​하루 80억건 위협 차단...SK쉴더스 "국내 넘어 글로벌 보안 기업과 경쟁할 것"

2022-04-21 15:29
2000여개 고객사 원격 관제로 하루 80억건 위협 탐지
관제, 사고분석, 취약점 발굴 등 보안 위협 통합 대응

SK쉴더스 시큐디움 센터 전경 [사진=SK쉴더스]

SK쉴더스가 21일 사이버보안 최전선에서 활약하는 보안위협 대응 조직을 소개하고, 글로벌 보안 기업과 경쟁하겠다는 목표를 밝혔다.

최근 코로나19 확산으로 재택근무 등 비대면 서비스가 사회 전반으로 확산하면서, 보안 위협 역시 우리 일상을 노리기 시작했다. 이러한 가운데 기업은 체계적인 보안 전략을 세우고 '사이버 팬데믹'에 대응해야 할 필요성도 커졌다.

SK쉴더스에서 활약하는 조직은 크게 시큐디움 센터, Top-CERT, EQST 등으로 나뉜다. 이밖에 최근 온라인과 오프라인의 경계가 사라지면서 제조시설이나 스마트시트를 담당하는 OT(운영기술)보안 조직을 별도로 운영 중이다.
 
최전선에서 위협에 맞서는 시큐디움 센터
시큐디움 센터는 SK쉴더스가 운영하는 보안관제센터로, 고객사에 설치한 보안 장비 등을 통해 수집한 보안 위협 정보를 실시간으로 분석해 대응을 위한 인텔리전스(Threat Intelligence, TI)를 제공한다. SK쉴더스에 따르면 2000여개 고객사에서 하루 79억~80억건의 데이터를 수집해 처리하며, 관제 효율성을 높이기 위해 5만건 이상의 위협을 인공지능(AI)으로 판단해 자동 대응하고 있다.

또한, 일시적인 운영 중단에 대비해 판교 센터와 야탑 센터로 이원화해 운영 중이며, 복수의 관제센터를 운영하는 것은 SK쉴더스가 국내에서 유일하다는 설명이다. 이밖에도 원격관제가 제도적으로 불가능한 공공·금융 분야에도 전문인력 파견과 내부 관제센터 구축을 통해 각종 보안 위협에 24시간 365일 대응하고 있다.
 

김종현 SK쉴더스 시큐디움 센터장[사진=SK쉴더스]

김종현 시큐디움 센터장은 "최근 알려지지 않은 취약점을 악용한 제로데이 공격이 성행하고 있으며, 특히 지난해 말에는 로그4j 취약점으로 인해 많은 기업이 위협에 놓이기도 했다. 해킹 기법도 단순 악성 이메일을 넘어 악성행위를 위한 파일을 명령제어 서버에서 나눠서 내려받는 등 공격 방식이 치밀해지고 있다"고 말했다

이어 "하지만 기업 보안 인력과 위협 대응에 대한 노하우는 여전히 부족한 상황이다. 해킹 사고가 늘어날수록 AI나 TI의 중요성이 커지며, SOAR(보안 오케스트레이션, 자동화 및 대응) 같은 자동화·실시간 대응이 필요하다. 시큐디움 센터는 이런 일을 하는 곳이다. 지난해 제로데이 공격이 성행했음에도 불구하고, SK쉴더스 고객사의 피해는 0건을 기록했다"고 덧붙였다.
 
사고 재발 막기 위해서는 원인 분석이 중요, Top-CERT
Top-CERT는 침해사고대응 전담조직이다. 이미 발생한 사고에 대해 심층적으로 조사하고, 공격자가 어떤 방식으로 침투했는지 판단한다. 특히 국가정보원, 행정안전부, 경찰청 등 국가기관과도 공조해 대형 침해사고에 대해 분석한다. 2016년 발생한 북한 발 정보유출 사고에서도 소프트웨어 취약점을 사전에 발견해 대규모 사고를 예방하기도 했다. 연평균 분석하는 침해사고 건수는 50건에 이른다.

김성동 Top-CERT 팀장은 "팀 주요 업무는 침해사고 발생 후 원인을 규명하고 대응 방안을 마련하는 일이다. 시스템을 포맷하더라도 침투에 쓰인 취약점을 제거하지 않으면 해커는 다시 침투할 수 있기 때문이다. 분석 업무는 이 때문에 중요하다"고 말했다.

김 팀장은 이날 랩서스(Lapsus$) 조직의 침투 기법과 대응 방안에 대해서도 소개했다. 해킹조직 랩서스는 지난해부터 활동을 시작해 엔비디아, 삼성전자, LG전자 등 국내외 주요 기업을 공격하고 소스코드 등 기밀정보를 탈취했다고 주장한 바 있다.

SK쉴더스 Top-CERT에 따르면 랩서스는 본격적인 침투에 앞서 기업 내부 시스템에 접근할 수 있는 업무용 계정 탈취에 주력한 것으로 나타났다. 이러한 계정 탈취는 이메일 피싱, 개인 PC에 설치된 악성코드 등을 통해 이뤄지며, 상대적으로 보안이 약한 재택근무 환경을 노리는 경우가 많다. 특히 가상사설망(VPN) 접속 계정이나 업무용 메일 계정 등은 다크웹 등 추적이 어려운 인터넷 공간을 통해 거래되기도 한다.

특히 피해 기업의 경우 로그인 시 문자 메시지나 1회용 비밀번호 등을 통한 2차 인증 방식도 적용하고 있었지만, 공격자는 이를 이메일 등으로 우회하는 등 허점을 노려 추가 인증 수단을 무력화했다.

김 팀장은 "공격자의 사전 정보 수집 단계에서는 다크웹 인텔리전스를 통해 기업 계정이 유출되지 않았나 탐지해야 하며, 최초 침투 단계에서는 2차 인증을 고도화해 보안 약점을 줄여야 한다. 내부망 침투 단계에서는 이상행동탐지(FDS)나 엔드포인트 탐지 및 대응(EDR) 솔루션 등으로 위협 행위를 파악해야 하며, 정보유출 단계에서는 주요 정보를 암호화하는 방식으로 대응해야 한다"고 말했다.
 
해커잡는 해커, 국내 최대 화이트해커 조직 EQST
EQST는 화이트해커 조직이다. 단순히 취약점을 발굴하는 것을 넘어, 보안 정책(컴플라이언스)에서 취약점이나 신기술에서 발생할 수 있는 위협을 사전에 발굴한다. 특히 공익 목적으로 사이버보안 지식을 공유하며 보안 역량 강화에 기여하고 있다.

글로벌 시장에서는 이미 이러한 조직이 활발하게 활동 중이다. 구글은 맨디언트를 6.6조원에 인수했으며, IBM은 X포스 조직을 운영하고 있다. 2017년 설립된 EQST 역시 글로벌 전문 보안연구 조직과 같은 역량을 갖추기 위해 구성된 조직으로, 현재 100여명의 사이버보안 전문가가 모의 해킹이나 취약점 연구 등의 업무를 수행 중이다.

현재 산업군별 위협 시나리오와 진단 방법론을 구성해 국내외 200여개 모의해킹 컨설팅을 수행하고 있으며, 자체 개발한 취약점 진단 플랫폼 EQST VM은 기업 내부와 클라우드에 있는 IT 자산 취약점을 자동으로 진단하고 있다.

김태형 EQST 담당은 "해킹은 상당한 난이도가 필요한 기술이지만, 최근 자동화 도구가 보급되고, 공격 소스가 다크웹 등에서 공유되면서 대학생 수준의 지식만 갖추고도 공격을 펼칠 수 있는 시대가 도래했다. EQST는 이러한 위협에 대응하기 위해 취약점 분석과 자동진단 도구 등을 제공하고 있다"고 밝혔다.

한편, SK쉴더스는 2021년 매출(1조5497억원)과 영엽이익(1219억원)이 전년대비 각각 16.8%, 8.1% 성장하면서 좋은 실적을 거뒀다.

유종훈 SK쉴더스 클라우드사업그룹장은 "향후 클라우드 보안 분야에서 글로벌 솔루션과 서비스에 대한 투자를 확대할 계획이며, 이를 위한 전문인력도 영입할 계획"이라며 "보안 시장에서 SK쉴더스는 다른 사업자와 큰 차이를 벌리며 앞서가고 있으며, 시큐디움 센터, Top-CERT, EQST 등 전문조직의 강점을 앞세워 글로벌 기업과 경쟁하려 하고있다"고 말했다.