[칼럼] 아직도 네트워크를 네트워크로만 쓰시나요?


현대 사회는 IT 발전과 더불어 수 많은 보안 위협에 노출되어있는게 현실입니다. ‘2016년 시스코 연례 보안 보고서(2016 Cisco Annual Security Report, ASR)에 의하면 침해 사고에 노출되는 경우 수 시간안에 데이터가 유출되는 경우가 60%이며, 그러한 침해 사고에도 불구하고 수 개월이 지나도 데이터 유출을 인지하지 못하는 비율이 54%에 이른다고 합니다. 


보이지 않는다면 막을 수 없습니다. 침해사고에 대해 빠르게 인지한다면 위협이 커지기 전에 확산되는것을 막을 수 있게되어 기업의 소중한 자산을 보호할 수 있습니다. 그렇다면 어떻게 효과적으로 이러한 침해 위협을 탐지하고 막아낼 수 있을까요?



“Network as a Sensor”


그동안 전통적인 기업 내부의 네트워크 보안 관리는 경계보안, 즉, 외부로부터 내부로 통하는 접점에 대한 보안에 치중해 왔습니다. 하지만 소셜미디어 및 다양한 통신수단이 발전한 지금, 다양한 경로로 내부에 멀웨어가 침투할 수 있으며, 그 숙주로부터 내부 확산이 가능하기때문에 다각적인 방법의 보안관리가 필요한 상황입니다.


네트워크 전문 회사인 시스코는 여러가지 네트워크 장비, 즉 스위치, 라우터, 방화벽 등을 활용하여 네트워크를 감시하고 침해 위협을 탐지할 수 있는 방안을 제안드리고 있습니다. 바로 네트워크를 보안 감시 센서로 활용하는 방법입니다.


기업은 스텔스워치라는 제품을 통해 네트워크 데이터를 수집하여, 사용자 트랙픽에 대한 가시성을 확보할 수 있습니다. 뿐만 아니라, 사용자 정보, 이벤트, 어플리케이션기반의 데이터 플로우를 활용하여 풍부한 컨텍스트를 생성하여 보안 위협에 대한 탐지 및 대응을 손쉽게 할 수 있습니다.



넷플로우화로 가시성 확보하기 


좀 더 구체적으로 말씀드리면 네트워크 데이터를 플로우화하여 가시성을 확보하는 방법인데, 넷플로우라고 합니다. 물론 트래픽을 직접 캡쳐하게 되면(DPI) 더욱 더 섬세하고 다양한 분석이 가능하지만 분석에 필요한 시간이나, 자원을 고려할 때 어려움이 많은 것이 현실입니다. 


통화 기록에 비유해보자면, 언제, 누구와, 몇 시간동안 통화를 했는지 알 수 있지만 무슨 내용으로 통화했는지 통화내용까지 녹음(캡쳐)할 필요는 없는 것과 마찬가지 입니다.


이와 같이 데이터를 플로우화 하게 되면 많은 정보를 확보하면서도 상대적으로 적은 양의 트래픽으로 효과적인 데이터 처리가 가능합니다. 넷플로우 레코드 안에는 트래픽의 출발지, 목적지, 시간, 어플리케이션의 정보 및 포트 정보 등 다양한 정보가 들어있습니다. 


또한 넷플로우는 일반 네트워크 장비에서 제공하고 있는 데이터 플로우를 샘플링하는 방식이 아니라 전체 플로우를 빠짐없이 수집함으로써(Full Flow) 분석의 정확성을 높일 수 있습니다. 하지만 풀 플로우방식은 네트워크 장비의 CPU자원을 많이 사용해야 하기때문에 장비 제조사에서 지원하는데 어려움이 있습니다. 하지만 시스코는 네트워크 전문회사일뿐만 아니라, 자체적으로 칩셋을 설계하고 제조하는 회사입니다. 최근 도입한 CPU를 통한 성능 개선으로 CPU자원의 부담없이 풀 플로우 수집을 가능하게 합니다.



시스코 스텔스워치로 수집된 플로우 분석하기


넷플로우를 통해 수집된 플로우들은 스텔스워치를 통해 가시적으로 분석할 수 있습니다. 어떠한 침해 위협들이 우리 네트워크에 발생하고 있는지 대쉬보드 형태로 나타납니다.





스텔스워치로 다양한 보안 알람의 통계 및 어플리케이션 분석도 가능합니다.





이 외에도 네트워크상에서 발생하는 행위 기반 알고리즘을 통해 네트워크 스캐닝, DDoS, 봇넷 탐지, 보안 정책위반 탐지, 웜 확산 탐지, 데이터 유출 탐지와 같은 기능들을 수행할 수 있습니다. 이는 통신을 하기 위해서는 어디에든 존재하는 네트워크 장비를 센서로 활용하였기 때문에 가능한 일입니다.



네트워크로 귀사의 보안을 검진하세요


저는 네트워크 담당자를 내과 의사에 비유하고 싶습니다. 보이지 않는 인체 내부의 질병을 찾아내고 정확한 증세를 알기 위해서는 엑스레이, CT, MRI등 다양한 방법으로 ‘가시성’을 확보합니다. 이젠 네트워크의 문제를 사전에 예측해 확인하고 해결하기 위해서 이와 같은 ‘가시성’이 무엇보다 필요한 시대가 되었습니다. 앞으로 스텔스워치 솔루션을 통해 ‘가시성’을 확보하고 소중한 기업의 자산을 보호할 수 있기를 바랍니다.



 <<클릭>> 아직도 네트워크를 네트워크로만 쓰시나요?


 



 Cisco IT Connect


시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드!


이 글은 시스코 정진기 보안 솔루션 스페셜리가 작성한 칼럼입니다






저작자 표시 비영리 동일 조건 변경 허락
신고