통합센터 “매일 30TB 이상 로그데이터 분석, 보안위협 적극 대응”

실시간
뉴스

뉴스와인물

통합센터 “매일 30TB 이상 로그데이터 분석, 보안위협 적극 대응”

디지털데일리 발행일 2014-12-19 13:52:45

백지영

URL복사

- 김우한 통합센터장, 내년에도 공개SW, 하둡, 클라우드 적용 확대

[디지털데일리 백지영기자] “지난해 구축한 빅데이터로그분석시스템(nSIMS)을 통해 사이버침해위협에 적극 대응하고 있습니다. 일일 로그량 기준으로 30테라바이트(TB)가 넘는 데이터를 분석하고 있지요.”

대전에 위치한 행정자치부 산하 정부통합전산센터(이하 통합센터)에서 만난 김우한 센터장<사진>은 18일 기자와 만나 이같이 말했다.

청와대와 국가정보원, 국방부 등 세 곳을 제외한 44개 중앙행정부처의 시스템을 통합, 관리하는 통합센터는 지난해 빅데이터 기반 통합로그분석시스템인 ‘nSIMS’를 구축, 장애 예방 및 사이버 침해 위협에 적극 대응하고 있다.

통합센터는 nSIMS 구축을 위해 약 1년 6개월의 준비기간을 거쳤다. 다양한 외산 및 국산 솔루션은 물론 오픈소스 기반 소프트웨어(SW)까지 모두 테스트한데 걸린 시간이다.

이를 통해 반정형에 가까운 로그 데이터를 통합, 분석할 수 있게 되면서 특정 IP 검색에만 3시간 걸리던 것은 4초 이내(3.7초)로 검색이 가능해졌으며, 서버 인입 구간부터 최종 서버까지 연계추적 가능해져 전통적 방어 장비로 감지할 수 없었던 위협까지 대응할 수 있게 됐다.

김 센터장은 “로그분석을 위해 센터 직원들이 밤낮없이 공부하고 있다”며 “정도의 차이만 있을 뿐, 해킹 시도는 늘 있기 때문에 마치 예비군과 같은 방어 태세를 갖추고 있다”고 말했다.

이와 관련, 이빌립 통합센터 사무관은 “일 발생 이벤트만 300억개에 달하며 관리 장비는 매년 증가하는데 지난 2008년부터 센터 예산은 동일하기 때문에 빅데이터 로그분석시스템 구축은 선택이 아닌 필수였다”며 “일일 생성 로그데이터만 30TB이며, 이것을 한달 간 모으면 900TB, 6개월이면 5400TB(5.4PB)에 달한다”고 설명했다.

이어 이 사무관은 “nSIMS를 통해 인터넷에서 라우터, IPS, 방화벽, 스위치, 웹방화벽(WAF), 웹서버, WAS 서버 등 제각기 다른 유형의 로그를 모아서 연계, 분석이 가능해졌다”며 “특히 요즘은 암호화된 공격이 늘어나면서 흩어져 있는 흔적, 증거들을 통합해 보안체계를 한단계 강화할 수 있게 됐다”고 덧붙였다.

한편 통합센터는 지난 2005년 11월 정부 부처 간 IT인프라 중복투자와 부족한 전문인력 등의 문제를 해결하기 위해 대전에 세워졌다. 2년 후에는 광주센터를 설립했으며, 오는 2019년 4월에는 백업전용센터인 B센터가 충남 공주에 들어설 예정이다. 현재 대전과 광주 두 센터가 운영하는 HW 및 SW 자원은 약 4만4000여대 이상이다.

2007년까지는 위치 통합, 2012년엔 HW 자원 통합, 2013년부터는 클라우드 컴퓨팅으로 전환을 가속화하고 있다. 지난 2011년 7개 업무를 시작으로 현재까지 260개 업무를 클라우드로 전환했으며, 2017년까지 운영업무의 60%인 740개 업무를 전환할 계획이다.

통계청 인구 총조사나 대민서비스, 최근에 신설된 국민안전처 등의 업무포털, 홈페이지 등을 클라우드로 운영 중이다.현재 각 부처에 업무 유형에 최적화된 9종의 서비스 카탈로그 제공하고 있다.

또한 매일 평균 6~10만건의 공격탐지로그가 발생하고 있어, 센터는 8종 방어 4종 분석 보안시스템 운영하고 있다. 클라우드전용방화벽, 기관별 독립망, 가상서버방화벽 등을 통해 10분 이내 디도스(DDoS), 해킹, 바이러스 등 사이버 위협 즉시 차단하고 있다.

김우한 센터장은 “기본적으로 통합센터 인프라는 표준화와 범용화, 업무는 클라우드 우선 원칙을 세워 운영하고 있다”며 “공개SW와 국산 서버 도입(현재까지 약 1000여대)도 지속적으로 놀리고 있으며, 내년에는 하둡에코시스템 2.0과 국산 주도의 오픈 PaaS도 적용할 계획”이라고 강조했다.

<대전=백지영 기자>jyp@ddaily.co.kr