인터넷 유통업체 K사의 사무실. 갑자기 회사 전체의 전산망이 다운됐다. 사내 이메일이나 인터넷 접속이 안 되는 것은 물론 온라인 쇼핑몰까지 열리지 않아 고객의 항의가 빗발쳤다. IT관리 책임자가 네트워크 서버를 점검했지만, 원인을 찾아내기 어려웠다.
K사는 안랩(옛 안철수연구소)에 SOS를 호소했고, 곧 이어 안랩 직원 한 명이 도착했다. 경력 15년차의 베테랑인 그는 컴퓨터를 분석하더니 '악성코드 감염'진단을 내렸다. 꽤 심각한 감염이었다. 그는 본사에 연락해 유통업체 사고처리에 경험이 있는 악성코드, 유해트래픽, 해킹, 침해흔적분석 등 각 분야별 정예요원 5명을 보내달라고 요청했다.
얼마 후 K사 사무실 한 켠에선 악성코드 감염추적을 위한 빠른 손놀림이 시작됐다. 견고해 보이는 검은색 트렁크를 열자 모니터가 있는 남색 장비가 드러났다. 범죄에 활용된 컴퓨터의 하드디스크 사본을 제작하고 분석하는 포렌식 장비다. 침해 진단, 복원 과정과 관련된 모든 자료들은 모두 주요 수사기관에 넘겨진다. 범죄 현장에서 증거물을 진공포장 하듯 증거물 보존 작업이 이뤄지는 것이다.
3일 뒤 전용백신 개발이 완료돼 전산망은 복원됐다. 하지만 그게 전부는 아니었다. 재발 방지를 위한 악성코드 감염원인 분석에 들어갔고, 최초 공격의 시작점은 5개월 전 불법 다운로드를 받은 김모 대리의 PC로 밝혀졌다. 사건 시작 이후 3주일만이었다.
안랩의 과학수사대(CSI)로 불리는 이들은 'A-퍼스트'팀 멤버들이다. 바이러스 감염이나 해킹, 사이버공격 등이 발생한 현장에 직접 출동, 진짜 CSI처럼 원인을 분석해 피해를 복구한다. 필요할 경우 법적, 기술적 대응자문도 해준다.
A-퍼스트가 발족된 건 작년 7월. 팀을 이끄는 김지훈 팀장은 "그 동안 사건이 발생하면 각 팀 전문가들을 차출하는 방식으로 진행했지만 사건을 해결하는 데에는 기술 못지 않게 팀워크도 중요하다고 판단해 꾸려지게 됐다"고 설명했다. A-퍼스트는 모의해킹, 네트워크, 취약점 분석, 악성코드, 바이러스, 리버스엔지니어링 등 분야의 전문가 23명으로 구성되어 있는데 지금까지 20여건의 사건을 처리했다.
다른 보안업체들도 이 같은 현장출동팀을 속속 발족 및 확대하는 추세다. 하우리에는 현장에 출동해 사건을 해결하는 전문화된 요원 5명으로 꾸려진 선행기술팀을 두고 있다.
외국기업인 시만텍의 경우 본사차원에서 엔지니어, 보안위협분석가, 연구원으로 구성한 보안기술대응팀(STAR)을 운영해 보안에 위협이 되는 사건을 도맡아 해결한다. 또 사건이 발생할 경우 빠른 처리가 급선무 인만큼 글로벌 팀들간 협업이 이뤄지는데, 예를 들어 국내의 한 고객사에서 사이버 공격이 발생했을 경우 호주 대응센터팀이 분석을 한 이후 영국 리딩, 독일 뮌헨, 인도 푸네 대응센터가 추가적인 분석작업 지원을 하면서 사건을 해결하는 방식이다.
한 보안업계 관계자는 "증거를 토대로 치밀하게 범죄나 사고를 분석하고 창조적인 관점에서 문제를 해결하는 방식은 CSI와 다르지 않다"고 말했다.
고은경기자 scoopkoh@hk.co.kr
기사 URL이 복사되었습니다.
댓글0