"초연결시대 보안위협은 양적, 질적으로 달라진다. 장비와 룰을 추가하고 리서치를 더 빨리 한다고, 뛰어난 보안전문가를 충원한다고 반드시 효율적으로 대응할 수 있다는 보장은 없다. 전선을 바꿔야 한다."
아카마이 임지호 부장은 12일 열린 지디넷코리아 시큐리티넥스트컨퍼런스 주제강연에서 '초연결/초지능 시대의 클라우드 기반 보안 방법론'을 발표하며 이같이 말했다.
그에 따르면 보안위협 규모는 폭증하고 양상은 다양해져 서비스 병목을 초래한다. 새로운 통신방식을 위한 추가 보안, 빠른 위협분석과 대응, 위협을 발견하고 대응할 지능화한 수단이 필요하다. 문제는 위협과 공격에 대응하는 속도보다 그 증가 속도가 빠르다는 점에 있다. 전통적인 보안투자만으로는 이 문제를 해결할 수 없다는 결론이 나온다.
임 부장은 "데이터센터에 투자해 온갖 보안 장비의 로그를 수집하고 보안인텔리전스를 갖추는 것만으로는 충분하지 않다"며 "안 해도 되는 게 아니라 그걸 하는 동시에, 데이터센터 밖의 자원을 활용할 수 있도록 인텔리전스의 범주를 넓혀야 한다"고 주장했다.
이런 얘기다. 이제껏 기업은 실제 위협이 발생하는 데이터센터 영역 안에서 보안 기술을 갖추고 공격에 방어하거나 대비해 왔다. 전선이 데이터센터 안에 형성돼 있었다. 하지만 위협의 양상과 질적 양적 수준이 강화된만큼 그 모든 위협을 데이터센터 영역에서 처리할수 없다. 전선을 공격이 발생하는 쪽에 가깝게 옮길 필요가 있다. 데이터센터 밖에서 클라우드 서비스형 보안인텔리전스를 활용한다면 가능하다.
임 부장은 "아카마이는 세계 웹 트래픽 15~30%를 처리하면서 인터넷의 많은 트래픽을 들여다보고 있다"며 "아카마이의 플랫폼과 서버가 공격자와 가장 가까운 위치 곳곳에 들어가 있고 매일 2조건의 로그를 남기며, 우리는 그걸 쌓아놓고 확인하면서 분기마다 플랫폼 안에 기록된 10억개 IP를 확인할 수 있다"고 말했다. IPv4 기반 IP주소는 40억개인데 그중 4분의 1이 매분기 아카마이 인프라에 기록된다는 얘기다.
그에 따르면 아카마이는 클라우드기반 보안을 제공해, 앞서 언급한 데이터센터 바깥에서의 보안대응 전선을 구축해 준다. 아카마이 서비스에 접속하는 DNS부터 사용자 트래픽이 연결되는 에지 서버까지 다양한 형태의 보안 서비스를 제공하고 있다. 고객사 데이터센터 트래픽이 과도할 때 인터넷대피소 격인 '스크러빙센터'를 통해 우회, 정상데이터만 접근하게 할 수도 있다.
임 부장은 "이런 서비스를 제공하기 위해 아카마이는 시큐리티인텔리전스 플랫폼, 24시간 운영센터, 보안시스템 연결 기능, 정보 입력 시스템, 관리 포털을 갖추고 있다"면서 "API 프로텍션, 웹방화벽, 클라우드 방어 등이 공격자와 가까운 위치에서 고객들에게 제공되는 보안서비스로, (농구 경기로 치면) 우리 팀 5명은 지역방어 할 동안 상대편 골대 밑에서 벤치 후보 선수들이 뛰며 압박 수비를 해 주는 성격"이라고 설명했다.
아카마이의 플랫폼은 '클라우드시큐리티인텔리전스(CSI)'라 불린다. CSI는 하둡 기반 빅데이터 플랫폼이다. 대규모 보안위협 정보를 보유해 처리하고 알려 주는 분석 플랫폼과, 네트워크 DNS 로그 및 에지 서비스 로그, 웹방화벽 공격탐지 로그 등에 외부 정보까지 활용할 수 있다. 전문 운영인력, 보안분석 담당자가 공격 패턴과 클라이언트의 이상 행동을 찾아내 분석하고 발원지를 추적 가능하다.
CSI는 앞서 보안업계에서 사물인터넷(IoT) 기기를 통한 인터넷 보안위협으로 소개된 'SShowDowN프록시' 공격을 찾아낸 기반이 됐다. 이 공격은 아카마이 웹방화벽, 봇매니저 등을 통해 차단 대상 공격으로 인식된 뒤 문제의 클라이언트를 찾아갈 수 있는 실마리를 제공한다. 분석된 결과는 아카마이 서비스에 업데이트된다.
관련기사
- RSA는 어떻게 비즈니스 중심 보안 구축했나2017.09.12
- 스플렁크 "영역별 최고 솔루션 묶어 위협 대응시간 단축"2017.09.12
- 4차산업혁명시대 기업 CISO의 역할론2017.09.12
- HPE "기업 자산 보호, 건강관리같은 보안체계로 접근하라"2017.09.12
아카마이는 CSI뿐아니라 외부 보안전문가 조직과의 공조를 통해서도 보안위협에 대응한다. 그 성과로 지난달 '와이어X 봇넷'이란 이름으로 발생한 분산서비스거부(DDoS) 공격 발원 봇넷을 찾아낸 사례가 소개됐다. 공격은 안드로이드 단말기를 숙주 삼는 악성 앱 동작 때문이었다. DDoS 트래픽 로그의 HTTP 헤더에서 발견된 비정상 유저에이전트(UA)를 단서로, 구글플레이에 등록된 악성 앱 300여개를 찾아 없앴다.
임 부장은 "데이터센터 바깥의 보안인텔리전스가 어떤 공격에 대응을 지원하면 그 정보가 플랫폼 모든 자원에 퍼져나가, 타사의 경험이 자사의 대응사례로 바뀔 수 있다"며 "이 경우 최초 공격받은 회사만이 아니라, 그와 동일한 공격 유형이 다른 대상으로 들어갈 때 이미 막을 준비를 갖추게 된다"고 강조했다.