안철수연구소는 V3 제품군, 트러스가드 제품군 외에 보안 컨설팅, 보안 관제 등 서비스도 제공한다. 보안 관제 서비스는 기업 고객의 서버를 원격으로 관리해주는 방법과, 기업 고객에 직접 파견 나가 서비스하는 방법으로 나눠진다. 안철수연구소 CERT팀이 전자에, 보안관제팀이 후자에 해당한다. 

이들이 하는 일은 보이지 않는 사이버 공격을 탐지해 고객사의 중요 자산을 내외부의 위험으로부터 안전하게 지키는 일. 이를 위해 공격 시도나 침해 사고를 분석해 적절히 대응하거나 예방하는 업무를 한다. 이때 분석이나 악성코드 치료보다 중요한 것은 어디를 통해서 감염되었는지를 파악하는 일이다. 즉, 예방이 포인트이다. 실제로 하루에 5회 이상 샘플링을 하며 다운받은 파일을 모두 기록한 후 악성코드 의심 파일을 추린다. 월 100~200건 중 80% 정도가 악성코드이다.

특히 보안관제팀은 본사의 CERT팀과 달리 본사가 아닌 외부 고객사에서 안랩인으로서 일하는 만큼 애로 사항도 많다. 그들의 생생한 이야기를 듣고자 국민은행에서 일하는 보안관제팀을 찾아가 보았다. 적은 인원이기는 하지만 안랩인으로서 책임감과 긍지로 무장한 모습이 든든해 보였다.

보람을 느낀 사례가 있다면 구체적인 에피소드를 말씀해 주십시오.

Ahn

사내기자 김태훈 / 보안기술팀

"현재의 나"에서 출발하여 "내가 바라는 나"로 걸어가는 중입니다. 물론 가는 길에 끊임없이 딴짓을 해서 탈이지만 그래도 즐기며 걸어가고 싶습니다. 높은 곳을 향하여!

 

대학생기자 이정원 / 인천대 신문방송학과 

내가 지금 무얼하고 있는가. 숨을 들이쉬고 내쉬고 있는 것만이 아니다. 어떤 행동을 하고 있다. 하지만 생각을 놓고 행동하지 않기 위해서, 다른 사람이 아닌 내 자신이 되고 싶어서 오늘도 부지런히 방황하는 중. 

최근 최정예 국가정보기관인 NSS(국가안전국) 요원들의 활약을 그린 드라마 '아이리스'가 숱한 화제 속에 종영했다. 벌써부터 시즌2 제작에 많은 시청자가 기대를 하고 있을 정도. 드라마 속 NSS는 가상 조직이지만, 이처럼 베일에 싸인 기관을 소재로 한 영화나 드라마의 성공은 '아이리스'가 처음은 아니다. 멋진 배우의 열연도 볼 만하지만, 최첨단 기술이 녹아들어간 멋진 장면은 생각만 해도 가슴이 두근거린다.

이런 드라마나 영화를 생각할 때 가장 먼저 떠오르는 것은 대형 스크린에 위의 수많은 그래프와 검은 화면에 하얀색 글씨가 물처럼 흐르는 모니터, 바쁘게 움직이는 컴퓨터 전문가 등이다. 우리는 이들을 침해사고대응팀(CERT; Computer Emergency Response Team)라 부른다. 각종 보안 사고를 막고, 사고 발생 시 신속하게 대응하는 CERT는 정부 산하 기관부터 일반 기업까지 전세계적으로 운영되고 있다. 

안철수연구소도 고객사의 침해 사고에 대응하기 위해 CERT를 운영한다. 크리스마스 연휴도 잊은 그들을 만나보았다. 안랩 CERT에 김태희는 없지만, 이병헌만큼이나 부드러움 속에 카리스마 넘치는 안랩인을 만날 수 있다. 우리가 잠든 사이 대한민국의 보안 24시를 책임지는 CERT, 안랩이 서비스 기업으로 세계에 우뚝 서는 데 선봉장이 되리라 굳게 믿는다. 

- 팀의 구성이 어떻게 되어있는지요?
CERT는 대응, 분석, 고객지원의 세 파트로 나뉩니다. 대응 파트에서는 장비 헬스 체크, 장비 작동 여부, 침해 상황 등을 모니터링합니다. 뚫린 다음에 사후 대책은 의미가 없기 때문에 대응 파트에 인원이 많이 편제된 편입니다. 침해 사고 발생 시 어떻게 해서 사고가 발생했는지, 어떻게 조치를 해야 하는지 심도있게 분석하는 일은 분석 파트에서 합니다. 침해 사고 발생 시 필요한 경우 분석은 물론, 차후 대책 수립까지 조금 더 세부적으로 업무를 진행합니다. 고객지원 파트에서는 고객사의 장비 장애 시 원인을 파악하고, 필요시 로컬에 직접 방문하여 문제를 해결합니다.

- 업무가 나뉘어 있어 사고 발생 시 책임 소재가 불명확할 텐데 어떻게 해결하는지 궁금합니다.
CERT에는 관제 서비스라는 '라이프 사이클'이 있습니다. 문제 발생부터 조치까지 10가지 프로세스가 있습니다. 이런 프로세스에 따라 발생한 이벤트를 처리합니다. 사이클에서 벗어나는 문제 발생 시 지속적으로 수정 보완합니다. CERT는 서비스를 하는 팀이기 때문에 서비스 간 구멍(Hole)이 생기면 고객에게 영향을 주고, 이는 곧 CERT 서비스에 대한 퀄리티와 직결되기 때문에 상당히 중요시합니다.

- 침해 사고 발생 시 처리 프로세스가 궁금합니다.
고객사에 설치된 각종 방화 장비를 통해 SOC(Security Operation Center)에서 24시간 감시합니다. 기본적으로 ESM(통합보안관리) 시스템을 활용하여 모니터링하고, 이벤트 발생 시 티켓 형태로 발행되어 어떤 이벤트가 어디로부터 발생했으며, 어떤 내용인지 분석합니다. 이때, 오탐(Wrong detection)이면 오탐 처리 프로세스에 따라 처리가 되며, 정탐(Right detection)인 경우 이벤트를 분석하고 침입대응보고서를 작성하며 고객사에게 대응 방식에 대한 가이드를 발송하고 피드백해주게 되며, 완벽하게 처리되면 마무리 짓게 됩니다.

-ASEC(시큐리티대응센터)와 업무의 차이점이 궁금합니다. 
가장 큰 차이점은 네트워크 단위 보안인가, PC 단위 보안인가입니다. ASEC은 악성코드를 수집하고 백신 엔진을 제작, 배포하는 등 전반적인 PC 보안을 서비스합니다. V3 제품군에 적용되는 업무로 백신 사용자에게 무료로 서비스하며, 제품의 품질을 높이는 업무입니다. 반면 CERT는 고객사로부터 일정 비용을 받고, 고객의 보안 장비를 운영해주며, 해킹 발생 시 분석/대응하는 서비스를 제공합니다. 고객사의 이벤트를 처리하다보면, ASEC 분석팀의 악성코드 분석 자료가 필요한데, 이때 두 조직 간 원활한 정보 공유로 신속한 서비스를 제공할 수 있습니다.

- 신속성과 긴밀함을 요하는 업무 특성 상 에피소드가 많을 것 같습니다.
모 고객사의 일인데요. 경쟁 업체에서 스카웃되어 온 직원이 있었습니다. 그가 쓰던 시스템의 IP가 특정 시간대에 핵심 시스템을 공격한 걸로 분석되었습니다. 이 사실을 본인만 모르고 같은 부서의 100여 명이 이 사실을 알았는데, 나중에 알고 보니 로그 분석이 잘못된 것이었습니다. 다행히 스파이 혐의(?)를 벗었지요.

가슴 뭉클한 일도 있었습니다. 모 고객사의 침해 사고 분석을 하고 있었는데요. 해당 업체의 보안 관리자가 지방 출신으로 서울 고시원에서 어렵게 살던 분이었는데, 시스템 로그인 패스워드가 "어머니!"였습니다. 패스워드를 보고 숙연해졌지요.

왼쪽부터 강철규 팀장, 위수복 선임, 박민호 선임, 한승훈 책임

- 업무특성 상 애로사항이 많을 것 같습니다.
365일 24시간 대응하기 위해 3교대 근무를 합니다. 쉴 새 없이 이어지는 업무도 힘들지만, CERT가 긴급성과 장애 성격이 있는 업무를 다루기 때문에 늘 긴장할 수밖에 없습니다. 네트워크 관리자가 명령 한 줄만 잘못 넣어도 수십, 수백만이 이용하는 사이트 서비스가 중지되기 때문에, 긴장도가 상당히 높습니다.  

- 침해사고에 발빠르게 대응하기 위해 무엇보다고 중요한 게 팀워크라고 생각되는데, 팀워크를 다지기 위한 CERT만의 문화가 있는지요?
주간 근무는 여의도 안랩 본사에서, 야간 근무는 IDC 백업 센터에서 합니다. 이때 주간 근무자가 야간 근무지로 가서 근무자들에게 힘을 주고, 주간 근무에 있었던 일을 얘기해주곤 합니다. 다른 팀과 다르게 전원이 함께 무언가를 할 수가 없기 때문에 팀워크를 다지는 것이 대단히 어려운 숙제입니다. 쌓인 스트레스와 피로를 외부에서 풀기가 마땅치 않아 최근에는 거진항에서 '1박 2일'을 진행했습니다.
 
'1박 2일'처럼 복불복은 기본이고, 스스로 땀 흘려 잡아 먹자는 취지로 추진했습니다. 선발대가 도착해서, 항구 근처 주차장에 자리를 정하고 텐트를 치던 중 텐트가 날아가 바다로 빠지는 사고가 발생했습니다. 텐트가 바다에 빠져 경찰, 소방서 직원들께 도움을 요청한 건 아마 안랩이 최초(?)가 아닐까 싶습니다. (하하)

- CERT팀의 향후 계획은 무엇인가요?
안철수연구소가 앞으로 지향하는 건 보안 서비스입니다. 선봉장으로 CERT와 ASEC이 있습니다. CERT가 안랩의 중요한 위치임을 인식하고 있으며, 회사에서도 CERT 근무 여건을 개선하기 위해 노력할 것입니다. 앞서 CERT가 다소 폐쇄적이라고 말했는데, CERT팀의 활동상을 보여줄 수 있는 블로그를 만들 계획인니다. 또한, 국내외 보안 위협 이슈와 동향을 정리한 'ASEC 리포트'처럼 CERT에서도 Montly Report를 발행할 예정입니다. 이는, 안랩의 기업가치 중 하나인 사회 공헌을 실천하기 위한 것입니다.

- 보안 분야, 혹은 CERT에 지원하려는 대학생들에게 조언을 해준다면요.
예술로 보면, CERT를 종합 예술이라 표현하고 싶습니다. 보안에 대한 폭넓은 지식이 필요한데, 그만큼 알아야 할 것이 많고, 스스로 공부를 많이 해야 합니다. 보안 분야에 입문하면 CERT를 통해 스스로 레벨업할 기회가 있습니다. 그리고 "시야를 넓혀라"라고 말하고 싶습니다. 보안, 시스템 운영, 개발의 세 가지 분야가 있다면, 세 분야에서 바라보는 시각이 서로 다릅니다. "그래도 개발자가 보안에 대해 어느 정도는 알고 있겠지?"라고 생각하겠지만, 실제로는 그렇지 못합니다. 다양한 시각을 가지고 많이 익힐 수 있도록 시야를 넓혔으면 합니다. 앞으로는 IT 업무에서 보안을 뺴놓고는 말할 수 없다고 생각합니다. 보안에 친숙하지 않으면 적응하기 힘들다는 것을 인지했으면 합니다.

- 마지막으로 '보안세상' 독자들에게 한 말씀 부탁드립니다.
영화 속 멋진 장면들 때문인지 사람들은 CERT에 동경심이 있는 것 같습니다. 거기에 "보안, 해킹, 해커 잡는 사람들"이란 수식어가 따라다니지요. 하지만, 실제로 현장에서 대응하는 저희는 몇 배의 고생을 합니다. 업무가 대부분 장애성, 긴급성을 요구하고 침해대응에는 수많은 제반 사항이 필요한데, 이것을 모르는 일반인은 겉에 보이는 모습만 생각하는 것 같습니다. 영화 속 멋진 장면이 전부가 아니란 것을 알아주셨으면 좋겠습니다. Ahn

 

사내기자 하동주 / 시큐리티대응센터(ASEC) 연구원

'착한 아이'라는 뜻이지만 '착잡한 아이'라고 더 많이 불리는 '착이'라는 별명을 가진 하동주 연구원은 오늘도 안철수연구소에서 동료들과 함께 우리나라를 지키고 있다.

대학생기자 김광연 / 중앙대 경영학과

꿈꾸는 당신을 위한 초석 Red-Bricks가 되어드리겠습니다. 제가 가진 열정과 노력으로 세상의 모든 일은 이룰 수 없지만, 무엇인가는 이룰 수 있을 것이라 믿으며 어제보단 오늘이, 오늘보단 내일의 모습이 더 나아짐을 꿈꾸며 오늘도 한걸음, 세상을 향해 발디뎌 봅니다.

대학생 기자 변종민 / 경기대 산업공학

주변 사람들은 나를 보고 근성가이라 한다. 나 또한 가진 것이 젊음과 근성 하나라고 믿고 있다. 지칠 줄 모르는 도전 정신과 끈기로 미래의 정보보안감사사가 되는 것이 목표인 24살 청년. 목표를 이루기 위해 한 단계, 한 단계 나아가고 있는 그는, 대학생 시절 소중한 경험과 추억을 담아가기 위해 보안세상 대학생 기자로 활동 중이다.

"한마디로 사이버 전쟁이었습니다."
7일 저녁. 청와대를 비롯한 국내 및 미국의 주요기관 홈페이지들이 해커들의 분산서비스거부(DDoS) 공격으로 다운되는 일이 발생했다. 다음 날 2차 공격이 발생함에 따라 안철수연구소의 홈페이지 역시 주요 사이트들과 함께 잠시 접속장애를 겪기도 했다. 기술 요원들은 공격을 받는 기관이나 기업의 사이트에 대해 요원을 투입해 방어 지원에도 나서 큰 피해없이 조기에 수습했다.

이에 김홍선 대표이사가 일본 출장 중 긴급히 귀국함은 물론, 회사의 비상 대응 레벨을 최상급으로 높여 전사 대응 체제를 가동했다.

ASEC 대응 팀은 문제점이 발견 되는 즉시 정밀 분석을 통해 전용백신을 개발해 1, 2차 DDoS공격용 악성코드 전용 백신에 이어 하드 손상 방지 전용백신까지 무료로 웹사이트에 제공하기 시작했다. 분석이나 대응 관련 업무를 하는 직원들은 이틀, 혹은 사흘 동안 제대로 잠을 못 잔 이들이 태반이다. 잠깐 집에가서 옷만 갈아있고 나오는 연구원들도 많다. 식사시간조차 없어진 것이 어느덧 몇일째. 점심 시간이 되면 수십 개의 도시락들이 분주하게 사무실로 배달되었다.

악성코드에 은밀히 숨겨진 암호를 세계 처음으로 해독하는데 성공했다. 암호해독으로 디도스 공격의 예정 시간과 사이트도 사전에 알 수 있었다. 나중에 안 일이지만 해외 보안전문가들도 안랩이 어떻게 해독했는지 놀랐다고 한다. 완벽한 암호해독으로 예정된 사이트들의 추가 공격에 대해 아무 피해없이 방어할 수 있었다. 아울러, 악성코드 분석과 전용백신 개발 등은 안랩이 외산 백신에 비해 12시간 이상 빨리 이루어졌다.

지난 4일 동안 김밥도 제대로 먹지 못했던 직원은 비로서 처음으로 앉아서 식사를 했다는 것에 안도의 한 숨을 쉰다. 사명감이 없이는 할 수 없는 일이다. 아무런 보상이 없이도 몇일 밤을 세워가며 연구에 몰두할 수 있는 것은 오직 나라를 지키고 있다는 사명감 뿐이기 때문이다.

연구원들은 밤샘 작업을 거쳐 실제적으로 추가 공격을 예견하고 대책을 세우는 등 사실상 사이버 보안의 해결책에 최선을 다했기에 국내외 언론사들의 취재 및 인터뷰 요청이 빗발쳤다. 실제로 알자지라, CNN 등 세계적인 해외 언론들도 취재를 위해 직접 안랩을 방문하였다.

어제까지는 공공기관이나 기업들의 사이트가 다운되는 경우가 대부분이었으나 오늘부터 개인 PC가 손상되기 시작하면서 콜센터로 고객들의 문의전화가 쇄도하고 있는 상황이다. 사방에서 쉴새없이 전화벨이 울림은 물론, 팀이나 부서의 구분 없이 하나가 되어 대응하고 있다. 

아직까지 4차 공격의 징후가 없어 잠정적으로 DDoS소강 상태라고 판단 한 지금에도 여전히 사무실 내부는 긴장감이 가득하기만 하다. 그러나, 지금껏 해온 것처럼 ‘대한민국 대표 보안기업’이라는 사명감과 자부심을 가지고 끝까지 잘 싸워줄 것을 믿어 의심치 않는다.

-U양-