시스코식 보안 해법...'더 정밀하게 들여다보기'

컴퓨팅입력 :2016/03/22 07:53

손경호 기자

지난해부터 주요 글로벌 IT회사들이 경쟁사와 차별화 되는 요소 중 하나로 '보안'을 강조하기 시작했다. 그렇지만 너도 나도 보안을 강조하다보니 정작 기업담당자들이나 기자 입장에서도 어느 회사가 더 뛰어난 보안기능을 갖추고 있는지 판단하기가 쉽지 않다.

시스코시스템즈 역시 이렇게 보안을 강조하는 기업들 중 하나다. 그렇다면 이 회사는 뭐가 다른 것일까.

'더 정밀하게 들여다보기'

시스코가 내세운 보안해법은 네트워크를 보다 정밀하게 보고, 문제를 찾아내 빠르게 해결하겠다는 것이다. '네트워크를 잘하는 회사가 보안도 잘 할 수 있다'는 것이 이 회사가 내세우는 메시지다.

시스코식 보안해법을 종합적으로 보여주는 제품은 차세대 방화벽인 '시스코 ASA with 파이어파워 서비스'이다. 이 제품에는 시스코의 보안 스테디셀러인 ASA 방화벽과 2013년 소스파이어를 인수하면서 확보한 스노트 엔진 기반 침입탐지시스템(IPS), 지능형 악성코드 차단 솔루션인 '어드밴스드멀웨어프로텍션(AMP)'이 집약됐다.

소스파이어는 시스코에 인수된 뒤 파이어파워로 이름을 변경했다. 이 솔루션은 네트워크에 연결된 모든 PC, 노트북, 서버 등 자산을 스캔해서 리스트를 만들어 둔다. 이런 방법으로 기업 보안담당자들은 침해사고가 발생했을 때 보다 빠르고 쉽게 어떤 곳이 공격의 출발점이 됐는지를 확인할 수 있도록 했다. AMP는 기업, 기관 내 유입된 의심 파일을 샌드박스라는 가상의 공간에서 미리 돌려보고 어떤 행동을 하는지 관찰하는 것을 핵심으로 한다.

여러가지 기능을 한번에 제공하는 보안장비는 이전까지 차세대 방화벽(NGFW), 통합보안장비(UTM) 등 보안장비를 공급하는 회사들이 기존에도 여러 차례 언급했던 메시지이기도 하다. 이에 대해 이성철 이사는 고객사를 지원했던 사례를 들며, 시스코가 제안하는 통합솔루션의 장점을 설명했다.

어떤 PC가 악성코드에 감염돼 공격자가 정보를 빼내기 위해 악용하는 C&C서버와 통신을 해서 사내 DB서버 일부 정보가 유출된 사례를 생각해 볼 수 있다. 이런 사고가 났을 때 대개 회사 보안책임자는 방화벽, 웹방화벽, 이메일 보안회사 등 적게는 10곳까지 보안담당자를 데이터센터로 호출한다. 문제는 각각 솔루션들마다 기능이 다른 만큼 종합적으로 어떤 PC가 감염돼 어느 시점에 어떤 식으로 정보가 유출됐는지를 확인하기가 어렵다는 점이다.

반면 이성철 이사는 시스코가 제공하는 네트워크 장비, 보안장비를 함께 사용할 경우 이러한 문제를 종합적으로 살펴보고 원인과 결과를 분석해낼 수 있다고 강조한다.

이 과정에서 활용되는 핵심 보안 기술 중 하나는 지난해 인수한 랜코프가 제공하는 '스텔스워치'라는 솔루션이다. 흥미로운 점은 이 솔루션은 시스코가 공급하는 대부분의 스위치나 라우터에 기본 탑재돼 있다는 것이다. 기본설정에서는 기능이 꺼져있지만 라이선스 비용을 지불하고 해당 기능을 활성화 시키면 네트워크 장비가 일종의 보안센서 역할을 하게 된다. 이를 통해 전체 시스템에서 정확하게 어떤 곳에서 문제가 생겼는지를 보다 정밀하게 확인할 수 있도록 한다는 설명이다. 이성철 이사는 이러한 방법으로 "기존에는 정상으로 탐지되지 않았던 파일이 시간이 흘러 특정 시점에서 어떤 방식으로 악성코드로 바뀌는지를 추적하고, 탐지, 차단하는 일이 가능해진다"고 말한다.

관련기사

최근 미국 샌프란시스코에서 개최된 글로벌 보안 컨퍼런스인 RSA2016에서는 더이상 보안은 혼자서 막을 수 없다는 점에서 협업이 강조됐다. 또한 어떤 방식으로든 공격이 내부로 들어올 수밖에 없다는 점을 인정하고, 직접 피해를 입는 PC, 노트북 등과 같은 엔드포인트 단에서 빠른 탐지와 대응이 더욱 중요해질 것이라는 메시지가 주를 이뤘다.

반면 시스코식 보안해법은 통합과 네트워크 단에서의 탐지와 대응을 내세우고 있다는 점에서 글로벌 트렌드와는 차이가 난다. 이들이 내세운 분명한 메시지가 얼마나 큰 보안효과를 거둘 수 있을지 주목된다.