시스코의 모든 제품, 인텔리전스 그룹 ‘탈로스’의 위협 정보 활용

[보안뉴스 정영희 기자] 시스코(아이센트)(www.icent.co.kr/www.cisco.com/kr)는 오는 9월 5일 개최되는 ‘제11회 국제 사이버 시큐리티 콘퍼런스(Information Security Conference 2017)’에 참가한다.

기업은 보안과 관련된 다양한 당면과제에 직면해 있다. 과거 단순 과시욕이 주를 이뤘던 해킹은 이제 금전적 목적으로 변화하고 있고, 개인정보를 탈취하던 수준에서 더 나아가 비트코인의 익명성과 용이성 덕분에 하나의 큰 산업으로까지 성장했다. 특히, 최근에는 과거에 사용되던 웜이나 해킹 툴이 복합적으로 활용되고 있다.

지난 30년 간 전세계 통신 및 네트워크 시장을 선도해온 시스코는 최근 공격적인 투자와 인수합병으로 보안사업에서도 두각을 나타내고 있다. 시스코는 기업이 공격 전∙중∙후 전 단계에 걸쳐 보호할 수 있는 ‘위협 중심 보안’을 강조한다. 기업들은 항상 공격을 받을 위기에 있거나 이미 공격 받은 상태에 있을 가능성이 크다. 그렇기 때문에 공격 전∙중∙후에 걸친 보안을 확보하는 것이 중요하다.

분산된 보안 솔루션을 제공하는 업체는 많지만 시스코의 차별성은 바로 네트워크 보안, 엔드포인트 보안에 걸친 넓은 포트폴리오다. 시스코는 또한 멀웨어를 탐지할 수 있는 훌륭한 제품과 높은 수준의 기술을 보유하고 있다.


시스코는 위협 침해와 탐지 사이의 시간을 나타내는 ‘탐지 시간(TTD∙Time-To-Detection)’이 얼마나 단축되고 있는지 진행 과정을 추적하고 있다. 탐지 시간 단축은 공격자의 활동 영역을 제한하고 침입 피해를 최소화하는 데 큰 역할을 한다. 시스코는 2015년 11월부터 2017년 5월까지 위협 탐지 시간 중앙값을 39시간 이상에서 약 3.5시간으로 대폭 단축했다.

보안제품 평가 전문기관 NSS 랩(NSS Labs)의 성능 테스트에서 시스코 보안 제품은 1분 이내 70% 이상의 위협을 막아내 업계 제품 중 가장 빠른 탐지 속도를 기록했다. 또한 여기서 보안제품은 결과적으로 악성코드를 100% 탐지했다.


△인텔리전스를 통한 ‘자동화’
기업의 보안부서는 보안 솔루션 운영의 복잡성과 인력 문제로 어려움을 겪고 있고, 공격자는 이 틈을 타 공격에 필요한 시간을 확보할 수 있다. 인텔리전스는 단순한 보안·위협관련 정보의 나열이나 집합이 아닌 시시각각 수집된 방대한 정보를 서로 연관해 식별한 유의미한 위협정보를 의미한다. 이 정보는 기술과 사람, 프로세스의 조합으로 만들어진다.

시스코 탈로스(Talos)는 1년 365일 쉼 없이 운영되며, 하루 200억개의 공격, 1년에 7경2000조개의 공격을 막아내고 있다. 구글은 하루에 35억개 서치(search)가 발생하는데, 이 서치 규모의 6배에 달한다. 시스코는 250명 이상의 보안전문가, 데이터 과학자, 화이트해커로 구성된 인텔리전스 그룹인 탈로스가 고객을 지켜주고 있다.

시스코의 모든 제품이 탈로스 정보를 활용한다. 시스코 모든 제품은 탈로스의 위협정보가 반영된 아키텍처로 구성돼 있으며, 부분적으로 도입된 경우에도 상호 보완적인 역할을 통해 효과를 증대시킨다. 최근 워너크라이(WannaCry) 공격사례에서도 공격이 일어나는 단계별, 즉 침입 시도-공격 준비-악성행위 실행의 모든 단계에서 시스코 보안 솔루션은 훌륭하게 역할을 수행했다. 시스코는 위협 중심 보안 아키텍처로 구축된 보안 솔루션으로 기업의 디지털 비즈니스 모델을 보호하는데 보다 효과적 접근 방식을 제공한다.

△ 암호화 트래픽 분석 솔루션 ‘ETA’
시스코 위협 그리드(Threat Grid) 분석에 따르면 매년 SSL/TLS 암호화되는 트래픽은 90%씩 늘고, 암호화되는 악성코드 역시 계속 증가하고 있다. 따라서 기업은 분석을 위해 별도의 복호화 솔루션을 함께 도입하고 이로 인해 어쩔 수 없는 성능 저하 문제를 겪고 있다.

시스코는 최근 암호화 트래픽 분석 솔루션 ‘ETA(Encrypted Traffic Analytics)’를 발표했다. 전통적인 플로우 모니터링은 패킷 플로우의 주소, 포트, 바이트, 패킷 수를 모니터링해 네트워크 통신에 대한 높은 수준의 가시성을 제공한다.

△ 시스코 ATA
MDR(Managed Detection and Response)은 위협 탐지 및 높은 수준의 사고 대응에 초점을 맞춘 새로운 보안 서비스다. 위협 인텔리전스, 선진적인 분석 기술, 빅데이터를 활용한 새로운 탐지 기술 등을 기반으로 한다.

시스코의 MDR 서비스 ‘ATA(Active Threat Analytic)’는 머신러닝 기반의 빅데이터 분석 플랫폼이다. 필요한 데이터는 풀 패킷 캡처, 모든 이기종 이벤트, 시스코 탈로스를 포함한 인텔리전스 정보를 중심으로 분석 엔진을 통한 심층적인 분석을 제공한다. 특히, 고객의 이벤트나 정보가 관제서비스 제공사가 아닌 고객사 내에서 운영되고 자동 분석된다. 고객은 ATA 서비스를 통해 검증된 위협 분석 대응 기술을 바로 적용하고, 머신러닝 기반의 분석 룰(rule)을 최신 업데이트하면서 전문가와 신속하게 대응할 수 있다. 또한, 내재화를 통해 독립적 운영을 위한 프로세스도 확립할 수 있다.

△ 시스코 ‘사이버 레인지’ 서비스
시스코 ‘사이버 레인지(Cyber Range)’ 서비스는 사이버 공격에 대한 실전 훈련을 할 수 있는 플랫폼이다. 사이버 레인지 플랫폼은 실전 훈련을 위한 IT 인프라, 최신의 공격∙방어 훈련 교육을 위한 커리큘럼, 최신 공격사례를 재현해 침투조와 방어조로 나눠 진행하는 실전 훈련으로 구성된다..

실전 훈련은 다양한 방법으로 고객에 제공된다. 짧게는 3~5일 간 워크샵을 진행하는 것부터 직접 고객사에 IT 인프라를 구축하고 최신 커리큘럼과 시나리오를 제공해 인력을 양성하는 과정, 시스코 자체에 준비된 플랫폼을 활용해 훈련을 진행하는 방법 등이 있다. 기업이나 조직은 최신 공격 패턴 기반의 실전 훈련을 통해 부족한 보안인력 양성에 큰 효과를 볼 수 있다.

시스코(아이센트)는 오는 9월 5일~6일까지 코엑스 그랜드볼룸에서 정부·공공기관 및 기업의 정보보호최고책임자(CISO), 정보보호담당자, 개인정보보호최고책임자(CPO), 개인정보처리자 등을 대상으로 개최되는 제11회 국제 사이버 시큐리티 컨퍼런스 ISEC 2017(http://www.isecconference.org/2017/)에 참가해 관련 제품을 소개할 예정이다.
[정영희 기자(boan6@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>