어둡게 꾸며진 관제실 안 요원들은 바쁘게 움직이고 있었다. 세계 지도가 그려진 큰 디스플레이에는 복잡한 도표와 함께 어떤 나라에서 우리나라로 접속을 시도하고 있는지가 실시간으로 나타난다. 이와 연결된 관제 요원의 모니터에는 현재 이뤄지고 있는 접속 시도가 어떤 성질을 가지고 있는지 목록으로 정리돼 표시된다.
이 목록은 인공지능(AI)이 1초에 25만건의 사용기록(로그)을 분석해 판별하는 것이다. 미리 정해둔 패턴에 따라 하루 5만여개의 해킹 위협을 잡아내는데, 실제 공격으로 파악될 경우에는 접속을 차단하는 조치까지 원스톱으로 이뤄진다. 21일 SK쉴더스 사이버보안의 핵심 시설인 경기 판교 시큐디움을 방문했다.
신종 코로나 바이러스 감염증(코로나19)의 확산은 디지털 전환의 속도를 더욱 재촉했다. 사람들은 실제 공간이 아닌 사이버 공간에 모여 학습과 업무, 소비를 하기 시작했다. 다만 빨라진 디지털 전환은 사이버 공격의 증가를 함께 불러왔다. 재택근무 중인 직원의 계정 정보를 탈취해 보안 취약점을 이용, 기업의 내부망에 접속하거나, 원격수업에 필요한 파일에 악성코드를 숨겨 컴퓨터를 감염시키는 해킹 공격이 실제로 나타났다. 넓어진 사이버 세상만큼 생기는 보안 사각지대를 노린 것이다.
특히 랜섬웨어(ransomware·몸값을 요구하는 악성코드)는 전 세계적으로 가장 주목해야 할 사이버 위협으로 떠올랐다. 약점을 잠아 '몸값(랜섬)'을 뜯어내는 이 공격은 매년 공격 대상과 방식, 몸값 요구 방법이 다양해지며 피해 규모가 폭발적으로 늘고 있다. 사이버 보안 업체 팔로알토네트웍스의 연구소 유닛42에 따르면 지난해 랜섬웨어 해커들에게 지불된 평균 몸값은 54만달러(약 6억6000만원)로 전년 대비 78% 급증했다.
러시아의 우크라이나 침공은 사이버 전쟁으로 비화하고 있다. 러시아 해커들은 우크라이나 전력망에 침투했고, 은행에 디도스 공격을 감행했다. 이는 사회기반시설과 정부 부처, 군, 은행 웹사이트가 한 번에 마비될 수 있음을 보여주는 사례다. 사이버 전쟁의 다른 이름을 '조용한 전쟁(Silent War)'이라고 부르는 건 매우 빠르고 은밀하면서도 치명적이기 때문이다.
최근 국내에서는 해커집단 랩서스가 화제를 모았다. 엔비디아, 삼성전자, LG전자, 마이크로소프트 등이 이 집단의 표적이 돼 공격을 받았다. 직원들의 정보가 광범위하게 유출됐고, 해커들은 각 회사의 반도체 설계 소스와 컴퓨터 코드 등을 빼갔다. SK쉴더스의 톱(Top)-CERT(컴퓨터비상대응팀·computer emergency response team)는 랩서스가 공개한 내용을 기반으로 공격 기반과 대응 방안을 분석했다.
김성동 톱-CERT 팀장은 "랩서스처럼 한 기업을 집중적으로 공략하는 공격은 사실상 막아내기 어렵다"라며 "해커 공격이 상시로 이뤄지고 있다는 가정하에 '제로 트러스트(아무도 신뢰하지 않는다를 전제하는 사이버 보안 모델)'를 기반으로 각 단계별 적절한 보안 솔루션을 도입하고 강력한 통계정책과 주기적인 모니터링이 필수적이다"라고 했다.
SK쉴더스 톱-CERT는 해킹 사고가 발생하면 즉각 투입돼 원인을 규명하고, 사건을 분석해 대책을 제시하는 해킹사고 분석 전문가팀이다. 2012년 최초 설립돼 10년간 다수의 지능형 지속 위협(APT)을 경험하며 국내 최고 수준의 사고 분석 능력과 노하우를 쌓았다. 연간 평균 50건의 국내 사고에 대응하고, 지금까지 450건의 사고 분석을 수행했다.
SK쉴더스 톱-CERT팀이 활약한 사례 중 가장 유명했던 해킹 공격은 2016년 북한발 정보유출사고다. 당시 자산관리 시스템인 'TCO!스트림'의 취약점을 국내 최초로 발견해 대규모 정보 유출 사고를 예방했다. 또 지난해 북한의 소행으로 여겨지는 국가기간망 정보유출사고에서도 최초 취약점을 발견했다. 인터넷 역사상 가장 큰 위협이라고 밝혀진 오픈소스 소프트웨어 '아파치 로그4j'에 대응해 실제 해킹 여부를 확인할 수 있는 무료 점검 툴(도구)을 직접 제작해 공개하기도 했다.
SK쉴더스의 사이버보안 역량은 톱-CERT에서만 나오는 건 아니다. 나쁜 해커(블랙 해커)를 잡아내는 착한 해커(화이트해커) 조직을 국내 최고·최대 규모로 운영 중이다. 이 조직을 가리켜 EQST(이큐스트·Experts, Qualified Security Team)라고 부른다.
SK쉴더스 이큐스트 조직은 2017년 설립됐다. 100여명의 화이트해커가 실제로 활동하고 있으며, 조직을 이끄는 김태형 담당 역시 화이트해커다. 갈수록 복잡해지고 고도화되며 새로운 정보기술(IT) 서비스의 취약점을 발견하기 위해 이큐스트는 실제로 해킹을 해보고, 어떤 부분이 취약한지를 파악해 대상 기업에 적절한 대응방안을 만든다. 김 담당은 "현재 SK쉴더스 규모를 갖춘 회사는 없다"라며 "(이큐스트는) 실제 해킹에서 발생할 수 있는 기술을 분석해 어떻게 해야 보안이 가능한지 연구하고 있다"라고 했다.
이런 업계 최고 수준의 사이버 역량은 24시간 365일 쉬지 않고 사이버 공격을 모니터링하는 시큐디움으로 모인다. 시큐디움은 관제 센터의 이름이자, SK쉴더스의 통합 관제 플랫폼 브랜드 이름이기도 하다. 경기 성남시 판교와 야탑 두 군데를 운영 중이다. 김종현 시큐디움 센터장은 "하나의 센터로는 24시간, 365일 대응 체계를 100% 구현하기 힘들기 때문이다"라고 했다. 현재 전원 보안 전문가로 구성된 관제 조직은 신규 위협을 추정하고, 악성코드를 분석하며, 해킹 사고에 대응한다.
특히 SK쉴더스 시큐디움은 핵심 시스템의 보안 취약점이 발견됐음에도 이를 막을 수 있는 패치가 나오기 전이라서 사실상 무방비 상태인 '제로 데이(Zero-Day)' 전략에 있어서 국내 최고 수준을 자평하고 있다. 김 센터장은 "오늘도 관련 공격이 있었다"라며 "제로 데이는 적절한 패치나 보안 행위가 없기 때문에 무방비로 당할 수 있는데, 제로 데이가 발생하면 시큐디움은 국내외 관련 정보를 빠르게 수집해 고객사에 알리고 대응 룰을 만들고 있다"고 했다. 현재 SK쉴더스의 시스템을 활용하는 기업은 2200여곳. 이들은 하루에 79억~80억건의 로그를 만들어 내는데, 해킹 피해를 본 사례는 단 한 건도 없었다는 게 김 센터장의 설명이다.
SK쉴더스는 사이버보안 분야에서 지난해 3381억원의 매출을 기록했다. 이는 전년(2834억원)과 비교해 18.2% 성장한 것이다. AI, 빅데이터, 클라우드 등 새 정보통신기술(ICT) 확산에 따른 경쟁력 향상을 위해 150여명의 컨설턴트와 1500여명의 보안 전문가를 확보하고 있다. 아시아 기업 중에서는 최초로 국제정보보안기구 사이버보안연합(CTA)에도 가입돼 있다. 김병무 SK쉴더스 클라우드 사업본부장은 "알려진 보안 사고 외에도 보안 관련 이슈가 굉장히 많다"라며 "SK쉴더스는 업계 1위 사업자로서 고객 최적화 보안 솔루션을 제공하고 있다"고 했다.
SK쉴더스는 사이버보안 중요성이 높아짐에 따라 기업공개(IPO)를 추진 중이다. 지난달 금융위원회에 증권신고서를 제출하고, 오는 5월 유가증권시장 상장을 목표로 공모 절차를 밟고 있다. 다음 달 3~4일 국내 기관투자자 대상 수요예측을 진행해 최종 공모가를 확정할 예정이고, 이어 9~10일 일반투자자 대상 청약이 진행된다. 회사 공모주식수는 총 2710만2084주, 주당 희망 공모가 범위는 3만1000원에서 3만8800원이다. 증권가는 SK쉴더스의 시가총액이 상위 밴드 기준으로 3조5000억원 이상, 국내 사이버보안 대장주 자리를 차지할 것으로 본다.