시스코의 ETA(Encrypted Traffic Analytics)는 암호화 트래픽을 복호화하지 않은 상태로 분석하고 위협을 탐지하는 솔루션이다.
암호화 트래픽 사용량이 증가하면서 암호화로 보안 분석 시스템을 우회하는 공격도 크게 늘어나고 있다. NSS랩에 따르면 2019년 보안 공격의 70% 이상이 암호화 기술을 사용할 것이라고 예측했다.
암호화 트래픽에 숨은 공격을 탐지하기 위해 보안 솔루션이 암복호화 기능을 개선하고 있으며 복호화 전용 솔루션을 이용하지만, 암호화된 트래픽은 해독하고 분석한 후 재 암호화하는 과정에서 정보유출 위험에 노출되며 성능저하가 일어나 비즈니스에 영향을 줄 수 있다.
가장 이상적인 암호화 트래픽 분석 방법은 네트워크 전반에서 암호화된 상태로 사용자에게 위협이 되는 공격인지 여부를 판단하는 것이며, 네트워크 속도 저하를 일으키지 않고 인프라에 영향을 주지 말아야 한다.
시스코 ETA는 암호화 트래픽을 해독하지 않고 분석할 수 있는 솔루션으로, 패킷의 길이, 전달 시간, 순서, 바이트 분포, 최초 데이터 패킷의 암호화 정보 등을 사용해 암호화된 트래픽을 분석한다.
네트워크 기반 분석으로 암호화 트래픽 위협 가시성을 확보하고, 사용자와 장비의 상관관계 분석을 통해 상황별 위협 정보를 제공한다. 또한 기업이 암호화 프로토콜을 준수하고 있는지, 네트워크에서 암호화 된 것과 되지 않은 항목의 현황 파악 등의 기능을 제공한다.
ETA는 시스코의 다년간 네트워크 경험과 지식, 방대한 정보가 축적된 분석엔진, 이 모든 것을 연계하는 솔루션이 유기적으로 통합돼 만들어졌다. 시스코 보안인텔리전스 연구그룹 탈로스(Talos)의 사이버 인텔리전스와 연결해 머신러닝을 기반으로 설계됐다. 악성코드에 감염된 단말가 사용자를 신속하게 파악하며, 네트워크 장비를 보안 센서로 활용해 추가 보안 투자 비용을 최소화한다.
클라우드까지 포괄하는 네트워크 분석 제공
ETA는 ‘카탈리스트(Catalyst) 9000’ 스위치, 트래픽 모니터링 솔루션 ‘스텔스와치(Stealthwatch)’, 분석엔진 ‘CA(Cognitive Analytics)’로 구성된다. ‘카탈리스트 9000’ 스위치는 유무선 액세스 네트워크의 다양한 정보를 수집하고, 네트워크 엣지부터 클라우드까지 포괄하는 정책 기반 자동화를 제공한다.
‘스텔스와치’는 방화벽, 스위치, 라우터를 포함한 네트워크 장비에서 생성하는 넷플로우 정보를 기반으로 네트워크 전반에 대한 비정상적인 트래픽이나 이상 징후를 모니터링하며, 위협요소 발견시 차단하거나 격리한다.
스텔스와치를 활용하면 이상 행위를 하는 내부 사용자가 얼마나 있는지, C&C 서버와 통신하고 있는 의심 단말이 무엇인지, 공격에 악용되는 장비, 디도스 공격 소스, 내부 데이터 수집이나 유출하는 현황 등을 파악할 수 있다.
시스코 스텔스와치에 적용돼있는 클라우드 기반 분석엔진 ‘CA’는 머신러닝과 통계 모델링을 적용하여 메타데이터를 분석하게 해 웹과 네트워크 트래픽에 대한 가시성을 제공한다. CA는 암호화된 트래픽에서 위협적인 패턴을 찾아내고, 영향을 받는 사용자 및 경로를 자세히 제공해서 보안사고에 빠르게 대처할 수 있도록 한다.
