니다. 수십만, 수백만 라인의 1GB 이상의 로그를 하나하나 꼼꼼하게 확인하려면 기술적인 능력보다는 인성적인 측면이 더 중요한 것 같습니다.
Q. 직업상의 장단점에 대해 간략히 설명해 주신다면?
직업상의 장점이라고 한다면, 특정한 장비나 환경에 국한되어 있지 않고, 다양한 회사의 장비들을 많이 다뤄볼 수 있는 점인 것 같습니다. 그래서 업무를 하다보면 배울 수 있는 부분이 상당히 많습니다. 이렇듯 다양한 경험을 쌓을 수 있기 때문에 업무 자체가 자신의 스킬이 된다는 장점이 있습니다. 하지만 교대근무 특성상 주말이나 설날 같은 휴무가 딱히 없다 보니 사회생활이나 친구들과의 만남 등 여가생활을 즐기는데 애로사항이 있다는 점이 단점이라 할 수 있습니다. 그러나 예전에 비해서 업무 프로세스가 많이 정형화되었고, 기본 틀이 잘 짜여져 있기 때문에 크게 어려운 점은 없습니다.
Q. 주로 수행하는 관제업무에는 어떤 것들이 있나요?
보안관제는 침해위협을 탐지하고 차단하는 것이 주 업무입니다. IDS, IPS, Anti-DDoS, 웹 방화벽 등이 관제를 받는 대상이 됩니다. 파견관제의 경우에는 조금 차이가 있을 수 있습니다. 파견 가는 회사에 따라서 클라이언트단의 보안 솔루션을 함께 관리하게 됩니다. 예를 들어, 백신의 중앙관리 콘솔 및 PMS 등을 살펴봅니다. 원격관제에서는 기본적으로 네트워크 보안장비에 대해 관제업무를 수행하고 있습니다. 가용성 점검, 정책 설정, 침해 이벤트 탐지, 이벤트 백업 등이 있는데, 가용성 점검은 NMS(Network Management System) 도구를 이용한 Alive-Check 이벤트 점검을 비롯해 임계치 설정에서는 서비스가 잘되고 있는지를 확인하며, 정책 설정 같은 경우는 IDS, IPS 등의 장비의 오탐률을 감소시키기 위한 커스터마이징 단계 등이 있습니다. 이벤트 백업 같은 경우에는 1년간 내용을 백업해두는 것입니다.
Q. 보안사고 발생시 관제업무 프로세스에 대해 좀더 구체적으로 말씀해 주신다면?
첫 번째, 고객사에서 보안사고 신고를 하거나 침해 이벤트가 탐지됐을 경우 두 번째 과정으로 ‘선차단 후보고’ 방식으로 대처하고 있습니다. 이 대응단계에서는 고객사와의 선차단 대응 범위에 대한 사전협의를 하고, 공격으로 확산 가능한 이벤트에 대해서 자동 차단 설정을 하고 있습니다. 또한, 고객사 환경 고려 시 공격으로 판단되고, 대응조치 시간에 따라 많은 피해 확대가 예상될 경우에도 ‘선차단 후보고’를 합니다.
하지만 가용성이 매우 중요시되는 고객사의 경우에는 선보고, 후차단 방식으로 대처하고 있습니다. 이렇게 대응한 후 세 번째, 침해위협 발생 보고서를 작성·발송해 ‘이러한 침해행위가 있었다’라고 보고하고 침해 진위 여부를 확인합니다. 고객사 담당자 및 담당 PM의 협의를 통해 확인 후 침해사고로 판단되면 이벤트 분석을 통해 정확한 피해 여부를 확인합니다.
이후 네 번째로, On/Off Site 분석을 수행하는데, 모든 장비는 네트워크로 연결되어 있기 때문에 원격 분석을 원칙으로 하고 있습니다. 단, 침해사고가 확인됐는데, 네트워크 상으로는 한계가 있을 경우에는 직접 가서 확인하거나 이미지를 떠서 확인하고 있습니다. 마지막으로, 이렇게 분석된 내용을 토대로 고객사에게 분석 보고서를 발송하고 대책 이행에 대해서 지원을 하고 있습니다. 이러한 대책 적용은 고객사 인프라 담당자 또는 유지보수 업체가 수행하고 있습니다.
|
▲ 침해 사고 대응 절차 |
Q. 평소 업무와 관련된 하루 일과가 궁금합니다.
출근하면 전날 근무자의 근무일지에 대해 회의를 합니다. 그날 무슨 일이 있었고, 어떻게 처리를 했으며, 누락된 부분은 없는지 등을 꼼꼼하게 확인합니다. 교대하기 전의 문제가 당일에도 이어질 수 있기 때문에 회의를 통해 필수적으로 확인해야 합니다.
회의가 끝나고 업무를 시작하게 되면, 그때부터는 정말 ‘전쟁’이죠. 회의를 통해 인수인계가 끝나고 난 후부터는 퇴근까지 전쟁터인 것이 관제업무입니다. 고객사에서 하루에 제가 받는 메일이 1,500통 정도 되는데, 발생한 문제들에 대해 5분 내에 판단이 안 될 경우 담당 CERT와 SE로 전달합니다. 그러면 CERT와 SE팀에서는 순간순간 판단하여 해당 이벤트가 진짜 침해사고인지 아니면 무시해도 되는지, 고객사에 연락해서 확인을 해봐야 되는지를 판단해서 즉각 처리합니다. 계속 올라오는 이벤트들을 보면 이게 진짜 침해사고인지 장애인지 애매할 때도 많습니다. 관제업무에서는 5분 내로 바로 처리가 안 되면 업무가 계속해서 밀리기 때문에 위와 같은 프로세스로 문제를 처리하고 있습니다. 퇴근하기 전까지 화장실도 제대로 못갈 정도로 힘들게 모니터링 하지만, 그만큼 경험이 쌓이는 곳이 관제업무의 매력이라고 할 수 있습니다.
Q. 기업에서 바라는 보안인재상이 있다면?
기업에서는 일희일비(一喜一悲)하지 않고 한번 보안의 길을 선택했으면 끝장을 보겠다는 사람을 원합니다. 열정이 없거나 교대근무가 힘들다고 중간에 포기하는 사람보다는 열정 가득하고, 적극적으로 뭔가를 해보겠다는 자세를 가진 사람을 제일 선호합니다.
기업에서는 신입사원들에게 높은 스펙과 기술을 요구하는 것이 아니라 얼마나 기본적인 자세가 되어 있는지를 보는 것이기 때문에 인성을 매우 중요하게 생각합니다. 간혹 면접을 볼 때 보안에 관심이 많다고 하면서도 최근 보안동향에 대해 물어보면 제대로 대답하지 못하는 학생들이 많습니다. 본인이 정말로 열정이 가득하고 관심이 많다면 그 정도는 당연히 대답할 수 있지 않을까요?
Q. 보안인력 양성을 위해 국가적으로 지원해 주었으면 하는 점이 있다면?
정보보호학과, 전산학과, 컴퓨터공학과를 졸업했다고 하더라도 대부분 프로그래밍(개발) 위주의 공부를 하고, 대학을 다니는 동안 무엇을 했냐고 물어보면 졸업작품으로 어떤 걸 개발해봤다는 대답이 대다수입니다. 그러니까 이 사람들은 보안인력이 아니라 개발인력인 것입니다.
보안관련 학원을 다닌다 하더라도 시스템, 네트워크, 운영체제 등에 대해서는 ‘겉핥기’ 식으로 배우기 때문에 개인적으로 공부한 사람들을 제외하고는 대부분 비슷한 것 같습니다. 최근 들어 대학교에 보안학과가 증가하고 있지만 우리나라에는 아직 보안인력이 공부할 수 있는 환경이 열악한 게 현실입니다. 공부한 취약점에 대해 테스트해 볼 수 있는 환경이 거의 없고, 만약 공개 웹사이트 같은 곳에 테스트를 했을 경우에도 만약 관리자가 해킹으로 간주하면 그 학생은 범죄자가 될 수 있기 때문입니다.
관제에서 발생하는 트래픽의 대부분은 해외에서 시작됩니다. 요즘같이 서로 정보를 뺏고 뺏는 사이버전이 이루어지는 세상에서 우리나라의 이러한 정책은 바람작하지 않은 것 같습니다. 대학에서의 과제도 단순한 정보수집이 아니라 ‘공개 웹사이트 취약점 5개 이상 찾아와라’ 등이 가능한 환경이 만들어지면 좋을 것 같습니다. 우리나라에서 최근 들어 정보보호 전문인력을 많이 양성하겠다고 얘기하는데요. 이러한 측면을 너무 억제하면서 인력을 양성한다고 하는 것은 앞뒤가 맞지 않는 말이 될 수도 있으리라 봅니다.
Q. 보안관제 분야의 향후 추세에 대해 예측하신다면?
지금까지도 관제시장은 계속 성장하고 있는데, 10년 안에 막대한 규모의 관제시장이 형성될 것으로 봅니다. 요즘 웬만한 기업들에서는 방화벽, IDS, IPS 등 다양한 보안장비를 사용하고 있지만 막상 관제를 나가보면 정책이 제대로 업데이트 되지 않는 경우가 많습니다. 이것은 네트워크단에 빈 깡통을 걸어놓는 것으로 비유할 수 있습니다.
이제는 솔루션만 사놓고 안심하는 세상은 지났습니다. 이런 정책을 계속 운영하고 모니터링 할 사람이 필요하고, 이것이 보안관제사들의 업무입니다. 실질적으로 일반 기업에서는 일일이 관제를 하기도 힘들고, 전문인력을 보유하기도 힘든 게 사실입니다. 그렇기에 장비만 가지고 있는 업체들도 가장 먼저 고려하는 것이 관제라고 할 수 있다. 10년 정도 있으면 국내의 웬만한 기업들은 관제를 하지 않을까라고 생각하고 있습니다.
[임종민(ljm4078@gmail.com) / 민세아(msa0309@gmail.com) 객원기자]
카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)
카페 주소 :http://cafe.daum.net/Security-no1클릭
교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))