미국 수도 워싱턴DC 관문인 덜레스 국제공항에서 15분을 달려 버지니아주 헌돈(Herndon)에 도착했다. 공항과 인접한 한적한 곳에 글로벌 1위 보안 기업 시만텍 ‘보안운영센터(SOC)’가 위치했다.
시만텍은 과거 버지니아 알렉산드리아에 있던 SOC를 최근 헌돈으로 옮겼다. 네트워크 허브가 위치한 곳에 보안관제센터를 설치해야 보다 효과적인 대응이 되기 때문이다.
글로벌 1위 보안 기업 시만텍은 미 정부는 물론이고 포천 100대 기업의 정보보호를 책임진다. 매일 수십만건에 달하는 사이버 위협을 어떻게 효과적으로 대처하고 있는지 현장을 직접 찾았다.
브레인 머피 시만텍 매니지드 시큐리티 서비스 시니어 디렉터와 함께 헌돈 SOC로 들어갔다. SOC 문은 인가된 사람만 열 수 있다. 센터문은 천장부터 바닥까지 전혀 틈이 없다. 두께가 족히 30cm가 넘는 문은 지문인식으로 열린다. 이 문을 열고 들어가니 또 다른 문이 기다린다. 혼자 첫 번째 문을 들어왔다고 해도 두 번째 문을 열지 못하면 영락없이 감옥에 갇히는 구조다. 창문도 없는 이 공간을 지나 두 번째 문을 열자 SOC가 모습을 드러냈다.
◇태양을 따라 가며 잠들지 않고 글로벌 사이버 위협 경계
시만텍 SOC는 화려한 그래픽과 디스플레이를 자랑하는 국내 관제센터와 거리가 멀다. 국내서 보던 커다란 관제 상황판은 아예 없다. 전문분석가가 가장 효율적으로 일할 수 있게 구성됐다.
시만텍은 세계 5개 SOC를 운영한다. 하루 24시간 365일 잠들지 않고 정보보안 서비스를 제공한다. 시만텍은 이것을 ‘태양을 따라서(Follow the Sun)’라 부른다. 미국 헌돈센터를 시작을 영국 리딩, 인도 첸나이, 일본 도쿄, 호주 시드니 등 5개 센터가 2곳씩 업무를 하고 바통을 이어받는다. 고객과 가장 가까운 SOC가 사이버 위협을 감지하고 분석, 대응한다. 인도는 백업 센터 역할까지 한다.
헌돈 SOC 업무가 끝나면 바로 인도와 일본 센터가 업무를 이어 받는다. 헌돈 SOC에서 분석 중이던 악성코드 샘플 역시 인도와 일본 센터에서 지속적으로 분석된다. 오늘 한국에서 발견된 악성코드는 내일 아침이면 분석이 끝난다. 국내는 직원이 3교대로 보안관제를 한다. 힘들고 고된 업무라 인력 구하기도 어렵다. 하지만, 시만텍은 글로벌 네트워크를 활용해 가장 빠르게 세계 사이버 위협을 감지하고 대응하는 체계를 운영한다.
◇보안 전문가 1000명 포진
시만텍 SOC 직원 모두는 GIAC(Global Information Assurance Certification) 자격증을 가진 정보보호 전문가다. 세계적으로 약 1000명의 보안 전문가가 SOC에서 보안 위협을 분석하고 대응방안을 제공한다. 시만텍 SOC는 매달 6600억개에 달하는 로그를 분석한다. 하루 평균 470만개 이상의 새로운 보안 이벤트를 탐지한다. 시만텍은 특화된 산업분야를 전문으로 분석하는 애널리스트도 보유했다. 고객사에 문제가 생기면 10분 이내 통보한다. 이 규정은 서비스수준정책(SLA)에 명시돼 있다.
머피 시니어디렉터는 “세계 200개국에 4500만개 센터와 노튼 안티바이러스 사용자, 500만개에 달하는 허니팟을 이용한다”며 “수 분 내에 악성코드가 어떤 명령&제어(C&C) 서버와 통신하는 지 밝혀낸다”고 설명했다. 그는 “최근 가장 큰 사이버 위협은 중요 개인정보나 데이터를 빼돌리는 공격”이라며 “시만텍 SOC는 단순 관제보다 분석에 집중한다”고 덧붙였다.
◇국가와 정부 노린 사이버 위협 급증
시만텍은 8월 초 조직적으로 다수의 구 동유럽 국가 정부와 대사관을 겨냥한 대규모 사이버스파이 활동을 포착했다. 공격단체는 사이버 정찰활동을 위해 ‘트로이목마 윕봇(Trojan.Wipbot)’과 ‘타브딕(Tavdig)’ 백도어를 사용했다. 이후 또 다른 악성코드 ‘툴라(Trojan. tulra)’를 이용해 장기간 모니터링했다. 분석에 따르면 공격단체는 최소 4년 이상 사이버 스파이 활동을 해온 것으로 보인다. 목표물과 고난이도 악성코드가 사용된 점을 미뤄 시만텍은 이번 공격 배후에 국가 차원에서 후원을 받는 조직이 있을 것으로 추측했다. 툴라는 공격자에게 강력한 스파이 기능을 제공한다. PC를 시작할 때마다 실행되도록 설정돼 웹브라우저를 여는 즉시 공격자와 통신이 가능한 백도어를 실행한다. 툴라를 쓴 공격자는 스피어피싱(Spear phishing) 이메일과 워터링홀(Watering hole) 공격 기법으로 피해자를 감염시키는 이중 전략을 취했다.
초기 감염 피해는 유럽 국가에서 확산된 것으로 보였다. 자세한 분석결과 서유럽 감염은 구 동유럽 국가의 민간 정부 네트워크에 연결된 PC에서 발생했다. 감염은 국가의 대사관을 통해 이뤄졌다. 공격단체는 소수 국가에 집중 공격을 펼쳤다. 2012년 5월, 구소련 회원 국가의 국무총리실이 감염된 후 빠르게 번져 총리실 내 PC 60대가 피해를 입었다.
2012년 말 프랑스에 있는 또 다른 구 소련 회원국의 대사관이 감염됐다. 2013년에는 감염이 해당 국가의 외무부 네트워크에 연결된 다른 컴퓨터로 확산됐다. 외교부를 목표로한 조직적인 스파이 활동이다. 벨기에, 우크라이나, 중국, 요르단, 그리스, 카자흐스탄, 아르메니아, 폴란드, 독일 대사관에서 발견됐다. 이번 공격은 다양한 방어망을 뚫을 수 있는 풍부한 자원력과 높은 기술력을 가진 공격 단체의 소행으로 보인다. 이들은 국가와 같은 타깃을 대상으로 민감한 정보의 스파이 활동과 탈취에 집중했다.
헌돈(미국)=김인순기자 insoon@etnews.com