“스마트 데이터로 지능형 사이버 위협 극복 가능해”
상태바
“스마트 데이터로 지능형 사이버 위협 극복 가능해”
  • 데이터넷
  • 승인 2019.09.11 10:39
  • 댓글 0
이 기사를 공유합니다

실시간으로 최신 위협 정보 제공 … 안정적이고 최적화된 IT 운영 뒷받침
▲ 손용낙 넷스카우트코리아 상무

[데이터넷] 디지털 비즈니스 트랜스포메이션을 위해 디지털 자산을 어떻게 집중하고 활용하느냐는 기업들이 직면한 과제 중 하나다. 특히 디지털 비즈니스는 하드웨어 시스템은 물론 사람, 서비스, 데이터 등 IT 요소가 반드시 뒷받침돼야 한다. 따라서 기업의 핵심 자산을 실제로 관리, 인식 및 모니터링 방법의 혁신이 필요하다. 보안 및 네트워크 운영(NetOp·SecOp)을 위한 넷스카우트 조기경보 플랫폼을 중심으로 디지털 비즈니스를 위한 새로운 접근법으로, 이번에는 지능형 공격·위협으로부터 강력한 비즈니스 보호 방안을 살펴본다. <편집자>

오늘날 시시각각 진화된 모습으로 나타나는 사이버 위협은 때로는 보유하고 있는 파괴력보다 더 큰 공포로 사람들을 두려움에 떨게 만든다. 이처럼 다변화되는 사이버 보안 위협으로부터 생존하기 위해서는 최신의 위협 정보를 실시간성으로 제공해 보안 위협에서 얼마나 신속하고 정교하게 자산을 보호할 수 있을지, 사고 이후의 머신 데이터가 아닌 라이브 트래픽을 통해 얼마나 정확하고 상세하게 실시간 감지 및 분석을 수행할 수 있는지가 매우 중요해졌다.

▲ 퍼스트·라스트 라인 스마트 자동 방어

지능형 사이버 공격 위협 만연
넷스카우트는 지난 2015년 글로벌 DDoS 방어 부문의 기술 및 시장 리더인 아버네트웍스 인수를 통해 엔드투엔드 서비스 성능 모니터링 및 분석에서 보안 영역으로 비즈니스를 확대했다. 넷스카우트 아버가 조사한 사이버 공격의 타깃 분포도를 보면 개인사용자를 비롯해 금융, 클라우드/호스팅, 정부, 공공, 게임, 교육, e커머스, 겜블링, 제조, 헬스케어, 사회기간산업, 법률서비스 등의 순서로 공격을 받고 있는 것으로 나타났다.

또한 ISP의 22%는 네트워크에 연결돼 있는 IoT 디바이스에서 발생하는 공격을 경험했다고 응답했고, 사용자의 36%는 클라우드 서비스를 대상으로 한 공격을 직접 확인했다고 답했다. 이처럼 위협은 다변화하고 있으며, 지금 이 시간에도 쉴 새 없이 진행되고 있다.

특히 DDoS 및 지능형 사이버 위협 공격의 파괴력이 커짐에 따라 사용자들의 직접적인 금전 피해도 빠르게 늘고 있다. 넷스카우트 설문 응답자의 절반 이상은 지난해 대비 두 배에 달하는 피해를 겪었다고 응답했다.

넷스카우트 아버가 최근 발표한 ‘글로벌 인프라스트럭처 보안 보고서’에 따르면 기업, 정부, 공공, 교육부문 사용자들은 실제 위협보다 최대 6배 이상 보안에 대한 위협을 느낀 것으로 나타났다. 지난 사이버 공격의 특징은 해커들이 대규모 공격을 넘어 IoT 디바이스를 무기화해 활용하는 등 복잡성을 띄고 있으며, DDoS 및 지능형 사이버 위협 공격으로 인해 매출 피해를 입은 기업은 매년 2배 이상 증가할 정도로 매우 효과적이었다. 이는 지능형 사이버 공격 위협이 만연해 있다는 것을 의미한다.

다양한 기술을 통해 짧은 시간에 다계층 또는 순차적으로 여러 계층에 공격이 이뤄지는 멀티벡터 DDoS 공격이 증가하고 있다는 사실은 사용자들을 교란시키기 위한 위협이 그 만큼 진화하고 있다는 것과 일맥상통한다. 따라서 지능형 사이버 위협을 얼마나 스마트하게 극복해 내느냐가 중요하며, 빠르게 다변화되고 있는 지능형 사이버 위협을 극복하기 위해서는 넷스카우트 아버의 스마트 데이터인 ‘AIF(ATLAS Intelligence Feed)’가 그 해결책이 될 수 있다.

다양한 DDoS 공격·위협 차단 지원
넷스카우트 아버의 DDoS 미티게이션 솔루션은 가트너 DDoS 미티게이션 부문에서 수년간 리더로 선정되며 관련 시장을 주도하고 있다. 현재 전 세계 400개 이상의 통신사업자, 이동통신사업자 및 서비스 제공사에서 사용중으로, 전 세계 인터넷 트래픽의 1/3 이상을 분석하고 있다.

아버는 전략적으로 위치한 서비스 공급자 코어를 통해 AIF라는 사이버 보안 관점의 스마트 데이터를 생성한다. 이것이 바로 넷스카우트 아버의 DDoS 공격 조기 경보 시스템의 핵심 기술인 스마트 데이터(아틀라스 글로벌 DB, AIF)다.

넷스카우트의 DDoS 공격 조기 경보 시스템은 30개 이상의 봇넷을 관찰해 넷스카우트 보안 엔지니어링 대응팀(ASERT)의 봇넷 추적 프레임 워크와 C2 활동을 포착하도록 설계된 봇 에뮬레이터 리플리컨트(Replicants)로 추적한다. 이후 탐지된 봇넷 명령을 수집하고, 세심히 검토한 후 IP, CIDR, 도메인 등 등록된 자산과 매일 대조해 위협 요소가 일치하는 경우 세부 내역을 사용자의 이메일로 통보한다. 그리고 고급 사이버 위협을 식별하고, 차단하는 데 초점을 맞춘 AIF는 DDoS 레퓨테이션 위협, 명령 및 제어, 멀웨어, 위치 기반 위협, 이메일, 표적, 모바일 등 다양한 공격을 방어한다.

아버 아틀라스는 시간당 전 세계 인터넷 트래픽의 1/3을 측정할 수 있어 위협 관련 행위와 이를 기반으로 한 분석을 통해 최신의 공격 정보를 수집하고 기업들이 최신 공격을 방어할 수 있게 수집된 최신의 공격 정보를 고객들에게 실시간으로 제공하고 있다.

넷스카우트 아버 솔루션은 스마트 데이터를 기반으로 기업 내부에서는 아버 어드밴스 프로텍션 시스템으로, 인터넷에서는 아버 클라우드, 아버 위협 미티게이션 시스템, 아버 SP로 계층적 방어체계를 구현할 수 있다. 몇몇 벤더들은 신뢰할 수 있는 최신 공격 정보 확보를 위해 넷스카우트 아버의 AIF를 제공받고 있다.

기업용 DDoS 공격 및 지능형 사이버 위협 방어 솔루션인 아버 엣지 디펜스(AED)는 세션고갈 공격이나 애플리케이션 공격 방어에 특화된 장점을 가지고 있으며, 많은 세션을 유발하는 L4~7 공격에도 성능저하 없이 방어할 수 있는 스테이트리스 아키텍처를 기반으로 하고 있다. 또한 기업 외부에서 내부로 들어오는 인바운드, 기업 내부에서 외부로 나가는 아웃바운드의 다양한 DDoS 공격 및 위협 차단을 지원한다.

▲ 넷스카우트 스마트 데이터 기반 접근법

APT에 대한 위협 탐지·포렌식 제공
넷스카우트 스마트 데이터는 기업내 SIEM(보안관제시스템, 보안정보 및 이벤트 관리 플랫폼)과 연계해 내부에 존재하는 잠재적인 위협요소인 봇넷, 멀웨어와 같은 APT에 대한 위협 탐지 및 포렌식을 제공한다.

오늘날 일반적인 엔터프라이즈를 살펴보면 SIEM을 사용해 여러 소스의 데이터를 상호 연관시킨다. 따라서 SIEM 플랫폼에 의해 생성된 경고의 경우, 포렌식팀은 일어난 일과 영향을 받은 시스템을 결정해야 한다. 하지만 보안팀은 패킷 데이터를 전혀 사용하지 않는다.

그러나 포렌식팀은 경고에 대한 정확한 근거를 확인하기 위해 세션에 액세스해야 하며, 경고에 속한 패킷에 액세스해야 한다. 와이어 데이터를 사용하는 보안 플랫폼이 없기 때문에 보안팀과 포렌식 분석가들은 원시적인 와이어샤크(Wireshark)와 같은 툴을 활용하고 스프레드시트로 통해 분석을 수행해 분석 시간이 지연될 수밖에 없다.

오늘날에는 SIEM에서 발생되는 경보의 50%를 보안 분석가는 무시하고 있지만 실제 위협은 줄어들지 않으며 기업은 IT부서가 아닌 미디어를 통해 보안 침해에 대한 내용을 알게 된다는 것이 현실이다. 이는 위협 탐지, 관리 및 포렌식 관점에서 기업의 전반적인 대응 전략에 중대한 영향을 미친다.

넷스카우트의 신뢰할 수 있는 데이터 또는 정교하게 제공되는 스마트 데이터는 결국 패킷이나 와이어 데이터다. 넷스카우트는 이러한 와이어 데이터에 기반한 스마트 데이터를 SIEM과 연계해 어떤 행위들이 있었는지에 대한 증적 및 분석을 통해 보다 신속하고 정확하게 문제 해결책을 제시한다.

보안을 위한 전제조건은 스마트 데이터를 통해 얼마나 정확하게 분석하고 관리할 수 있는지 여부다. 스마트 데이터는 실제 가치를 만들어낼 수 있는 양질의 데이터로, 빅데이터에서 정확하고 의미 있는 정보 추출과 세심한 분석 및 활용을 통해 정확하게 분석하고, 증적할 수 있는 강력한 통찰력을 제공한다.

▲ 암호화 트래픽 인라인 보안 가시성

인라인 보안 솔루션으로 투자·운용 비용 절감
최근 DDoS 공격 및 지능형 사이버 보안 위협이 지속적으로 진화해나감에 따라 기업 내의 안티DDoS, 차세대 방화벽, 침입차단 시스템과 같은 보안 장비의 수는 늘어나고 있다. 하지만 대부분의 보안 장비들은 인라인 방식으로 네트워크에 설치됨에 따라 소프트웨어의 비정상 동작이나 전원 장애와 같은 보안 장비 자체의 장애 발생 시와 펌웨어 업데이트 시에는 네트워크 중단 및 안정성이 흔들리고 비즈니스 연속성이 중단되는 결과를 초래하게 된다.

뿐만 아니라 인라인 방식의 구조상 보안 장비들이 불필요한 트래픽까지 처리하는 경우가 발생하게 된다. 이에 고객은 필요한 용량보다 큰 보장 장비를 도입할 수밖에 없고, 이는 불필요한 투자를 야기시키게 된다.

넷스카우트는 이러한 비효율적인 구조적 문제를 해결할 수 있는 인라인 보안 솔루션을 제공한다. 고객은 넷스카우트의 인라인 보안(인라인 바이패스) 솔루션을 통해 최소한의 비용으로 확장이 용이하고, 서비스 안정성 및 관리 편의성이 증대되고, 어떠한 장애 시에도 무중단 서비스 체계를 구축할 수 있다. 

넷스카우트 인라인 보안 솔루션은 전체 보안 인프라에 대한 투자 및 운용 비용 절감 효과를 제공할 뿐 아니라 보안 장비별로 필요한 데이터 또는 트래픽만 선택적으로 전송하는 필터링 기술을 통해 보다 운용 효율화도 지원한다. 예를 들면 웹방화벽(WAF)과 같이 전체 트래픽이 아닌 웹 트래픽만 처리하는 경우에는 필터링 기술을 활용해 웹 트래픽만 선별적으로 WAF로 전송해 트래픽 전송을 최적화하게 된다.

스마트 데이터 기술로 차별화
다시 한 번 강조하지만 갈수록 진화하는 사이버 보안 위협으로부터 생존하기 위해서는 실시간으로 최신 위협 정보를 제공해 보안 위협으로부터 신속하고 정교하게 자산을 보호할 수 있는지가 중요하다. 또한 사고 이후의 머신 데이터가 아닌 라이브 트래픽을 통한 정확하고 상세한 실시간 감지 및 분석 체계를 갖추는 것 역시 필요하다.

이것이 바로 특허를 받은 스마트 데이터 기술을 기반으로 하는 넷스카우트 사이버 보안 조기 경보 시스템의 차별점이라 할 수 있다. 또한 데이터센터, 브랜치, 스마트팩토리, 클라우드, 가상화 환경 등의 위치는 물론 5G, 와이파이, VDI, IoT 등의 디바이스 환경과 상관없이 네트워크 및 애플리케이션 계층의 성능 모니터링을 통합하고, 서비스 운영 및 사이버 공격 위협 전반에 걸친 가시성을 제공해 보다 안정적이고 최적화된 IT 운영을 뒷받침한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.