[칼럼] 뛰는 멀웨어 위에 나는 시스코 보안


네트워크 보안은 기본적으로 신뢰할 수 없는 구간인 인터넷과 신뢰할 수 있는 사내 네트워크를 방화벽으로 나누는 것에서 출발했습니다. 그후에 방화벽 보완 개념으로 시그니처기반의 IPS를 도입하였으나, 최근의 멀웨어를 활용한 APT 공격에는 속수무책으로 당할 수밖에 없었습니다. 


이유는 지능화된 악성 코드가 보안의 빈틈을 노리거나, 또는 외부에서 멀웨어에 감염된 채로 회사 내부 네트워크에 접속하는 단말들의 수가 증가하고 있기 때문입니다. 그래서 관문 보안 뿐만 아니라 내부 보안에 대한 중요성이 강조되고 있습니다. 


시스코는 이런 일련의 보안 위협에 대응하기 위해 자사가 보유한 모든 기술을 결집시켜 공격 전/중/후를 막아내는 통합 보안 모델을 만들었습니다. 시스코는 ‘공격전-공격시-공격후’의 3단계로 보안 대응 지침 및 솔루션을 제공하고 있습니다.



공격전(Before)


보안 공격이 발생하기 전에 대비하는 구간입니다. 사고가 난 후에 대응하는 것보다 사전에 대응하는 것이 피해를 미연에 방지하는 것이겠지요? 그래서! 가장 중요한 단계입니다. 


이 단계에서는 인증된 사용자가 네트워크에 접속하고, 허용된 범위에서 접근하게 되는지를 면밀하게 체크하는 것이 중요합니다. 사용자에 대한 인증 뿐만 아니라 접근에 대한 권한 관리,  단말의 위험도 분석, BYOD 같은 게스트 관리 서비스도 함께 제공되어야 합니다. 시스코는 ISE (Identity Services Engine)을 통해 해당 기능들을 제공하고 있습니다.  


사용자에 대한 꼼꼼한 관리가 준비되었다면 그 다음 단계는 인증된 내부 사용자가 사내에서 규정 위반 사이트, 또는 위험 사이트에 접속 시도시 이를 안전한 웹페이지로 유도하여 보안 사고를 막을 수 있는 방안이 필요합니다. 시스코는 웹 접속시 사용되는DNS를 통해 보안을 제공하는 OpenDNS로 솔루션을 제시하고 있습니다. 




OpenDNS는 모든 네트워크 디바이스의 DNS 질의를 활용하여 사전에 안전성이 검증된 사이트, 또는 관리자가 지정한 URL로 접속을 제공하는 클라우드 기반의 보안 솔루션입니다.  


그 다음 단계는 경계 보안의 대명사, 방화벽이 관문 보안을 담당합니다. 방화벽은 신뢰할 수 없는 인터넷으로부터 내부 네트워크를 격리하여 보호하는 역할을하며, 필요시 VPN을 통해 안전한 터널 통신을 제공하여 외부에서 사내로 들어오는 트래픽에 대한 안전성을 여러 차례 검토하게됩니다. 최근에는 차세대 방화벽(Next-Generation Firewall)로 진화하여 지능적이고 고도화된 위협에 대한 완벽한 검역 및 차단을 수행합니다.



공격시(During) 


보안 공격이 발생하고 있는 시점에 이를 제압하는 단계입니다. 이 단계의 대표적인 보안 솔루션으로는 IPS(Intrusion Prevention System)와 컨텐츠 시큐리티 솔루션인 ESA(Email Security Appliance), WSA(Web Security Appliance)가 있습니다. 


IPS는 기본적으로 외부로부터 유입되는 위협과 멀웨어를 시그니처(패턴) 기반으로 차단할 수 있습니다. 차세대(Next-Generation) IPS를 통해서 URL 필터링, 멀웨어 차단, 애플리케이션 기반의 AVC(Application Visibility and Control)등을 통해 한 층 강력해진 기능으로 진행중인 공격을 진단, 분석, 차단할 수 있습니다. ESA를 통해서는 이메일을 통한 보안 공격을 차단할 수 있는데, 스팸 메일 차단 및 악성코드 유입방지 등의 역할을 담당합니다. WSA를 통해서는 웹에 대한 사용자의 접근 제어 및 보안을 제공받을 수 있습니다.



공격후(After)


보안 사고가 발생한 후의 수습 단계입니다. 기본적으로 하루에 10만개 이상의 멀웨어가 발생하고 있으므로 현실적으로 모든 위협을 막기에는 역부족일 수도 있습니다. 


먼저 멀웨어 차단 솔루션인 AMP(Advanced Malware Protection)를 통해 대부분의 멀웨어를 사전에 차단합니다. AMP는 시스코의 모든 보안 제품과 현재 통합이 완료되었습니다. 


변종 코드의 멀웨어가 내부로 유입된다면, 샌드박스 솔루션인 쓰렛그리드(ThreatGrid)를 통해 가상 환경에서 멀웨어 행위 분석후 이를 소급 적용할 수 있습니다. 보안 사고가 발생하더라도 이 단계의 솔루션들을 통해 디지털 포렌식 및 감사가 행해질 수 있으며 손상된 내부 네트워크에 대해서는 원인 분석을 통해 소급 적용이 가능합니다. 


네트워크 및 보안 측면에서 비정상적인 상황에 처리하기 위해서는 가시성 확보 및 인공 지능화된 직관적인 이벤트 생성이 필요합니다. 특정 포인트 보안 솔루션 뿐만 아니라, 전체 구간의 네트워크 인프라(라우터, 스위치, 방화벽 등)을 보안 센서처럼 활용하여 가시성을 확보하는 솔루션이 NaaS(Network As A Sensor) 입니다. 


시스코는 스텔스워치(Stealthwatch) 솔루션을 통해 NaaS가 필요한 가시성과 컨트롤을 제공할 수 있습니다. NaaS 솔루션의 스텔스워치는, 기존에 설치된 라우터, 스위치, 방화벽 등으로부터 별도의 추가 비용없이 넷플로우(NetFlow) 정보를 수신하여 네트워크 전반의 가시성을 확보할 수 있습니다.

 

현재의 보안 위협은 특정 포인트 솔루션 만으로 막을 수는 없습니다. 시스코의 통합 보안 모델은 보안 위협을 ‘공격전-공격시-공격후’ 단계로 나누어 모든 구간에서 대응할 수 있습니다.  


전-중-후의 공격과 방어를 정리하자면?

  1. 공격전 단계에서는 ISE 인증 서버, OpenDNS, 차세대 방화벽등이 1차 방어를 담당하고, 
  2. 공격시에는 NGIPS와 컨텐츠 시큐리티(ESA/WSA) 솔루션이, 
  3. 공격후에는 스텔스워치(StealthWatch)를 통한 네트워크 가시성 확보, AMP 및 쓰렛그리드(ThreatGrid)를 통해 디지털 포렌식이 가능합니다. 


시스코 통합 보안 모델에 대한 자세한 정보는 여기에서 확인해 보실 수 있습니다.



이 칼럼을 SlideShare에서 다운받으실 수 있습니다!

 <<클릭>>[칼럼] 뛰는 멀웨어 위에 나는 시스코 보안



 



  






Cisco IT Connect

시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드!


이 글은 시스코 우명하 보안 솔루션 스페셜리스트가 

작성한 칼럼입니다.

 

저작자 표시 비영리 동일 조건 변경 허락
신고