“지능화되는 보안위협에 대한 새로운 접근 방법은 가시성을 높이고 개방을 통한 협업으로 보안성을 높이는 것이다.”
정관진 시스코코리아 부장은 10일 서울 삼성동에서 열린 ‘제 15회 차세대 보안 비전(The Next Generation Next Security Vision) 2016’에서 ‘지능형 위협 대응 차세대 IPS 기준, 개방과 가시성’ 주제의 발표를 통해 이같이 설명했다.
최근 사이버 공격자들은 정상적인 리소스에 침투해 탐지를 어렵게 하며, 수익을 높일 수 있도록 사업을 전개하고 있다. 지능화되는 공격을 사전에 차단하는 방법으로 ‘인텔리전스’를 꼽을 수 있으며, 오픈소스 커뮤니티를 통해 정보를 공유하고 기능을 개발시킴으로써 사용자가 개발자가 함께 솔루션을 강화할 수 있다. 커뮤니티 구성은 구성원 간의 협업을 통해 복잡한 보안 문제를 해결하고, 기술적인 우수성을 입증하고 상호간의 신뢰 기반으로 리더십을 유지할 수 있다.
전 세계에서 가장 많이 사용하는 오픈소스 IPS/IDS 엔진 ‘스노트’는 시그니처 기반 탐지 패턴을 공개해 이벤트를 확인하고 빠르게 위협에 대응할 수 있으며, 사용자가 애플리케이션을 탐지하기 위한 오픈소스 기반 언어 오픈앱ID(OpenAppID)를 이용해 애플리케이션 확장을 가능하게 한다. 또한 오픈소스 안티바이러스엔진 캄AV(ClamAV)를 탑재해 더욱 효과적인 탐지 정책을 수행한다.
정관진 부장은 “보안도 오픈소스의 개방·공유 이상을 접목하면 더욱 지능화된 방어가 가능해진다. 모든 정보를 공유하고 부족한 것은 가져오는 전략으로 진화하는 공격에 대응할 수 있다”고 강조하며 “차세대 IPS는 사람, 프로세스, 기술 세 가지 요소의 조합을 통해 실제로 수행 가능한 협력 방안을 수립하고 실행해야 하며, 개방을 통한 협력을 이끌어내야 한다”고 강조했다.
이러한 이상을 기반으로 설계된 IPS 플랫폼 ‘SSP(Security Service Platform)’은 개방과 가시성을 높인 위협 중심 통합을 제공한다. 실시간 자산 인식 기반의 최적화된 침입탐지 패턴 룰을 제공하고, 위협영향도 평가와 상관관계 분석을 지원한다.
SSP 기반 차세대 IPS 솔루션 ‘시스코 파이어파워 NGIPS’는 더 많은 위협을 차단하고 더 많은 상황을 인지하며, 복잡성을 감소시킨다.
정 부장은 “보이는 보안 위협은 전체 공격의 극히 일부분에 불과하다. 더 많은 위협을 파악하고 대응할 수 있는 방법은 개방, 공유, 협업이라는 ‘오픈소스’의 이상을 통해 실현될 것”이라고 강조했다.
