증권사 등 60곳 실시간 감시… 하루 수차례 해킹 경보 ‘사이버 전장터’

금융보안 첨병 ‘코스콤 통합관제센터’ 언론 첫 공개

뚫리면 금융대란, 이상 징후 나오면 5∼10분 만에 즉각 조치

어느 날 오후 대도시 중심에 있는 증권거래소에 무장강도들이 들이닥쳐 평화를 깨뜨린다. 총을 쏘며 경비들을 제압한 이들은 거래소 안으로 거침없이 들어선다. 겁에 질린 거래소 직원이 강도 우두머리를 향해 말한다. “여긴 증권거래소라 훔쳐갈 돈이 없어요.” 강도는 직원의 아이디 카드를 뺏어 컴퓨터 카드 리더기에 꽂는다. 그는 태블릿PC를 이용해 거래소의 핵심 거래정보를 빼낸다.

무장강도단 난입 직후 경찰이 증권거래소 앞으로 출동한다. 증권거래소 간부는 경찰에게 “강도들이 온라인 거래 시스템을 장악했다”며 빨리 조치해주기를 청한다. 한 경찰은 “그 돈은 당신들 돈일 뿐 내 돈은 침대 밑에 있다”며 비아냥거린다. 간부는 그 경찰에게 말한다. “범인을 못 잡으면 그 돈도 휴지조각이 돼요.”

지난해 개봉한 영화 배트맨 시리즈 <다크 나이트 라이즈>의 한 장면이다. 증권거래소 직원의 말대로 거래소에는 은행과 달리 현금이 없다. 하지만 은행이 보유할 수 없을 정도의 천문학적인 금액이 오가는 계좌 정보가 있다. 주식, 채권 등 거래금액 규모는 해를 거듭할수록 불어나고 있다. 전작인 영화 <다크 나이트>에서 악당(조커)이 은행을 털었던 것과 달리, 후속작 <다크 나이트 라이즈>에서 악당(베인)이 거래소에 들이닥친 이유도 여기에 있다. 영화 속 간부의 말대로 만약 계좌 정보가 범죄자에게 노출되거나 외부의 공격으로 뚫린다면 보유한 금융투자 관련 계좌에 들어 있는 돈은 휴지조각이 될 수 있다.

지난 3월20일 주요 방송사와 은행 등이 해킹공격을 당했다. 이를 계기로 금융당국을 비롯한 정보보안 관련 기관은 최근 금융사 임원·실무자 등을 불러 정보보호 관리체계를 점검하고, 해킹을 막기 위한 교육을 강화하고 있다. 경향신문은 언론사 가운데 최초로 주식, 채권, 선물 등 한국의 금융투자 관련 온라인 거래의 네트워크 관리와 보안을 담당하는 코스콤 통합관제센터의 문을 두드렸다.

코스콤 직원들이 서울 여의도 파워베이스(PB)보안센터에서 실시간으로 모니터링하고 있다. 이날 통합관제센터는 보안상의 이유로 촬영할 수 없었다. PB보안센터 역시 통합관제센터와 마찬가지로 네트워크, 전산장애 등을 모니터링하는 곳이다. | 김창길 기자 cut@kyunghyang.com

■ 국가 중요 보안시설 지정…출입부터 보안 ‘철통 감시’

서울 여의도 한국거래소 신관 5층에 위치한 통합관제센터의 보안은 출입부터 철저하다. 통합관제센터에 들어가려면 사전에 출입신청을 해야 한다. 출입신청을 하고 신분증으로 확인한다 해도 함부로 들어갈 수 없다. 반드시 코스콤 직원 등 입회자가 있어야 한다. 국가 중요 보안시설로 지정돼 있는 코스콤 통합관제센터의 보안이 철저한 이유는 거래소 중앙서버와 접속이 가능하기 때문이다. 중앙서버에는 금융투자를 하는 모든 계좌에 대한 정보 등 주요 데이터가 저장돼 있다. 철저 보안을 유지하고 있는 중앙서버와 관련한 일화가 있다. 신임 거래소 이사장이 거래소 건물을 둘러보기 위해 중앙서버실을 찾았지만 서버실 안으로 들어가기 위해 문 앞에서 20분 이상 기다렸다고 한다.

283㎡ 규모의 통합관제센터 상황실 한쪽 벽면은 대형 모니터로 가득 차 있다. 20개의 모니터가 연결된 대형 모니터에는 증권사 등과 연결된 네트워크의 트래픽 정보가 실시간으로 올라오고 있었다. 코스콤과 계약을 체결한 48곳 증권사와 유관기관의 아이콘이 빼곡히 들어 있었다. 대부분 녹색을 띠고 있었지만, 두 곳은 황색이었다. 소순민 통합보안관제팀장은 “만일을 대비해 각 증권사의 회선은 이중으로 돼 있다. 두 회선 모두 정상일 때는 녹색, 한쪽 회선에 이상이 생기면 황색, 두 회선 모두에 이상이 생기면 적색으로 색깔이 변해 한눈에 이상이 생겼는지 알 수 있다”고 설명했다.

다른 모니터에서는 정보보안과 관련된 경보가 실시간으로 올라오고 있었다. ‘2013-XX-05 13:48:04 ㄱ증권(일산) DDoS(디도스) 의심’이라는 글이 올라왔다. ㄱ증권사 일산점에 디도스 공격이 의심된다는 뜻이다. 지난 지방선거 때 많이 들었던 바로 그 디도스 공격이었다. 하지만 반응은 의외였다. 통합관제센터에 관해 설명해주던 소 팀장은 미동도 없었다. 이곳에서는 하루에도 수차례씩 공격 경보가 울리기 때문이다. 한 곳의 보안만 담당하는 증권사와 달리 통합관제센터는 거래소, 증권사 등 60여개에 달하는 회원사의 시스템 보안도 감시하고 있다.

■ 해커의 공격 방식 점점 진화하고 있어 ‘골머리’

코스콤 직원들은 최근 벌어진 해킹 사고로 인해 노심초사하고 있다. 해킹 공격은 언제 어디서 어떻게 일어날지 모를 뿐 아니라 100% 막아내는 것도 불가능하기 때문이다. 최근에는 짧은 시간 안에 허용량을 초과하는 트래픽으로 서버를 마비시키는 디도스뿐 아니라 지능형 지속위협(APT) 공격을 많이 받고 있다. APT는 컴퓨터에 잠복해 있다가 시스템에 접근할 수 있는 정보를 빼내는 공격을 말한다. 최근 해킹은 APT 공격에 의한 것이 많아졌다. 디도스가 총알을 퍼붓는 정면 물량 공격이라면, APT는 상대방 진영에 매복해 첩보 작전을 벌이는 공격에 가깝다. 그래서 APT는 디도스처럼 눈에 띄는 공격이 아니라 발견하기도 어렵고 대응하기도 상대적으로 힘들다.

해킹 공격을 하는 이들 가운데 간혹 컴퓨터 관련 공부를 하는 학생도 있지만 대부분은 해커다. 해커는 공격을 통해 자신의 능력을 과시하는 경우도 있는가 하면 해킹으로 정보를 빼내기도 하고, 증권사를 대상으로 금전을 요구하기도 한다. 공격 전에 미리 예고를 하고 공격 당하지 않으려면 돈을 내놓으라고 요구하는 것이다.

해커의 공격은 패턴화돼 있어 우선 컴퓨터가 자동으로 감지해 대응한다. 하지만 패턴화돼 있지 않은 공격에 대해서는 컴퓨터가 감지할 수 없다. 보안 담당자가 직접 분석해 실제 공격인지 아닌지 판단한 뒤 대응해야 하는 데 시간이 오래 걸리면 사고가 발생할 수 있어 가능한 한 짧은 시간 안에 판단해 처리해야 한다. 강정묵 침해사고대응팀 대리는 “상황에 따라 다르지만 5~10분 안에 조치를 취해야 한다. 10분은 러프한 거고 5분이나 더 짧은 시간 안에 조치를 취한다”고 말했다. 해커의 공격 방식이 점점 진화하고 있기 때문에 항상 긴장을 늦춰서는 안된다. 강 대리는 “국내 시장만 열리는 것이 아니라 미국 등 해외 시장도 있기 때문에 시장 거래시간과 관계 없이 365일 24시간 지속적으로 보안을 유지해야 한다”고 말했다.

영화 <다크 나이트 라이즈>에서 악당 베인이 고담시 주요 건물 앞에서 경찰과 시민을 위협하고 있다. | 워너브러더스코리아 제공

■ 사이버 테러·화재 대비 ‘백업센터’ 운영

다행히 ㄱ증권사 디도스 의심은 점검을 통해 디도스가 아닌 것으로 확인됐다. 경보가 모니터에 나타나면 해당 증권사와 연계해 시스템을 점검한다. 소 팀장은 “코스콤을 포함한 대부분의 공공기관은 매년 2회 디도스 모의훈련을 실시한다”고 말했다. 2011년 디도스 대란 이후 금융당국은 공공기관 등의 보안을 더욱 강화했다. 당시 청와대 등 주요 공공기관을 비롯해 일부 은행과 증권사가 공격을 받았다.

사이버 테러 등 해커의 공격뿐 아니라 천재지변이나 화재, 테러가 발생할 가능성에도 대비해 서버를 이중으로 운영한다. 과거 실제로 화재가 발생한 적이 있다. 2000년 2월18일 오후 8시쯤 거래소 인근 지하 3m 깊이에 있는 전기·통신 공동구에 화재가 발생했다. 공동구는 증권사, 은행, 정당 등의 통신회선이 설치돼 있는 통로다. 이날 화재로 3만3000여개의 통신회선이 불에 탔다. 불은 다음날 오전 4시쯤 진화됐다. 다행히 금요일이었고, 저녁시간대였기 때문에 금융대란은 없었고 다음주 월요일 정상적으로 거래가 이뤄졌다. 현정훈 네트워크개발팀 차장은 “코스콤도 만약을 대비해 안양에 백업센터를 운영하고 있다. 네트워크에 장애가 발생하면 고객과 손해배상 문제 등 그 파급효과가 엄청나다. 아주 민감한 부분이라 만반의 준비를 하고 있다”고 말했다.

대형 모니터 뒤에는 통합관제센터의 서버를 담당하는 기계실이 있다. 지하 중앙서버와 통합관제센터를 연결해주는 서버가 모여 있는 곳으로 기계실 한쪽에 부착된 온·습도계는 ‘섭씨 23도, 습도 20%’를 나타내고 있었다. 소 팀장은 “통합관제센터는 지하에 있는 기계실의 컴퓨터 1000여대, 회선 2000여개를 감시하기 위해 끌어올려 놓은 곳이다. 실제 통신망은 지하에 다 있다. 섭씨 20~25도가 적정온도”라고 말했다. 기계실에서는 적정 온도와 습도를 유지해주는 항온항습기와 에어컨이 돌아간다. 항온항습기 맞은편에는 무정전전원장치(UPS)가 있다. 이는 정전을 대비하기 위한 것이다.

■ “정비·교체 작업하는 연휴에 더 바빠”

코스콤 직원은 평일보다 연휴에 더 바쁘다. 거래시간에는 시스템 정비나 교체 등의 작업을 할 수 없기 때문에 거래가 이뤄지지 않는 연휴에 대규모 장비 이전·변경 등 작업을 진행한다. 통합관제센터에서는 매일 밤 3명이 야간 당번으로 근무한다. 강 대리는 “연휴나 공휴일 등 특별한 날에 공격이 더 많아지는 경향이 있다. 그런 날 근무하게 되면 조금 더 긴장을 많이 하게 된다. 잘 방어해서 아무 일 없었지만 지난 설연휴에도 디도스 공격이 있었다”고 말했다. 그는 지난 설연휴 마지막 날에도 야간 당번으로 근무했다. 아직 미혼인 강 대리는 휴일에 일하는 경우가 많아 연애하기 힘들다고 푸념을 했다. 올해 36세인 그는 “연휴나 휴일에도 일하러 나가면 아무래도 집에서는 장가갈 나이라 걱정을 한다”면서 “그래도 꾸준히 연애는 하고 있다”고 말했다.

거래 정보 데이터베이스화 작업을 담당하는 황수용 정보매체사업부 차장은 매년 1월1일 새해를 사무실에서 맞이한다. 신문의 한 면을 차지하는 주식시세표도 정보매체사업부에서 담당하는 일 가운데 하나다. 황 차장은 “우리 팀은 매년 제야의 종소리를 회사에서 듣는다. 연말은 한 해 동안 발생한 데이터를 다루다보니 데이터 양이 굉장히 많다. 채권의 경우 해외 데이터도 있기 때문에 한 해 마지막 날 저녁에 시작해 보통 새벽 2~3시까지 작업한다”고 말했다.

1999년 12월31일 밤에는 코스콤 전 직원이 Y2K로 인한 오류에 대비하기 위해 자정까지 대기했다. Y2K는 연도가 1997년은 ‘97’, 1999년은 ‘99’로 인식하던 컴퓨터가 2000년 이후의 연도를 제대로 인식하지 못하는 결함을 말하는 일명 ‘밀레니엄 버그’로 불렸다. 문경달 파워베이스서버팀장은 “2000년 밀레니엄 때는 Y2K에 대비해 1년 동안 준비했고, 마지막 날에는 전 직원이 숨을 죽인 채 남아 있었다. 한국 시각보다 한 시간 빠른 호주가 밀레니엄을 맞았는데 큰 이상이 없는 것을 보고 우리도 조금은 안심했다. 사실 준비한 것보다 너무 조용히 넘어갔다”고 말했다.

해커의 공격은 물론 네트워크 장애 등 언제 어디서 어떤 방식으로 문제가 발생할지 모르는 일이다. 문제가 발생했을 때 최대한 빨리 복구하는 것이 이들의 중요한 업무다. 황 차장은 “갑자기 장비가 죽을 수도 있고, 사람이 실수할 수도 있다. 문제가 생겼을 때는 최대한 빨리 정상적으로 돌아가게 하는 게 우리가 하는 역할”이라고 말했다.

그들은 평소처럼 아무 일 없이 거래가 이뤄질 때 가장 보람을 느낀다고 했다. 이주호 정보보호센터 차장은 “큰 문제없이 시장이 운영되는 것을 보면 가장 큰 보람을 느낀다. 해킹 사고나 금융 사고가 안 나고 안전하게 금융거래 활동을 할 수 있게 약간이라도 기여하고 있다는 점에서 뿌듯하다”고 말했다.