보도자료

인천은 대한민국 ‘최초’의 이야기가 시작된 곳이다. 인천항 개항 후 철도, 등대, 우체국, 도서관 등이 인천에서 가장 먼저 설립돼 대한민국을 근대국가의 면모를 갖추게 했다. 이러한 역사를 가진 인천광역시는 새로운 도전을 주저하지 않고 역동적으로 나아간다는 의미를 담은 ‘퍼스트에버(First Ever), 최초를 넘어 최고가 된다’는 핵심 가치를 내세운다.

이러한 가치는 IT 투자 영역에서도 잘 나타난다. 인천은 AI 기술을 스마트시티·교통·물류 분야 등에 활용하는 등 첨단 기술을 활용한 지속 가능한 성장을 추진한다.

동시에 사이버 보안 위협 대응에도 나서고 있다. 사이버 공격자가 첨단 IT 기술의 신규 도입으로 발생하는 보안 사각지대를 지능적으로 찾아낼 수 있기 때문에 강력하고 세밀하면서도 촘촘한 보안 체계 마련이 필수다.

인천광역시 기획조정실 정보화담당관실의 김선엽 주무관은 “인천시는 지속적으로 높아지는 보안 위협에 대응하기 위해 여러 보안 시스템을 도입해 운영하고 있으며, 보안관제센터를 통해 각 기관의 시스템에서 생성된 이벤트를 분석하고 즉시 조치하고 있다. 그런데 위협의 종류와 빈도가 늘어나고, 기존 보안을 우회하는 공격 시도가 발생하고 있어 보안관제를 개선해야 했다”고 밝혔다.

그는 “관제요원이 직접 운영하는 방식의 보안관제는 관제요원의 성숙도, 실수 혹은 오판으로 인한 문제가 발생할 수 있다. 특히 최근 기관을 대상으로 한 공격 시도가 증가하면서 이벤트가 늘어나 보안관제 요원의 업무가 증가하고 있어 이 문제도 해결해야 한다. AI를 이용해 자동화된 탐지·차단 기능을 제공하는 보안관제 솔루션이 필요했다”고 설명했다.

복잡성 높아지는 보안관제

인천시는 시 본청과 10개 군·구, 시청 산하 공사·공단 및 CCTV 관제서버 등 물리적으로 분산된 기관의 13개 개별 정보통신망을 연계한 통합보안관제를 수행하고 있다. 각 기관과 현장에서 발생하는 위협 이벤트와 이상징후를 중앙에서 통합 분석해 전체 위협 현황을 파악하고 대응한다.

김선엽 주무관은 “산하 기관은 조직의 규모가 작고 인력과 예산이 충분하지 않아 각 기관별로 보안전담인력을 두지 못한다. 그래서 개별 기관의 보안장비를 중앙관제센터와 연동시켜 중앙에서 위협을 확인, 조치하고 있다. 최근에는 지능형 CCTV 등 스마트시티를 위한 설비가 추가되면서 이를 운영하는 서버와 네트워크에 대한 보안 위협도 대응하고 있다”고 설명했다.

기존 보안관제센터는 SIEM을 활용해 다양한 보안 로그의 연계분석을 수행했다. 그런데 최근 발생하는 지능형 위협은 로그 분석만으로 파악하기 어려우며, 네트워크 패킷을 비롯한 다양한 유형의 위협 데이터를 수집하고 연계분석해야 한다. 또 대규모 이벤트가 쌓이면 검색과 분석 속도가 느려져 관제 효율성이 저하된다. 너무 많은 보안 경보가 발생해 중요 이벤트 누락, 실수 등의 문제를 겪을 수 있다.

기존 보안관제솔루션은 자동 차단 기능이 없거나 제한적이다. 보안요원이 발생한 모든 이벤트를 분석할 수 없기 때문에 중요한 이벤트를 놓칠 수 있다. 지속적으로 새로운 취약점과 새로운 유형의 공격이 발생하고 있어서 이를 효과적으로 식별·대응할 수 있는 방법이 시급했다.

사이버 위협 자동 대응체계 구축

인천시는 이 문제를 해결하기 위해 ‘사이버위협 자동 대응체계 구축’ 사업을 진행했다. 인천시는 SIEM을 보완하면서 가속화·지능화되는 사이버 위협에 대응할 수 있는 자동화된 위협 탐지와 차단 솔루션으로 보안 오케스트레이션, 자동화 및 대응(SOAR)을 선택했다.

SOAR는 보안관제센터에서 수행하는 업무를 자동화한 솔루션으로, 조직에 구축된 모든 보안 시스템을 연동시켜 위협 정보를 수집·분석하며, 탐지·대응을 자동화한다. 자동화된 보안관제 프로세스를 통해 보안 이벤트를 누락시키지 않고 분석, 대응할 수 있게 지원한다. 이를 통해 관제요원은 중요도 높은 보안이벤트에만 집중할 수 있으며, 진화하는 고급 위협을 분석해 위험도 높은 사고를 선제적으로 탐지, 조치함으로써 조직의 보안 수준을 크게 높인다.

인천시는 자동화된 대응체계 구축이 가능한 SOAR 솔루션을 찾았다. SOAR 도입 목적이 ‘사이버위협 자동 대응체계’였기 때문에 자동 차단이 가능한 제품을 우선 검토했다. 대부분의 SOAR는 자동화된 탐지 기능은 제공하지만 완벽한 자동 차단을 권장하지 않는다. 오탐으로 인한 문제를 피하기 위해 차단은 보안 담당자가 직접 결정하도록 한다.

그런데 쿼리시스템즈의 ‘큐티(QTIE)’는 99% 이상 자동화된 탐지와 차단을 지원해 주목받는다. 큐티는 다양한 분석 엔진과 국내외 주요 위협 인텔리전스(TI)를 연계해 오탐 없는 자동 차단 기술을 제공한다. 다중상관분석 엔진, 연관분석 중심의 플레이북, 지도·비지도학습 기반 머신러닝 활용 AI 위협분석 엔진 및 패킷 기반 탐지 엔진을 기본으로 지원한다. 그리고 KISA C-TAS, FATI, 이머징 쓰렛(Emerging Threat) 등 국내외 위협 인텔리전스(TI)와 연계해 위협을 정밀하게 정확하게 분석한다.

김 주무관은 “사이버 위협 자동대응체계 구축을 위해 다양한 SOAR 솔루션을 검토했는데, 자동 탐지부터 차단까지 확실하게 기술 수준을 높인 솔루션으로 ‘큐티’가 가장 높은 점수를 받았다. 큐티는 AI를 비롯한 여러 엔진과 함께 다양한 TI를 활용할 수 있어 위협탐지평균시간(MTTD), 위협대응평균시간(MTTR) 최소화한다”고 설명했다.

빠른 속도로 보안 분석 업무 개선

큐티는 SIEM, SOAR, NDR, TIP, AI를 통합한 솔루션으로, 지능형 위협 탐지와 자동 대응 체계를 구축할 수 있어 여러 공공기관과 대학, 기업, 그리고 미션 크리티컬 서비스를 제공하는 금융사에 공급됐다.

큐티는 초당 1000억건 이상 검색 속도를 제공하는 솔루션으로, 대규모 이벤트를 저장, 분석하는 대형 보안조직에서도 사용하고 있다. 전통적인 SIEM은 대규모 데이터 환경에서 검색 속도가 느려 분석업무의 상당시간을 허비하게 만든다. 큐티는 경쟁사 대비 월등한 검색속도를 지원해 연관 이벤트를 즉시 검색하고 분석하는데 활용할 수 있도록 해 업무 시간을 크게 단축시켰다.

김 주무관은 “기존 관제 시스템은 분산된 여러 기관과 조직에서 이벤트를 찾아 분석하는데 상당한 시간이 걸렸다. 그래서 SOAR 선택 시 빠른 검색과 분석으로 실시간 대응이 가능한 제품을 찾았으며, 다양한 환경과 조건에서 많은 테스트를 해 보았다. 비교 대상 제품 중 큐티가 가장 빠르고 안정적인 검색 속도를 기록했다”고 설명했다.

자유로운 플레이북 생성도 중요한 요인이었다. SOAR의 핵심은 플레이북으로, 제조사에서 실행 가능한 풍부한 플레이북을 제공해야 하며, 고객이 실제 운영 환경에서 발생하는 새로운 위협에 대한 플레이북도 쉽게 만들수 있도록 자율성을 보장해야 한다.

큐티는 위협을 정밀하고 정확하게 탐지할 수 있는 500여종의 실행 가능한 플레이북을 제공하며, 고객이 현장에 맞게 직접 플레이북을 생성, 편집, 테스트할 수 있도록 지원하며, 지속적인 무상 업데이트도 제공한다.

김 주무관은 “쿼리시스템즈에서 제공하는 플레이북은 다양성과 완성도가 높았으며, 운영환경에서 직접 플레이북을 만들고 테스트할 수 있도록 해 실제로 발생하는 위협에 즉각 대응할 수 있게 한다”고 말했다.

모든 보안 솔루션과 연동 완료

SOAR는 모든 솔루션과 연동할 수 있어야 원활하게 운영될 수 있는데, 기존에 구축된 장비 중에는 연동이 어려운 것도 있어 SOAR 도입 효과를 떨어뜨린다. 큐티는 쿼리시스템즈가 국내 기업·기관에서 국내 기업·기관에서 사용하는 대부분의 보안 솔루션과 연동 작업을 마쳤었고, 기존 연동 사례가 없던 장비들의 경우 사업기간 내 추가 개발 완료해 연동을 지원하지 못하는 시스템으로 인한 어려움은 적었다.

단순하고 직관적인 화면과 관리환경을 제공해 복잡한 교육없이 쉽게 운영할 수 있었다는 점도 장점으로 꼽혔다. 탐지된 이벤트가 어느 기관의 시스템에서 발생한 것인지 단일 통합 관리 화면에서 보여주기 때문에 즉각적인 조치가 가능해 사고와 장애를 방지할 수 있다.

김선엽 주무관은 “큐티 도입 후 이벤트 차단 건수가 10~15배 정도 늘어난 것으로 파악하고 있다. 처음 도입 후 한 달 정도 큐티의 자동 차단 정책이 정확하게 작동하는지 모니터링했으며, 99% 이상 차단 정확도를 보장한다는 것을 확인했다”고 설명했다.

“큐티 도입으로 시 본청과 산하기관까지 통합 보안관제와 정책 운영이 가능해졌다. 완전히 자동화된 탐지·차단으로 보안관제에 필요한 시간과 비용을 줄일 뿐만 아니라, 이전에 보지 못했던 위협까지 가시화하고 대응할 수 있어 보안수준을 획기적으로 향상시킬 수 있었다”고 말했다.

보안 위협은 계속 진화하고 있으며, 개별 솔루션과 인력으로 막을 수 있는 수준은 이미 넘어섰다. 모든 조직이 결국은 SOAR를사용할 수밖에 없다는 것이 김선엽 주무관의 판단이다.그는 “SOAR는 보안 업무를 자동화해 보안 업무를 줄인다. 또한 AI와 여러 보안 엔진을 사용해 탐지·차단 정확도를 높여 관제요원의 성숙도 수준에 의지하는 기존 보안관제의 문제를 해결할 수 있다”고 강조했다.

출처 : 데이터넷(https://www.datanet.co.kr/news/articleView.html?idxno=198214)