HOME>
국가사이버안보센터는 「사이버안보업무규정」 제14조제1항 및 제3항에 따라 정부 차원에서 사이버공격·위협을 즉시 탐지·대응하기 위하여 보안관제 체계를 구축·운영하며, 이를 활용하여 중앙행정기관 등에 대한 보안관제를 실시하고 있습니다.
국가·공공기관의 보안관제는 국가보안관제(국가사이버안보센터) → 부문보안관제(중앙행정기관) → 단위보안관제(각급기관)로 구성된 3단계 사이버공격 탐지·차단 체계로 이루어져 있습니다. 국가사이버안보센터는 국가보안관제센터로서 부문·단위보안관제센터에 사이버공격을 탐지할 수 있는 기술을 배포하고, 국가안보를 위협하는 사이버공격을 탐지·대응하는 역할을 수행하고 있습니다.
주요 공격 유형은 이메일 무단열람, 해킹메일 유포, 경유지 구축, 악성코드 유포 등이 있고, 보안관제를 통하여 이러한 사이버공격을 실시간으로 탐지하고 있으며, 공격피해를 최소화하기 위하여 관계기관과 신속한 정보공유 체계를 유지하고 있습니다. 이에 따라 보안관제센터는 수집된 사이버 공격 정보가 다른 보안관제센터 업무와 연관될 경우, 탐지·분석한 공격정보를 해당 보안관제센터에 실시간으로 공유함으로써 국가차원의 사이버위협에 종합적·체계적으로 대응하고 있습니다.
국가사이버안보센터의 조사·분석 업무는 관련 법률에 따라 국제 및 국가배후 해킹조직의 행적을 확인하거나, 중앙행정기관 등 대상 사이버공격·위협 에 대한 대응의 일환으로 공격주체 규명, 원인분석 및 피해내역을 신속히 확인하고 있습니다.
특히 중앙행정기관 등 대상 사이버공격·위협으로 인한 사고의 경우, 해킹 경유지를 민간 홈페이지 또는 국외 IP에 구축하는 경우가 많으므로 국내외 유관기관과 공조체계를 상시 유지하고, 외국의 정보·보안기관과도 최신 해킹 기법 및 사고 조사기술 공유 등 정보협력에 힘쓰고 있습니다.
분석업무는 조사과정에서 채증하거나 신고 또는 외국의 정보기관과 국내외 보안업체로부터 입수한 악성코드를 분석하여 공격기법, 취약점, 해킹목적 등을 확인하는 역할을 합니다. 또한 유사한 사이버침해 사고의 탐지 등을 위해 악성코드의 패턴 특징을 파악하여, 보안관제탐지 규칙을 제정하고 국가 사이버위협정보시스템에 공유합니다.
<위협정보 분석·판단 과정>
또한 보안관제 정보, 조사결과 등 각종 정보를 종합하여 공격실체와 특징, 피해규모 등을 판단하고 앞으로의 공격을 예측하여 사전 대비하는 등 위기관리를 수행하고 있습니다. 범국가 차원의 위기상황으로 발전할 경우 위기평가회의를 개최하여 위기 징후를 판단하고 위협 수준에 따라 사이버위기 경보를 발령하고 있습니다.
국가사이버위협 정보공유시스템(NCTI, National Cyber Threat Intelligence)은 각급 기관 간 사이버위협 정보를 안정적으로 공유하기 위하여 국가정보원을 중심으로한 네트워크를 갖추고 있습니다. 또한 광역지자체와 공조하여 권역허브망을 구축하고 전국적인 네트워크 관리체계를 운영하고 있습니다.
한편 방위산업체, 국가핵심기술보유기업 등 국익 및 국가안보와 직결되는 산업분야의 사이버보안을 강화하기 위하여 인터넷 기반의 정보공유시스템(KCTI, Korea Cyber Threat Intelligence)을 구축하고, 민간기업 대상 사이버위협 정보공유 서비스를 운영하고 있으며, 지난 2021년에는 모든 방위산업체 및 핵심기술보유기업 등으로 점차 서비스를 확대해 나가고 있습니다.
정보공유 목적
국제 및 국가 배후 해킹 조직 관련
사이버안보정보의 수집·작성·배포
