위협탐지시간 단축을 위한 색다른 접근: 네트워크를 보안에 활용하라

“볼 수 없는 것은 보호할 수 없습니다. (You can’t protect what you can’t see.)”

네트워크나 보안에 관심이 있다면 이 말을 한 번씩은 들어보셨을 것입니다. 기업 보안 전략을 수립하는데 있어 위협과 사용자 행위에 대한 가시성을 확보하는 것이 매우 중요하다는 점을 강조하는 얘기입니다.

모바일과 클라우드가 확산되는 기업 업무 환경은 보안관리, 내부통제를 어렵게 만들고 있습니다.

사이버공격이 갈수록 지능화되고 정교해지면서 기업 내부에 위협이 침투했는지 인지하는 것도 점점 힘들어지고 있습니다.

보안업계의 분석에 따르면, 기업에서 사이버침해를 인지하는데 걸리는 시간이 평균 140일에서 200일에 달합니다. 아시아지역 기업에서는 침해사실을 인지하는데 걸리는 기간이 500일이 넘는다는 분석도 나왔습니다.

사이버공격자가 내부망에 은밀하게 침투해 공격 목표를 달성하고 증거와 흔적을 없애고 사라질 때까지도 침해사실조차 알지 못하는 경우가 많이 있습니다.

공격자들은 대상 인프라에 침투해 거점을 확보한 뒤 오랫동안 정찰을 수행하며 필요한 정보를 수집하고 관리자 권한을 획득해 목적을 성사시킵니다. 여러 단계에 걸쳐 공격을 수행하는데요. 만일 초기 침투 단계에서 위협을 탐지할 수 있다면 피해를 입지 않거나 획기적으로 줄일 수 있을 것입니다.

보안 전문가들이 요즘 보안 강화 방안으로 위협 탐지시간(TTD, Time to Detect)이나 인지시간(MTTK, Mean time to Know)을 단축시켜야 한다고 목소리를 높이는 이유가 여기에 있습니다.

공격단계 초기에 침입사실을 빠르게 탐지해 신속한 대응조치를 수행하기 위해 기업들은 최근 들어 지능형위협보호(ATP) 접근방식을 채택하고 있습니다. 이상행위나 징후를 탐지하기 위해 클라우드와 가상화 기반의 행위분석 기술, 빅데이터 분석, 인공지능(AI)같은 신기술을 접목한 보안 기술과 솔루션을 활용합니다. 통합적이고 자동화된 접근방식으로 위협 인텔리전스를 서로 공유해 대응할 수 있는 체계가 강조되고 있습니다.

전통적인 방화벽, 침입방지시스템(IPS), 안티바이러스(백신)같은 보안 제품만으로는 알려지지 않은 정교한 위협이 내부 사용자 단말이나 네트워크망에 침투했어도 탐지할 수 없기 때문이죠.

그런데 통합 ATP 전략을 마련하는 것도 쉽지는 않습니다. 비용과 복잡성이 크게 늘어날 수 있기 때문인데요. 직원 수가 많고 인프라 환경이 클수록 전체 환경을 포괄할 수 있는 새로운 보안 솔루션을 종류별로 다 갖춰놓기가 힘듭니다. 시시각각 새로운 위협이 쏟아지는 상황인데 자칫 ‘밑 빠진 독에 물 붓기’가 될 수 있습니다. 그리고 너무 많은 보안 솔루션을 충분한 테스트나 검증기간 없이 도입해 운영하다보면 오히려 복잡성 때문에 보안 효과가 떨어지는 일이 발생할 수도 있습니다.

조직마다 다른 환경에서 가장 효율적이고 효과적인 방법을 찾아야만 하는 현실입니다. 그 대안으로 제시된 한 가지 방안이 바로 네트워크를 활용해 보자는 것입니다.

<출처 : 시스코코리아>

연결성을 위해 구축해놓은 네트워크를 위협 가시성을 확보할 수 있는 보안 센서(Network as a Sensor)로 이용하자는 것인데요.

네트워크는 기업 내 모든 기기와 사용자가 연결돼 있습니다. 사내 업무용 시스템에 누가, 언제 접속하는지, 그리고 인터넷이나 사용자간, 데이터센터 내에서 어떠한 트래픽이 오가는지 모두 알 수 있습니다.

인터넷 관문에만 방화벽, IPS, 샌드박스같은 보안 솔루션을 설치하면 사용자를 통해 내부망에 침투하는 위협을 탐지할 수 없습니다.

이에 비해 네트워크의 보안 센서화는 사용자와 기기가 연결된 기업 네트워크 내에서 오가고, 외부로 넘나드는 모든 트래픽을 살펴볼 수 있다면 악성 또는 비정상 행위를 감지하고 판단할 수 있다는 아이디어에서 나온 방안입니다.

고성능 스위치, 라우터, 심지어 방화벽까지 네트워크 장비에서 생성하는 전체(Full) 넷플로우 정보를 기반으로 이상행위나 비정상 트래픽을 식별할 수 있습니다.

넷플로우 정보에는 시간, 소스와 목적지 IP와 포트 숫자, MAC(Media Access Control) 주소, 서비스·프로토콜 유형, 패킷 용량, I/O(Input/Output) 인터페이스 숫자 등이 담깁니다.

풀(Full) 넷플로우 기능을 지원하는 네트워크 장비를 이용하면 플로우 정보를 수집하는 센서를 별도 구매할 필요도 없습니다. 네트워크 장비는 고성능 하드웨어 처리 역량을 확보하고 있으니 이런 기능 때문에 네트워크 성능에 영향을 미칠 우려도 적습니다.

네트워크 시장에서 독보적인 점유율을 확보하고 있는 시스코는 코어·액세스·에지단 모든 스위치, 라우터에서 이러한 기능을 제공하고 있습니다. 카탈리스트 스위치와 넥서스 데이터센터 스위치, 라우터 장비에서 모두 하드웨어 기반의 풀 넷플로우 기능을 제공합니다.

‘스텔스워치’라는 소프트웨어 기반 분석 솔루션을 활용하면 현재 기업 내부망 전체에서 발생하는 이상 트래픽 현황을 한 눈에 볼 수 있습니다. ▲이상행위를 하는 내부 사용자가 얼마나 있는지 ▲내부 네트워크 정찰이나 ▲명령·제어(C&C) 서버와 통신하고 있는 의심 단말 ▲공격에 악용되는 기기 ▲디도스(DDoS) 공격 소스나 ▲타깃 ▲내부 데이터를 수집하고 유출하는 현황까지 제시합니다. 바로 네트워크 장비로부터 전달 받은 넷플로우 정보를 바탕으로 분석된 결과입니다.

<출처 : 시스코코리아>

프로세스 개념도를 머릿속에 그려보면, 네트워크 트래픽 정보 수집→전달→분석→실행가능한 인텔리전스로 전환→가시성 확보→침해사고 발생시 빠른 대응조치(보안수준 향상) 과정으로 선순환되는 효과를 얻을 수 있을 것으로 보입니다.

시스코도 네트워크를 센서로 활용해 ‘스텔스워치’와 연동하면 내부망에서 무슨 일이 일어나고 있는지 가시성을 확보해 보안 인텔리전스를 갖출 수 있다고 강조하고 있습니다. ‘스텔스워치’는 시스코 네트워크 장비뿐만 아니라 넷플로우 기능을 제공하는 모든 제품과 연동할 수 있습니다.

이같은 방식은 PC나 모바일 기기뿐 아니라 네트워크에 연결돼 있는 IP CCTV, 프린터, 팩스 등에서 발생하는 모든 통신기록을 수집, 분석해 모니터링할 수 있기 때문에 자연스럽게 사물인터넷(IoT) 보안 대처까지 가능하게 됩니다. 네트워크 기반의 보안 접근방식이 가져다주는 이점일 것입니다.

기업에서 분리돼 있는 보안 조직(담당자)과 네트워크 조직(담당자)이 협업해 보안 효과를 높이는 방안을 찾아보는 것은 어떨까요? 이미 투자된 네트워크와 보안 솔루션을 활용할 수 있다면 높은 투자 대비 효과를 얻을 수 있을 것입니다. 기존과는 조금 다른 색다른 시도와 노력이 공격자들과의 싸움에서 방어자들이 승리하는 지름길을 찾아가는 과정이 될 수 있습니다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

* 이 글은 시스코코리아 블로그(http://www.ciscokrblog.com/1190)에 게시되었습니다.

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다