[뉴스토마토 류석기자] 정보유출사고나 해킹 등의 보안위협이 빈번하게 발생하게 되면서 정보보안의 최전선을 책임지고 있는 침해사고대응팀(CERT)이 주목 받고 있다.

 

31일 관련업계에 따르면 최근 지능화되고 있는 보안위협에 더욱 신속히 대응하기 위해 침해사고대응팀의 인력을 차츰 늘려나가는 등 보안위협 대응에 있어서 그 중요성이 더욱 강화되고 있는 것으로 나타났다.

 

한 업계관계자는 “침해사고대응팀의 보안관제업무 담당자들은 몇 년 전만 해도 인력이 충분하지 않아 2교대로 업무에 투입하는 등 다소 힘든 면이 있었다”며 “하지만 지금은 관제업무의 중요성이 높아진 만큼 인력을 더욱 확충해 3교대로 근무에 들어가고 있다”고 밝혔다.

 

 

침해사고대응업무는 크게 두 가지로 분류할 수 있다. 서버나 네트워크망을 실시간으로 감시하고 해커의 공격에 1차적으로 대응하는 보안관제업무와 보안 취약점을 분석하고 고객사의 침해사고 발생시 상세한 보고서를 작성하는 침해사고분석업무로 나뉜다.

 

보안관제업무 담당자는 해커의 공격을 실시간으로 탐지하는 업무가 가장 중요하다. 관제실 정면에 설치된 대시보드(종합상황판)를 통해 발생하는 트래픽의 이상유무를 관찰하고 해커의 공격 시도 시에는 실시간으로 공격을 차단하는 역할도 한다.

 

이들은 업무 공백이 불가피한 특성상 24시간 교대로 근무하는 경우가 대부분이다. 또 보안관제업무 담당자들은 자신의 회사가 아닌 외부 고객사나 기관에 파견되어 업무를 보는 경우가 많다.

 

회사 내부에서 근무하며 원격으로 관제 업무를 하는 경우도 있지만 이는 규모가 크지 않다. 대부분 외부로 나가는 파견관제의 형태로 이루어지기 때문에 자신의 회사에 소속감을 잘 갖지 못하는 고충도 존재한다.

 

실제로 보안관제를 담당하고 있는 한 담당자는 “사실 관제 업무라는 게 남들과는 다른 시간에 일하고, 주로 외부에서 일하다 보니 여러 면에서 힘든 점이 존재했다”며 “하지만 보안 위협에 가장 먼저 대응하고 최 일선에 우리 고객들이나 또 크게 보면 대한민국의 네트워크망을 감시하고 있다는 차원에서 보람을 느낀다”고 소감을 밝혔다.

 

침해사고분석은 침해사고에 대해 종합적으로 분석하고 대응하는 업무이다. 침해사고가 발생하고 난 후 해커의 공격이 어떤 경로를 통해 발생했는지, 어떠한 방법이 쓰였는지 등을 면밀이 분석한다. 보통의 경우 처음에는 실시간 감시 위주인 보안관제업무를 담당하다가 기술적인 숙련도와 경력을 갖추게 되면 보안관제의 더욱 발전된 형태인 침해사고분석업무를 담당하게 된다.

 

권동훈 안랩 CERT팀장은 “최근 발생하는 공격들은 정상 트래픽을 가장해 들어오는 경우도 있다”며 “보안솔루션 도입에만 의존하기보다 관제 솔루션과 운영을 효과적으로 할 수 있는 전문가 육성이 필요하다”고 밝혔다.

 

노명선 한국인터넷진흥원(KISA) 침해사고대응단장은 “관제는 보안의 최 일선에서 실시간 사고 대응을 담당하는 업무”라며 “보안관제가 역할을 소홀히 해 네트워크 상에 발생하는 이상 징후나 공격을 놓치게 되면 한참이 지난 후에 (공격 징후를)발견하게 될 수 도 있기 때문에 관제업무는 보안에 있어서 굉장히 중요한 업무”라고 설명했다.