"최근 1주간 해킹 160만 건 막았다"...SK쉴더스 시큐디움센터 가보니

"지금 보시는 화면은 2천200개 기업에 대한 사이버 공격 대시보드입니다. 우리 사이버보안관제센터는 365일 24시간 무중단 운영돼야 하기 때문에 총 근무자 35명이 4조 3교대로 근무하고 있습니다."

초대형 화면에 띄워진 세계 지도에는 실시간으로 사이버공격 발생지와 타깃 시스템의 위치가 표시되며 번쩍였다. 화면의 다른 한 켠에는 지난 일주일간 발견된 해킹공격이 160만 건, 분산서비스거부공격(DDos)이 8만 건이라는 수치와 함께 사이버 위험 단계 '경계'를 나타내는 노란색 등이 켜져 있었다.

지난 21일 기자가 방문한 SK쉴더스의 사이버보안 관제센터 '시큐디움센터'는 총성 없는 전장(戰場)이었다. 실시간 발생하는 해커의 공격을 차단하기 위해 10명 남짓한 인원이 대형 대시보드를 향해 앉아, 눈과 손을 분주히 움직였다. 새롭게 발생한 공격을 분석하고, 인공지능(AI)에 공격 패턴을 학습시키는 등 각자 맡은 업무를 수행 중이라고 했다.

SK쉴더스 보안관제센터 시큐디움에서 센터소속 직원들이 위협 상황을 모니터링하고 있다.(사진=SK쉴더스)

이날 SK쉴더스는 경기도 판교에 위치한 사이버보안 관제센터 '시큐디움센터(Secudium Center)'를 외부에 최초 공개했다. 김종현 센터장은 "24시간 365일 모든 고객 IT에서 발생되는 위협을 탐지하고 대응하는 곳"이라고 시큐디움센터를 소개했다.

SK쉴더스는 이곳에서 2천200개 고객사의 IT 시스템을 원격으로 보안관제하고 있다. 자체 개발한 관제 플랫폼 '시큐디움'을 통해 모니터링하고 이상징후를 분석해, 공격으로 판단된 것에 대해서는 차단 조치까지 이뤄진다.

김 센터장에 따르면 시큐디움 플랫폼을 통해 하루 79억건, 초당 25만건에 달하는 이벤트 로그(네트워크에서 발생한 행위 데이터) 데이터가 수집 및 처리되고 있다.

이렇게 많은 이벤트 로그에서 어떻게 위협적인 행위만 찾아낼까?

그는 "사전에 정의된 룰에 따라 위협적인 활동을 찾아내는데 그 건수가 5만 건 정도 되며, 이 것도 사람이 모두 볼 수 없기 때문에 AI가 정탐인지 오탐인지 판정하고 있다"고 설명했다. 사람의 역할은 AI 성능을 높이기 위해 학습데이터를 만들고 넣어주는 데 더 집중돼 있다고 했다.

그는 또 "위협 행위에 대한 판단은 정제된 위협 분석 데이터를 총 망라한 위협 인텔리전스(TI)를 통해 한번 더 확인하게 된다"며 "TI는 일종의 '전과자 목록'으로 과거 공격 기법, 유형, 히스토리 등이 포함돼 있다"고 설명했다.

위협 대응 단계도 상당부분 자동화됐다. 김 센터장은 "관제센터에서 위협이라고 판단하고 액션만 취하면, 연동된 보안 장비에서 자동으로 대응이 이뤄지고 해당 트래픽에 대한 접근 차단 등의 조치가 이뤄진다"고 했다.

김 센터장은 이날 최근 알려진 심각한 취약점인 '로그4셸'과 '스프링4셸'을 악용한 공격 추이를 공개하며 보안관제 필요성을 강조했다.

로그4셸과 스프링4셸은 각각 자바기반 로깅 라이브러리 로그4j와 자바 애플리케이션 개발 프레임워크 스프링에서 발견된 원격코드실행 취약점이다.

시큐디움을 통해 수집된 정보에 따르면 로그4셸이 발견된 다음날인 지난해 12월18일부터 약 일주일간 매일 1만~1만5천 건의 공격이 발생했다. 스프링4셸의 경우 취약점이 발견된 지난 3월 31일부터 10일간 매일 약 1천건 가량의 공격이 시도된 것으로 확인됐다. 취약점이 발표된 바로 다음날부터 해킹 공격 시도가 급격하게 이뤄지고 있는 것이다.