시스코, 위협 중심의 보안 전략이 필요하다

[IT동아 이상우 기자] 가트너는 오는 2020년까지 75%의 기업이 데이터 및 인프라를 디지털로 전환하는 작업을(디지털 트랜스포메이션) 완료하거나 이를 진행할 전망이다. 우버나 에어비엔비 등 디지털 환경을 기반으로 사업을 시작한 혁신기업이 등장했고, 보수적이라고 평가받는 금융권에서도 디지털 중심의 인터넷 전문은행이 등장할 정도로 발전했다.

디지털 트랜스포메이션은 기업이 빠르게 변화하는 시장 환경에 민첩하게 대응할 수 있게 해주고, 관리 효율성을 높여주는 등 다양한 이점이 있다. 물론 이에 따른 보안을 강화할 필요성도 커졌다.

시스코 보안사업 담당 배민 상무는 "기업이 디지털로의 전환을 진행하면서 새로운 보안 위협 지점이 발생하고 있지만, 보안은 아직까지 2순위다. 1순위인 사업 도입을 먼저 하고, 취약점이나 위협이 발견되면 보안에 투자하기 때문에 사전에 대응하는 것이 어려우며 이 때문에 보안은 위협을 따라가는 수준에 불과하다"고 말했다.

시스코의 보안 성숙도 평가에 따르면 기업의 보안 수준은 내외부 규제에 맞춘 보안 수준을 기준으로 보안 제품을 구매하는 1단계, 각종 위협에 대응하기 위해 다양한 보안 제품을 구매하는 2단계, 위협을 중심으로 보안을 설계하는 3단계, 기업 민첩성 확보를 고려한 플랫폼이 완성된 4단계로 나눌 수 있다.

배민 상무는 "많은 기업이 현재 2단계에 머물러 있다. 오늘날 보안 위협의 다양화에 따른 보안 제품이 늘어나고, 투자 비용도 늘어난다. 하지만 투자비용이 늘어남에도 불구하고 복잡성이 증가하면서 관리 효율도 떨어지고, 보안 지점이 늘어나는 만큼 취약점이 발생할 가능성도 높다"고 설명했다. 또, "위협 중심의 보호 단계인 3단계에 진입하기 위해서 기업은 위협을 신속하게 탐지하고 차단할 수 있는 대응형 보안에 투자해야 한다"고 덧붙였다.

시스코의 보안 제품은 위협 중심 보안 전략을 채택한다. 일반적으로 위협이란 단순히 해커의 공격으로 볼 수 있지만, 시스코가 생각하는 위협은 공격을 위한 취약점 탐색, 실제로 이뤄진 공격 행위, 공격 이후의 흔적 등 모든 정보에 해당한다. 이러한 정보를 파악하면 실제 공격이 발생했을 때 탐지 시간을 줄일 수 있는 것은 물론, 위협이 발생하기 전에 이를 막을 수도 있다. 시스코가 운영하는 글로벌 보안 인텔리전스 조직 '탈로스'가 이러한 일을 수행하며, 이들이 분석한 정보는 모든 시스코 보안 제품에 반영된다. 탈로스는 250명의 화이트 해커, 데이터 전문가, 보안 전문가 등으로 구성한 보안 조직으로, 하루에 200억 개의 공격을 탐지하고 방어한다.

또, 머신러닝 기반 빅데이터 분석 플랫폼 시스코 ATA(Active Threat Analytic)는 보안 관제를 자동화해 여러 상황에 더 빠르게 대응할 수 있게 해준다. 기존의 관제 시스템은 보안 관련 이벤트가 발생했을 때 관제 담당자가 없다면 이를 파악할 수 없지만, 시스코 ATA는 이러한 정보를 자동으로 분석하고 담당자의 개입을 최소화할 수 있어 보안 관제/대응 시스템(MDR, Managed Detection and Response) 초기 도입 시 발생할 수 있는 투자 비용, 유지보수 비용, 인력 채용 및 교육 등의 문제를 줄일 수 있다.

시스코는 보안 전문 인력의 중요성도 강조했다. 특히 최근 발생한 공격 사례를 보면 한 두 가지 공격 기법이 아닌 다양한 공격 기법을 활용하는 추세로, 인터넷나야나 사건을 예로 들면 최종 공격에 랜섬웨어를 활용했으며 이 랜섬웨어를 심기 위해서는 특정 기업을 장기간 파악하고 취약점을 찾아 침투하는 ATP 방식을 사용했다. 하지만 현재 보안 인력 교육은 크게 관제 전문, 모의 해킹 전문 등 개별 전문가를 양성하는 데 집중하고 있는 만큼 각 전문가의 유기적인 협업과 대응이 어려운 실정이다.

시스코 사이버 레인지 서비스는 사이버 공격에 대한 실전 훌련을 할 수 있는 플랫폼으로, IT 인프라, 최신 공격/방어 훈련을 위한 커리큘럼, 공격 사례 재현을 통한 훈련 등으로 구성돼 있다. 짧은 기간 워크샵을 진행하는 방식은 물론, 기업 내에 있는 보안 인프라를 활용한 시뮬레이션도 지원한다. 만약 이러한 인프라를 구축하기 어렵다면 시스코가 구축한 인프라를 이용해 훈련할 수 있는 환경을 제공하기도 한다.

글 / IT동아 이상우(lswoo@itdonga.com)