글로벌 기업 ‘시스코’는 내외부 사이버위협에 어떻게 대응하나

미국 내에서 사이버공격을 가장 많이 받고 있는 기업은 어디일까? 구글도, 페이스북도 아니다. 시스코다. 미국 정부·공공기관 다음으로 시스코가 사이버공격자들의 최대 표적이 되고 있는 것으로 알려져 있다.

사이버공격자들의 집중포화를 견뎌내기 위해 시스코는 견고한 사이버보안 전략과 체계를 운영, 유지해야 한다.

전세계 6000곳에 7만5000명의 직원을 보유하고 있는 글로벌 기업인만큼 내부자 위협도 상존한다.

시스코가 채택, 운영하고 있는 핵심 보안 전략과 체계가 궁금하다. 미국 실리콘밸리(새너제이)에 위치한 시스코 본사를 방문, IT팀 보안 담당 전문가를 만나 궁금증을 조금이나마 해소할 수 있는 기회가 마련됐다. <기자 주>

시스코는 네트워크 업계 최강자다. 음성·영상 전화와 회의, 메시징 등 기업의 모바일과 클라우드 업무환경에서 원활한 협업을 가능하게 하는 플랫폼, x86 서버와 하이퍼컨버지드인프라(HCI) 등 데이터센터 IT 인프라 전반을 포괄하는 솔루션도 제공한다. 그리고 시스코는 보안기업이기도 하다.

1990년대 중반부터 침입차단시스템, 이른바 방화벽을 시작으로 보안 사업을 시작해 네트워크부터 엔드포인트, 클라우드까지 모든 영역을 포괄하는 12종의 보안 제품군을 갖추고 있다. 300명 넘는 보안전문가들로 구성된 사이버위협 인텔리전트 조직인 ‘탈로스(Talos)’는 시스코 보안 분야의 핵심 경쟁력이다. 대량으로 오가는 수많은 트래픽을 분석해 적극적으로 위협을 헌팅, 추적, 분석해 지속적으로 제품군에 반영한다.

시스코가 지난 2007년 이메일 콘텐츠 보안 선두업체인 아이언포트, 이후 2013년 침입방지시스템(IPS) 전문업체인 소스파이어를 인수한 것은 보안업계에서 크게 회자됐다. 이후에도 쓰렛그리드, 엄브렐러 등 최근까지 수많은 보안업체들을 인수해왔다.

시스코의 보안 사업 매출액은 2조원(20억달러) 이상이다. 50조원(480억달러)이 넘는 시스코 전체 매출규모 대비 보안은 4%에 불과한 수준이지만, 글로벌 보안업계 2위 규모다. 유무선 네트워크, 데이터센터, 협업 등 시스코가 벌이고 있는 다른 사업군에 비해 몇 년째 높은 성장률을 기록하고 있다.

시스코의 보안사업에 대해 설명한 이유는, 시스코는 자사가 공급하는 솔루션과 제품을 직접 활용하는 것으로 유명하기 때문이다. 자신들이 먼저 사용해 레퍼런스 아키텍처를 만들고 효과성을 검증한 뒤, 기업 고객들에게 제시하고 있다. 시스코 솔루션을 사용해 디지털 변혁에 선도적으로 대응하고, 빠른(Fast)IT 환경을 기반으로 민첩한 비즈니스 프로세스를 구축하라고. 보안 역시 마찬가지다.

인수한 보안 기업들도 직접 사용해보다 우수한 기술력을 검증해 인수로 이어진 사례가 여럿 있다. ‘스텔스워치’라는 네트워크 위협 가시성 솔루션을 제공하던 전문업체인 랜코프 인수 사례가 대표적이다. ‘소스파이어’ 인수 계기도 비슷하다.

시스코는 사이버스파이, 신원정보 탈취, 중요 데이터와 지적재산 유출 시도부터 일상적인 악성코드 공격, 내부자 위협까지 다양한 사이버공격과 위협을 받고 있다.

본사에서 만난 브라이언 크리스텐슨 시스코 IT 수석이사(Senior Director)는 “우리 팀의 목표는 시스코를 보호하는 것”이라며 “시스코는 미국 내에서 두 번째로, 공공기관 다음으로 많은 공격을 받고 있는 기업이다. 스스로를 보호하기 위해 여러 보안 기술을 개발하고 우수한 보안 기술을 사용하고 또 인수하고 있다”고 말했다.

그에 따르면, 시스코가 하루에 처리하는 트래픽과 위협의 규모는 엄청난 수준이다. 하루 47테라바이트(TB) 규모의 트래픽 검사, 1조2000억개의 네트워크 이벤트, 150억건의 넷플로우, 48억개의 DNS 레코드, 4테라바이터 규모의 데이터 등을 수집·분석한다.

크리스텐슨 수석이사는 “시스코는 보안을 비즈니스 우선순위에 두고 있다. 보안 중요성이 크게 커지면서 조직 차원에서 일관성 있는 정책을 적용하기 위해 노력하고 있다”고 강조했다.

시스코 5가지 핵심 보안프레임워크 운영…‘보안’을 성과측정 요소에 포함

시스코는 거버넌스와 운영 효율성(operational excellence), 사람, 검증된 신원, 신뢰된 리소스, 적응형 방어(탐지, 대응, 완화 조치)의 5가지로 구성된 보안 프레임워크를 운영하고 있다.

크리스텐슨 수석이사는 이와 관련 보안 전략을 소개하면서 가장 먼저 ‘보안과 서비스 간의 균형’의 중요성도 언급했다. 그는 “시스코는 IT를 ‘서비스로서의 IT(ITaaS)’로 명명하고 있다. 각 서비스별 성과 측정 요소 가운데 하나가 바로 보안”이라며 “보안 침해, 패치, 관련 처리까지 걸리는 시간 등 여러 요소로 구성된 ‘시큐리티 매트릭스’에 따라 보안을 측정해 모든 부서에서 보안 관련사항을 CIO에 보고한다”고 설명했다.

시스코는 5년 전에 최고보안책임자(CSO)직을 설치했다. IT조직과는 별도로 CSO 조직이 운영되고 있다. 최종적으로는 CIO에 보고한다. 하지만 보안관리는 구성원 모두가 해야 한다고 강조했다.

그는 이어 “‘시큐리티 매트릭스’를 적용하기 전에는 보안 부서에서 현업에 보안 정책을 준수하라고 해도 이행이 느렸지만 이제는 보안 관련 처리 속도가 굉장히 빨라졌다”라면서 “보안조직이나 보안담당자 한 명이, 또는 해당 부서 관리자만 신경 써야 하는 사항이 아니라 모두가 책임의식을 가질 수 있도록 하는데 중점을 두고 있다”고 덧붙였다.

IT 운영 측면에도 마찬가지다. 데브옵스(DevOps)를 넘어 보안까지 포함하는 ‘데브섹옵스(DevSecOps, 데브시크옵스)’ 전략을 운영하고 있다는 게 크리스텐슨 수석이사의 얘기다.

ITaaS를 제공하는 근간이 되는 데이터센터 운영도 ‘데브섹옵스’를 적용하고 있다. 데이터센터는 수많은 직원과 고객 개인정보를 포함해 중요 정보자산이 담겨있기도 하다. 지난 2011년 개소한 시스코 텍사스 데이터센터는 중요 데이터를 보호하는데 초점을 맞춰 아키텍처를 구축했다. 그 사례가 바로 데이터센터 내 세그멘테이션(분리)을 강화하고 20만개 넘는 액세스콘트롤리스트(ACL)를 적용해 운영하고 있다는 것이다.

개방된 업무환경 제공…편의성 제공하지만 보안책임은 모든 직원이 공유

시스코는 개인의 기기를 사내에 가지고 와서 업무에 사용할 수 있는 BYOD(Bring Your Own Device) 환경을 운영하고 있다. 물론 집에서도 일할 수 있다. 이전에는 BYOD를 막기도 했지만 개인이 원하는 기기를 사용하도록 허용하고 있다. 개방적인 업무환경을 운영하고 직원들이 최고의 사용자 경험을 누리도록 하는데 더욱 힘쓰고 있다. 보안 접근방식도 그에 맞게 변화했다.

예전에는 업무 PC에 패스워드를 적용하는 것에 그쳤지만 이제는 사용자 기기가 신뢰할 수 있는지 먼저 체크한다. 허용된 기기가 아니거나 보안기준을 충족하지 못하면 회사 네트워크 접속을 차단하고 격리해 조치를 취한다.

노트북, 휴대폰 등을 신뢰된 기기로 인증받기 위해서는 기기를 등록해야 한다. 안티멀웨어 설치, 암호화 설정, 소프트웨어 패치 적용, 원격 삭제(Remote Wipe) 기능 구현, 패스워드·화면 잠금 적용 등 다양한 조치가 적용돼 있어야 한다. 그리고 사용자 본인 확인 절차도 거쳐야 사내 네트워크 접속이 가능하다. 본인 확인 절차는 인증서와 지문 등을 사용한 생체인증까지 다양한 인증방식을 활용토록 하고 있다.

시스코는 직원 대상 보안교육도 상시적으로 진행하고 있다. 개발자와 엔지니어들이 시큐어코딩을 비롯해 내부 보안정책을 준수하도록 교육하는 것은 물론, 직원들에게 사내 업무메일로 가장한 피싱 이메일을 보내 직원들이 클릭할 경우 위험에 처할 수 있다는 것을 실제 인지할 수 있게 훈련하는 교육도 진행한다. 사이버위협의 60% 이상이 피싱 이메일을 통해 이뤄지기 때문이다.

실제로 처음에는 60%의 직원들이 이메일 첨부파일을 클릭했지만 교육 후에는 10% 미만으로 떨어지는 즉각적인 효과를 얻었다. 다양하게 수행하는 보안교육은 수준별 등급을 만들어 직원들이 스스로 상위등급을 받을 수 있도록 일종의 보상 정책을 운영하고 있다.

위협 탐지·대응조치는 신속하게…“8시간 이내 탐지, 24시간 이내 조치 완료”

시스코는 24시간 365일 운영되는 보안관제센터인 보안운영센터(SOC)도 인도, 미국을 포함해 세 곳을 운영하고 있다.

위협 방어는 지속적으로 발전해나가는 ‘적응형 방어(Adaptive Defense)’ 전략을 운영하고 있다. 다양한 첨단 보안 기술을 사용하는 것은 물론, 실시간 수집되고 있는 방대한 위협 데이터들과 탈로스에서 추적하는 사이버공격조직들의 공격수법 등을 정의한 200여개 ‘플레이북’에 기반해 빠른 대응조치를 수행한다.

크리스텐슨 수석이사는 “시스코는 어떠한 사이버침해도 8시간 안에 파악할 수 있다. 24시간 이내에 조치(Remediate)하는 것이 목표이며, 현재는 평균 17시간이 걸리고 있다”라면서 “특정 기기가 악성코드 공격을 당했다면 이를 탐지해 빠르게 치료하고 있다”고 설명했다.

앞으로 계속해서 사내에 침투한 위협을 탐지하고 대응조치 하는데 걸리는 시간을 줄여나갈 계획이다. 그 방법으로는 “머신러닝, 인공지능(AI)이 도움이 될 것”이라고 운을 떼며 ‘자동화’ 필요성을 강조했다.

그는 “확실치 않은 인시던트(사건)를 빠르게 파악해 그 규모를 줄여나가는 것이 필요하다”라면서 “지금은 사람이 비정상 행위를 분석해 파악해 조치하는 정책을 만들고 있지만 궁극적으로는 사람의 개입을 줄이고 자동화된 위협 탐지가 이뤄지게 하는 것이 목표”라고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network