한국중부발전 “AI 보안 기술로 지능형 위협 탐지 역량 높여”
상태바
한국중부발전 “AI 보안 기술로 지능형 위협 탐지 역량 높여”
  • 김선애 기자
  • 승인 2019.04.17 09:34
  • 댓글 0
이 기사를 공유합니다

다크트레이스 ‘EIS’로 진화하는 타깃 공격 방어…보안분석 효율화로 탐지·대응 능력 극대화

최근 국가 주요기반시설을 노리는 지능형 타깃 공격이 늘어나고 있다. 한국중부발전(대표 박형구)은 이러한 위협에 대응하기 위해 정보보안에 많은 투자를 단행하고 있다. 전체 정보화 예산의 20%를 보안에 투입하고 있으며, 보안 전문인력을 확보하고, 자체 사이버안전센터를 운영하면서 실시간 위협에 대응하고 있다. 한국중부발전은 보안 시스템을 우회해 지능적으로 침투하는 위협까지 대응하기 위해 다크트레이스의 AI 기반 차세대 보안관제 시스템을 도입하고 보안 수준을 한 차원 높였다. <편집자>

한국중부발전은 2001년 전력산업 구조개편에 관한 법률에 따라 한국전력공사에서 분사한 발전 공기업으로 우리나라 전력생산량의 약 10%를 담당한다. 신재생 에너지 개발에도 적극 나서 인도네시아 찌레본 화력발전소, 미국 볼더 태양광 등 해외에서도 발전사업을 활발하게 추진하고 있다.

국가 주요기반시설인 발전소를 운영하고 있는 한국중부발전은 사이버 보안 분야에도 많은 투자를 단행하고 있다. 드론, IoT, 모바일 등 ICT 분야 신기술의 업무적용 확대와 신재생 에너지 발전설비 증가 등 새로운 업무환경에 적합한 정보보안 강화 대책을 최우선으로 추진하고 있다.

임길환 한국중부발전 정보보안실장은 “최근 국가 주요기반시설을 노리는 사이버 공격이 늘어나고 있어 제어시스템 보안관리, 사이버 보안 정책 수립, 개인정보 보호 등 보안 체계를 마련하고 있다”며 “한국중부발전은 정보화 예산 중 20%를 보안에 투자하고 있으며, 지능화된 사이버 위협에 대응할 수 있는 준비를 갖춰가고 있다”고 밝혔다.

그는 “2015년 자체 사이버안전센터를 설립해 365일 24시간 실시간 보안관제를 통한 침해사고 예방과 대응활동을 펼치고 있다. 전체 IT 인력 65명 중 15명이 보안 관련 업무를 진행할 만큼 보안 수준 제고를 위한 적극적인 노력을 전개하고 있다”며 “더불어 지능형 공격 대응을 위한 분야별 특화 보안 정책 도입과 개발, 운영 등에 많은 투자를 기울이고 있다”고 덧붙였다.

AI 활용 자동화된 보안 체계 수립
한국중부발전의 정보보안 체계는 발전소 제어시스템 침해사고를 방지하고 안정적으로 전력을 생산할 수 있도록 지원하는데 역점을 두고 있다. ▲시그니처 기반 대응 ▲지능형 APT 대응 ▲AI 기반 대응 등 다중 심층 방어 체계를 마련하고 실시간으로 위협 탐지와 대응 전략을 펼치고 있다.

특히 최근 사이버 공격의 양상이 복합화, 다양화되고 있으며, 지능적으로 보안 시스템을 우회하는 침해 시도가 늘어나고 있어 이에 대응하는데 힘을 쏟고 있다.

임길환 실장은 “최근 시그니처 기반 보안 솔루션을 우회하는 침해 시도는 물론이고, 동적 분석 기반 APT 방어 솔루션, 이메일 보안 솔루션 등 지능형 타깃 공격 대응 솔루션도 우회하는 시도도 늘어나고 있다”며 “한국중부발전의 자체 보안운영센터와 보안 전문조직을 통해 진화하는 공격에 대응하고 있지만, 사람에 의존하는 보안 체계는 한계가 있다. 그래서 자동화된 위협 탐지·대응 시스템을 도입하기로 했다”고 설명했다.

한국중부발전은 AI 기반 차세대 보안관제 시스템 도입을 검토했다. AI를 활용하면 대량의 트래픽을 빠르고 정밀하게 분석하면서 위협을 신속하게 탐지하고 대응할 수 있다. 보안 관리자가 보지 못했던 위협까지 찾아 대응할 수 있기 때문에 관리조직의 업무를 줄이면서 보안 수준을 효과적으로 높일 수 있다.

외부 변화 상관없이 내부 이상행위 탐지
한국중부발전은 AI 기반 차세대 보안관제 도입을 위해 세미나에 참석하고 언론매체 보도와 타 기관 구축사례 등을 꼼꼼하게 살펴본 후 다크트레이스의 ‘엔터프라이즈 면역 시스템(EIS)’이 최적의 솔루션이라고 판단했다.

다크트레이스 EIS는 고급 수학 알고리즘을 사용해 시스템의 정상 행위를 정밀하게 학습하고 이와 다른 이상행위가 발생하면 관리자에게 알려준다. 탐지 정확도가 매우 높으며, 포렌식 분석 결과를 관리자가 직관적으로 이해할 수 있도록 가시화해 침해 대응 업무를 효율화한다.

모든 네트워크 트래픽을 분석하고 네트워크에 접속하는 디바이스의 가시성을 확보할 수 있도록 도와주며 보안 사각지대를 제거한다. 미러링 모드로 트래픽을 분석하기 때문에 네트워크 구성 변경 없이, 속도에 영향을 미치지 않고 정밀하게 모니터링 할 수 있다.

다크트레이스·휴버텍 기술지원
한국중부발전은 다크트레이스 EIS를 본사 데이터센터에 설치하고 사이버안전센터에서 실시간으로 모니터링하며 이상징후가 발생하면 즉시 대응하도록 했다. 인터넷망, 업무망, 외부 공개 시스템 등 3개 영역의 패킷을 단방향으로 수집, 다크트레이스에서 분석한다. 사이버안전센터는 다크트레이스를 포함한 분야별 특화 보안 시스템을 통합 모니터링해 체계적이고 정확한 보안 관제와 위협 탐지·대응을 수행한다.

AI 기반 보안 솔루션은 보안 분석가의 반복되는 업무를 줄여 보안 탐지 효과를 높일 수 있지만, 오탐이 많고 탐지된 위협의 근본 원인을 파악하기 어렵다는 문제가 있다. 또한 보안 전문 인력을 확보하고 있어야 운영할 수 있다는 한계도 있다.

한국중부발전은 사이버안전센터에 보안 전문인력을 확보하고 있어 이러한 어려움을 겪지 않고 운영할 수 있었다. 또한 다크트레이스 파트너사인 휴버텍의 전문 기술인력이 시스템이 안정화 될 때까지 상주하면서 관리자 교육과 운영 환경 최적화를 지원해 성공적으로 차세대 보안관제 시스템을 구축·운영할 수 있게 됐다.

임 실장은 “다크트레이스코리아, 휴버텍의 적극적인 기술지원은 물론이고, 3사가 함께 문제를 개선하고, 정책을 최적화하기 위해 지속적인 노력을 기울여 시스템을 빠르게 안정화하고 운영할 수 있게 됐다. 또한 한국중부발전 보안인력을 다크트레이스와 휴버텍에서 진행하는 관련 교육에 참여시키고, 역량을 개발도록 하면서 보안 수준을 한 차원 높일 수 있게 됐다”고 말했다.

광범위한 보안 시야 확보
한국중부발전은 다크트레이스 도입 후 기존에 발견하지 못했던 위협의 가시성을 한층 높일 수 있게 됐다. 방대한 디바이스 이벤트 로그 분석, 지능적인 검색, 네트워크 트래픽 추적, 디바이스 자동 분류, 연결성에 대한 보안 관리 시각화로 이상징후를 빠르고 효율적으로 분석할 수 있게 됐다.

다크트레이스의 높은 탐지율 덕분에 공공기관의 사이버 위협 분석 정보 등록 시스템에 가장 많은 위협 정보를 등록할 수 있었으며, 공공분야 전반의 보안 수준을 높일 수 있는 계기를 마련하는 성과도 거뒀다.

임 실장은 “날로 지능화되는 사이버 위협에 대응하기 위해 AI 기반 보안 탐지 시스템으로 위협에 신속하게 대응하는 것이 향후 보안 트렌드가 될 것이다. 다크트레이스는 이러한 요구에 가장 잘 맞는 시스템”이라고 평가하며 “다크트레이스 도입으로 신종 위협을 직관적으로 파악하고 신속하게 대응할 수 있게 됐다”고 밝혔다. 

임직원 참여하는 정보보안 문화 만들어
한국중부발전은 올해도 많은 보안 투자를 단행할 계획으로, SSL 가시성 확보를 위한 솔루션과 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 등 새로운 보안 요구를 해결할 수 있는 시스템을 갖춰나갈 방침이다.

임 실장은 “보안 솔루션과 시스템만으로는 보안을 완성하지 못하며, 기업 전체에 보안 문화가 자리잡게 해야한다. 한국중부발전은 임직원 보안의식 고취와 보안 습관 생활화를 위해 여러 프로그램을 마련하고 있다”고 설명했다.

한국중부발전은 전 직원을 대상으로 취약점 찾기 경진대회와 보안 아이디어 공모를 진행하고 보안팀이 찾아내지 못한 취약점을 찾아 제거하며 효과적인 보안 문화를 만들어나가고 있다. 부서마다 정보보안관을 임명해 각 부서의 정보보안 운영 실태를 점검하며 참여하는 정보보안 문화를 만들어가고 있다.

임 실장은 “한국중부발전은 ‘하면 안 된다’는 네거티브 정책이 아니라 ‘할 수 있다’는 포지티브 정책을 취하고 있다. 임직원이 실천할 수 있는 보안 정책을 제공하고 통제보다 자율적인 실천, 스스로 참여하는 정보보안 문화를 만들어 조직 전반의 보안 수준을 높이고 있다”고 말했다.

그는 이어 “보안 체계를 수립할 때 비싼 보안 시스템을 도입하는 것보다 조직의 환경을 잘 파악하고, 어떻게 활용하고 운영할 것인지, 충분한 운영 인력을 갖췄는지, 임직원의 보안 의식 수준은 어떠한지 등을 잘 파악해야 한다”고 덧붙였다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.