시스코시스템즈와 주니퍼네트웍스가 지능화되는 사이버위협을 효과적으로 탐지, 대응하기 위해 네트워크 관점의 보안 전략을 강화하고 있다. 20여 년 간 네트워크 기술을 집중 연구개발해온 기업들인만큼 네트워크와 보안 기술을 긴밀하게 결합하는 방식으로 차별화에 나섰다.

보안 전문업체들은 통합 플랫폼을 기반으로 다양한 보안 솔루션 간 연계, 보안 자동화를 추진하는데 주력하고 있다. 시스코와 주니퍼는 보안영역을 넘어 전체 네트워크 인프라 차원에서 위협 가시성을 확보하고 보안 기능을 통합해 자동화된 대응조치를 수행하는 방식을 제공하는데 힘을 기울이고 있다.

시스코는 지난 2015년 네트워크 애널리틱스(분석) 분석 기반 보안 솔루션인 ‘스텔스워치’를 제공하는 랜코프를 인수하면서 ‘센서로서 네트워크(Network as a Sensor)’ 아키텍처 필요성을 들고 나왔다. 이는 네트워크를 위협 가시성을 확보할 수 있는 보안 센서로 활용하자는 의미다.

‘스텔스워치’는 방화벽과 스위치, 라우터를 포함해 네트워크 장비에서 생성하는 전체 넷플로우 정보를 기반으로 이상행위나 비정상 트래픽을 식별한다. 네트워크 장비로부터 전달받은 다양한 네트워크 패킷 플로우 정보를 ‘스텔스워치’가 분석해 ▲이상행위를 하는 내부 사용자가 얼마나 있는지 ▲내부 네트워크 정찰이나 ▲명령·제어(C&C) 서버와 통신하고 있는 의심 단말 ▲공격에 악용되는 기기 ▲디도스(DDoS) 공격 소스나 ▲타깃 ▲내부 데이터를 수집하고 유출하는 현황을 제시한다.

시스코는 최근 ‘스텔스워치’에서 플로우 주소, 포트, 바이트, 패킷 수 등과 같은 정보뿐 아니라 플로우 메타데이터와 내부에서 발생하는 이벤트 정보를 수집·분석할 수 있도록 기능을 고도화했다. 이를 기반으로 암호화된 트래픽을 복호화해 분석하지 않고도 보안위협 여부를 판단하는 ‘ETA(Encrypted Traffic Analytics)’ 기능을 제공할 계획이라고 밝혔다.

ETA는 시스코가 최근 새롭게 발표한 인텐트 기반 네트워크 솔루션(IBNS)의 핵심 요소 가운데 하나로 선보인 기능이다. 시스코는 IBNS의 목표로 “지속적으로 학습하고 적응하며 자동화할 뿐 아니라 스스로를 보호하는 네트워크 구현”이라고 제시했다.

오는 8월부터 시스코는 IBNS으로 활용될 새로운 디지털네트워크아키텍처(DNA)센터, 네트워크데이터플랫폼(NDP), 카탈리스트 9000 스위치 등을 순차적으로 선보일 방침이다.

주니퍼는 지난해 초 ‘소프트웨어정의보안네트워크(SDSN)’를 선보이면서 네트워크 전반을 아우르는 통합보안 전략을 본격화했다.

juniper_sdsnSDSN은 물리·가상·클라우드 환경에 상관없이 모든 네트워크와 보안 솔루션, 클라우드 기반의 위협 인텔리전스까지 서로 유기적으로 연동돼 정교한 위협을 탐지하고, 이에 대응할 수 있도록 통합적이고 일관된 정책을 실행하는 것이 특징이다.

작년과 올해에 걸쳐 주니퍼는 SDSN을 구현하는 모든 구성요소를 완비했다. 기업고객사에서 SDSN을 쉽게 구현할 수 있도록 보안전문업체, 가상화 솔루션 기업들과 협력 생태계도 구축했다.

주니퍼 SDSN은 크게 ▲클라우드 기반 글로벌 위협 인텔리전스인 ‘스카이 지능형위협방어(Sky ATP)’와 ▲보안·네트워크 장비를 통합관리하고 보안정책 실행을 자동화하는 ‘주노스 스페이스 시큐리티 디렉터 정책 실행(Policy Enforcer) 엔진’ ▲방어와 격리 등의 대응조치를 수행하는 스위치, 라우터, 방화벽 등으로 구성된다.

‘스카이 ATP’는 정교한 위협을 빠르고 효과적으로 탐지·분석한다. ‘스카이 ATP’ 외에도 주니퍼는 보안정보이벤트관리(SIEM) 솔루션인 ‘주니퍼 시큐어 애널리틱스(JSA)’ 솔루션을 통해 트래픽 로그와 플로우 분석정보를 활용할 수 있도록 제공하고 있다.

특정 엔드포인트 기기가 악성코드 위협에 감지되면 시큐리티 디렉터 정책 실행 엔진에서 보안정책을 내려줘 연결된 네트워크 장비와 방화벽 등에서 네트워크 연결을 격리하거나 차단 조치를 수행한다.

주니퍼는 개방형 아키텍처를 채택해 EX·QFX 스위치, MX 라우터, 물리적 방화벽인 SRX, 가상 방화벽인 vSRX, 컨테이터 방화벽인 cSRX 등 자체 네트워크·보안 제품군 외에도 시스코 등 다른 장비를 사용하고 있는 환경에서도 SDSN이 작동되도록 제공하는 것이 가장 큰 차별점이다.

보안 솔루션뿐 아니라 네트워크 장비에까지 보안 정책을 배포하고 실행하기 때문에 전체 네트워크상에서 필요한 보안 기능이 작동된다. 이에 따라 주니퍼는 SDSN의 궁극적인 목표를 ‘자율주행 보안네트워크(Self-Driving Secure Network)’를 구현하는 것이라고 내세우고 있다.

주니퍼네트웍스코리아는 “SDSN은 개별 솔루션 형태로 구현하는 네트워크 보안이 아니라 ‘안전한(Secure) 네트워크’를 만드는 것이 목표”라며 “물리·가상·클라우드와 다양한 네트워크 솔루션을 사용하는 환경을 망라해 전체 네트워크상에서 자동화된 보안과 간소화된 운영관리를 구현하는 접근방식”이라고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network