-편집자주-

늘어가는 보안위협은 점차 고도화되고 다양하게 진화되고 있다. 이에 따라 많은 보안기업들은 늘어나는 보안위협에 실시간으로 대응하기 위한 시스템 구축과 강화에 많은 노력을 기울이고 있다. 보안뉴스에서는 글로벌 보안기업 들의 실시간 위협 대응 시스템에 대해 소개하고자 한다.

[보안뉴스 오병민] 시스코는 실시간으로 늘어나는 악성코드와 보안위협에 대한 대응을 위해 시스코 시큐리티 인텔리전스 오퍼레이션스(Cisco Security Intelligence Operations, 이하 SIO)를 운영하고 있다. 시스코의 SIO는 취약점 수집 및 분석을 빠른 시간 내에 진행해 시스코의 보안장비들에게 패턴업데이트를 제공하는 역할을 한다.  

지금까지의 전통적인 보안 기술은 제품을 겹겹이 설치하고(layering) 여러 개의 필터를 사용하는데 의존해왔다. 그러나 보안 위협이 점점 고도화되면서 보안 필터가 네트워크와 애플리케이션 레이어의 트래픽을 보다 자세히 검토할 필요가 생기고 있다. 그 결과, 필터와 레이어링만으로 보안 공격을 막는 것이 요원해진 것. 게다가 최신 악성코드들은 전세계 사용자 및 기업을 대상으로 더욱 빨리 확산되며, 다양한 진로를 통해 전파되고 있어 보안 관리자들의 고민이 늘어나고 있다. 시스코 SIO가 등장하게 된 이유도 여기에 있다.

시스코는 SIO를 이와 같이 끊임없이 진화하는 보안 환경에 적용하여 견줄 데 없는 보안 기능을 제공하기 위해 설계했다. 복잡해진 최신 보안 위협에 대응하기 위해, 기업의 보안 시스템은 보다 깊이 있는 모니터링과 빠른 대응 속도를 필요로 하고 있기 때문이다.

시스코 SIO의 장점은 △보다 효과적인 필터 기능으로 운영 효율성 최적화 △규제준수 역량 향상 및 기업의 브랜드 평판 보호 △최신 위협 정보와 관련된 가시성 확보 △시스코 아이언포트 웹 시큐리티 어플라이언스, 시스코 IPS, 시스코 ASA와 같은 네트워크 보안 장비로 새로운 보안 위협으로부터 철저히 기업 시스템 보호 등이라고 볼 수 있다.

시스코 SIO의 작동 방식

시스코 SIO는 다음 세 개의 구성요소로 기존 시스코 장비의 필터 기능을 향상시킨다.

 - 시스코 센서베이스(Cisco SensorBase): 시스코 장비 및 서비스의 활동 범위 안에서 면밀하게 수집한 전세계 위협 원격측정(Telemetry) 네트워크로 얻은 데이터를 처리하는 세계 최대의 위협 모니터링 네트워크.

 -  시스코 위협 오퍼레이션스 센터(Cisco Threat Operations Center): 시스코 위협 오퍼레이션스 센터는 활용 가능한 지능(actionable intelligence)을 뽑아내기 위해 보안 애널리스트들과 자동화 시스템으로 구성된 글로벌 팀이다.

 - 활발한 업데이트 기능: 실시간 위협 업데이트 정보가 관련 베스트 프랙티스(best practice) 제안과 함께 보안 장비에 자동으로 전송된다. 또한 고객들이 위협을 추적하고, 지능 데이터를 분석, 그리고 궁극적으로 기업의 전반적인 보안 상태를 향상시키는데 도움이 되는 여타 정보도 함께 전달한다.

센서베이스를 통한 주도적인 위협 감지

시스코 SIO는 실시간 위협 모니터링 네트워크인 시스코 센서베이스를 통해 깊이 있고 폭넓은 보안 정보를 활발하게 수집한다. 센서베이스는 다음과 같은 기능을 포함하고 있다.

7십만 대 이상의 시스코 침입 방지 시스템(IPS), 이메일 보안, 웹 보안 및 방화벽 장비를 통해 4만 개의 취약점 및 3천300개의 조율된 IPS 시그너처 정보를 포함하는 시스코 데이터베이스 ‘시스코 인텔리쉴드(Cisco IntelliShield)’를 이용한다.

500개 이상의 써드파티 피드(feed)와 100개 보안 뉴스 피드를 실시간으로 받는 600여 개의 써드파티 인텔리전스 정보처(third-party threat intelligence sources)를 제공한다.

또한 1,000여 개의 위협 수집 서버는 하루에 500Gb 이상의 데이터를 처리한다. 시스코의 위협 오퍼레이션스 센터는 이처럼 전세계에서 수집하는 실시간 보안 데이터를 처리하여 시스코 보안 장비를 통해 제공하는 보안 서비스로 전송한다. 전송하는 정보는, 위협 수집된 이후 바로 분석이 이뤄지며 3~5분마다 정보를 실시간으로 업데이트 한다. 즉, 시스코 측은 IPS를 비롯한 보안제품은 보안 위협 발생 후 7분 내로 대응이 가능하다고 설명한다.

위협 오퍼레이션스 센터

시스코 SIO의 핵신 운영 조직인 위협 오퍼레이션스 센터는 기술자와 자동화된 알고리즘으로 구성되며, 시스코 센서베이스 데이터를 실시간으로 처리한다. 이로써 관련 팀은 자동 및 수동으로 생성되는 새로운 위협 방지용 보안 기준을 세운다.

위협 오퍼레이션스 센터 팀은 5개의 글로벌 지점에 배치되어 연중무휴로 위협을 연구, 분석 및 보안 품질 보장을 하는 500여 명의 인력으로 구성되어 있다. 이 팀은 인터넷 상의 위협을 연구할 뿐만 아니라 시스코 엔지니어들과의 협업을 통해 사이버 범죄에 효과적으로 대응할 수 있는 보안 제품을 구축하고 관리하는 작업도 돕는다.

글로벌 위협 상호연관분석 엔진(Global Threat Correlation)

시스코의 글로벌 위협 상호연관 분석 엔진(Cisco Global Threat Correlation)은 평판, 알려진 익스플로잇(exploits) 또는 이례적인 행동 등과 같은 센서베이스 데이터의 상관관계를 분석하는 자동화된 보안 기능이다. 이로써 보안 위협들을 보다 효과적이고 정확하며 빠르게 방지할 수 있으며, 패킷 컨텐츠만을 검사하는 기존의 네트워크 보안 시스템과는 상반된다. 

글로벌 위협 상호연관분석 엔진은 다음과 같은 변수를 모두 고려한다.

- 누가: 패킷을 보낸 사람의 평판 검토. 평판 필터는 최악의 보안 범죄자를 차단하여 10~15%의 공격을 막으며 의심이 가는 접근자에게는 적절한 평판을 부여한다.

- 무엇을: 익스플로잇, 바이러스 및 취약성 시그니처와 패킷 컨텐츠 비교

- 어디서: 트래픽 발생지의 지리적 및 특정 업계 고유의 트렌드까지 분석

- 어떻게: 위협 확산 및 변형 방식

글로벌 위협 상호연관분석 엔진은 이런 기준들을 참고하여 꾸준히 시스코 장비를 위한 새로운 보안 규정을 개발, 테스트 및 도입한다.

활발한 보안 정보 업데이트

시스코 SIO의 활발한 정보 업데이트는 완벽한 최신 보안 정보를 고객에게 제공한다. 위협 완화에 도움이 되는 데이터는 다음과 같은 경로를 통해 제공된다.

 - 시스코의 방화벽, 웹, IPS, 이메일 보안 장비에 3~5분마다 자동 보안 업데이트 제공.

 - 시스코 인텔리쉴드 경보 매니저 서비스(Cisco IntelliShield Alert Manager Service)

 - 보안 베스트 프랙티스 제안 및 커뮤니티 지원 서비스

이처럼 발 빠른 정보 업데이트 외에 시스코의 보안 인텔리전스는 일반대중, 최종 고객, 엔터프라이즈 및 정부기관의 유익을 위해 제공되기도 한다.

이처럼 위협을 이해하고 대응하는 데 도움이 되는 정보는 보안 기술의 라이프사이클 전체를 이해하도록 도우며, 정확한 지식에 근거한 의사결정을 이끌어내어 네트워크가 최신 공격으로부터 자동으로 보호되고 기업 보안 환경의 수준도 전반적으로 향상시키는데 기여한다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>