시스코시스템즈가 방화벽 중심 보안 체계에서 벗어나 공격에 대한 사전, 사후 분석능력을 강화하기 시작했다. 이를 위해 시스코는 지난해 7월 27억달러에 침입방지시스템(IPS) 전문회사 소스파이어를 인수한데 이어 지난 5월에는 쓰렛그리드도 손에 넣었다. 분석능력을 보완하고, 자동화하기 위한 방편이었다.
29일 시스코시스템즈코리아는 서울 삼성동 아셈타워에서 기자간담회를 열고 소스파이어, 쓰렛그리드 인수 뒤 달라진 자사 보안 전략에 대해 설명하는 자리를 가졌다.
간담회에서 시스코코리아 보안사업 담당 이석호 수석부장은 기존에 보유하고 있는 '지능형 악성코드 차단(AMP)' 솔루션과 IPS는 프로파일링을 통한 분석능력을 강화했고 쓰렛그리드를 통해 기업 내외부에서 클라우드 기반 샌드박스를 통해 사전에 의심되는 악성파일 등을 찾아낼 수 있게 했다고 밝혔다.프로파일링은 범죄유형분석법이라고 부르는 수사기법 중 하나로 범죄 현장을 분석해 범인의 습관, 나이, 성격, 직업, 범행 수법 등을 추론해 범인을 찾아내는 수사기법이다. 최근에는 디지털데이터들의 중요성이 강조되면서 실제 수사에 디지털 파일에 대한 프로파일링이 필수로 꼽힌다.
시스코는 이러한 프로파일링을 사이버 범죄에 적용시켰다. 이 부장에 따르면 기업 내 시스템에 사용되는 여러 IP별 기기 정보, 맥주소, OS종류, 서버 정보 등을 지속적으로 분석해 이상유무를 판단한다는 것이다. 예를 들어 사내 특정 IP가 아파치 서버를 쓰고 있다가 다른 서버를 쓸 경우 이를 파악해 대시보드에서 경고창을 띄우고, 필요한 보안업데이트 등을 자동으로 수행하는 것이다.
처음 소스파이어 IPS와 AMP를 도입한 고객들은 자사 시스템에 대한 IP기반 정보들을 모두 분석해 하나의 DB로 만든 뒤 여기서 발생하는 변동사항에 대해 모니터링하고, 필요한 조치를 취하도록 했다.
이러한 분석 능력은 과거 자사 기기가 공격을 받을 당시 어떤 문제가 있었는지를 다시 재현해 추후 공격에 대응할 수 있게 하는 회귀적 분석을 제공한다. 이 수석부장은 악성코드에 대한 정보만 디지털포렌식을 통해 분석하는 방법이라고 설명했다.
이 서비스는 기본적으로 시스코가 외부에 구축한 클라우드 서비스를 통해 관리된다. 그러나 국내 기업환경에서는 여전히 클라우드에 자사 시스템에 대한 정보를 올린다는 것에 대해 부담스러워하는 분위기다.
이에 대한 해결책으로 제시하고 있는 것이 최근 인수한 쓰렛클라우드가 제공하는 클라우드 및 로컬 샌드박스 기능이다. 외부 클라우드 서비스를 통해 보안 모니터링 받기를 꺼리는 기업들이라면 사내 자체적인 서버를 구축해 샌드박스 기능을 활용할 수 있도록 한 것이다.
이 수석부장은 기존 APT 대응 솔루션이 샌드박스 영역 혹은 네트워크 포렌식에만 집중하고 있는 것과 달리 어떤 IP를 통해 어떤 공격이 어떻게 들어오게 됐는지 전 과정을 파악하고, 과거 공격에 대한 내용을 재현해 분석할 수 있게 했다는 점이 다른 벤더들과 차별점이라고 밝혔다.
관련기사
- 시스코 IoT 전략의 마지막 퍼즐 '분석'2014.07.29
- 시스코, 테일F 인수…NFV·SDN 주도권 확대2014.07.29
- 시스코 IoE 전략에 담긴 3가지 메시지2014.07.29
- 시스코, AMP·데이터센터 보안 신제품 대거 공개2014.07.29
시스코코리아 최고기술책임자(CTO)인 성일용 부사장은 “지난해 동안 전 세계 기업의 95%가 악성코드 트래픽의 공격 대상이 됐을 정도로 APT 공격은 나날이 증가하고 있다며 세계에서 APT 공격을 많이 받는 주요 국가로 분류되는 한국 역시 예외는 아니며, 국내 기업들은 보다 적극적이고 스마트하게 보안 역량을 강화할 필요가 있다고 밝혔다.
이를 위해 시스코코리아는 24시간 위협 방어 및 대응을 목표로 국내 APT 관련 보안 사업을 한층 강화해 나간다는 전략이다.
