보안 게임 승리 전략

winning the security game

보안 게임 승리 전략

시스코 시큐리티 매니지먼트 슈트로 자기방어 네트워크 완결


네트워크 종단지점들은 너무 많고 네트워크 내부의 구성요소들도 너무도 많다. 그리고 중요한 비즈니스와 함께 하는 많은 애플리케이션들이 여기에 의존하고 있다. 위협으로 인해 네트워크와 비즈니스가 위험에 빠질 수 있는 시간은 며칠에서 불과 몇 초가 됐으며, 그러는 동안 위협이 다가오지 못하도록 지키는 데 필요한 경계 방안들도 기하급수적으로 늘어났다. 어떠한 좋은 방어든 마찬가지겠지만 적을 이기기 위해서는 적보다 더욱 똑똑하고 전략적이어야만 한다. 네트워크 보안과 같은 기술 게임에서는 강력한 기반 기술도 승리의 중요 조건이다.

위협이 계속 늘어나고 위험 강도가 세지면서 이들을 탐지하고 물리치는 기술도 독립적으로 작동하는 방화벽, 안티바이러스 프로그램 및 스팸 탐지기 등에서부터 사실상 실시간 대응이 가능한 협업적인 통합 어댑티브(adaptive) 방안들로 함께 발전해 왔다. 시스코의 보안 및 애플리케이션 시장 담당 부사장인 제프 플래톤(Jeff Platon)은 "시스코의 목표는 자동으로 위협을 저지 및 제어하고 연결성을 보호한다는 두 가지 중대한 작업을 수행하는 완전 배치가 가능한 자기방어 네트워크(Self-Defending Network)였다"며 "이 목표가 이제 실현 되었다"고 밝혔다.

시스코는 지난 수 년간 위협의 식별, 방어 및 적응(identify/prevent/adapt)이라는 3단계 저지 기법을 특성으로 하는 자기방어 네트워크 시리즈를 발표해 왔다. 가장 밑 단계는 네트워크에 있는 어떠한 종단지점이나 장소들에 있는 위험한 행동을 탐지 및 경감시키는 제품들로 구성된다. 이러한 제품들은 네트워크 구성요소 속으로 혹은 구성요소와 함께 통합(integrated)됨으로써, 네트워크 구성요소 계층에서 방어벽을 배치하고 정책을 시행할 수 있게 된다. 다음 단계에서는 제품들이 서로 간에 협업(collaborate)을 한다. 즉, 예를 들어 침입 방지 디바이스는 ACL(access control list)에게 위협으로의 액세스를 거부하라고 말할 수 있다. 가장 위 단계에서는 제품과 기술이 적응(adaptive)을 한다. 어떤 것들은 어떤 패킷에든 파고 들어가(dig into) 그 발원지와 목적지, 페이로드(payload), 그리고 트래픽 흐름이나 개별적인 커뮤니케이션의 행동이나 컨텐츠를 평가할 수 있는 데이터를 파악하기도 한다. 따라서 침입자가 안으로 들어오기 전에 미리 탐지 및 차단을 시킬 수 있다.

이러한 제품과 기술들을 자기 방어 네트워크를 형성하는 기본 구조물이라고 한다면, 지난 2월 소개된 시스코 시큐리티 매니지먼트 슈트(Cisco Security Management Suite)는 이 네트워크의 초석이라고 할 수 있다. 플래톤은 이것을 모든 것을 함께 이어주는 최종적인 중심 조각이라고 표현했다. 이 슈트는 네트워크에서의 운영 제어와 정책 관리를 포괄하는 두 가지 관리 툴로 구성돼 있다. 각각 시스코 시큐리티 매니저(Cisco Security Manager)와 시스코 시큐리티 MARS(Monitoring, Analysis and Response System)의 개정 버전이다. 이 둘은 상호 연결되기 때문에 하나의 정보를 다른 것에서 사용할 수 있다. 이러한 협업 능력 덕분에 중앙에서 위협을 간파하여 글로벌하게 네트워크를 보호할 수 있다.

시스코는 또한 지난 2월 시스코 ASA 5500 시리즈 적응형 보안 어플라이언스(ASA, Adaptive Security Appliance)에서 종단지점 보호 강화라는 새로운 초석을 발표했다. 이것은 사용 가능한 가장 포괄적이고 깊이 있는 위협방지 시스템일 뿐만 아니라, 최고 5천 개의 SSL(Secure Sockets Layer)이나 IPsec(IP Security) VPN까지 구축할 수 있는 능력을 갖추게 되었다.

플래톤은 "시스코가 아직 보안 제품 개발을 완전히 끝냈다는 얘기는 아니다"라며 "하지만 자기방어 네트워크를 단순히 하나의 전략 차원에서 얘기하는 대신 처음으로 고객에게 하나를 배치하라고 말할 수 있게 되었다"고 말했다.


보안 관리 'CSM으로 손쉽게'


네트워크 관리자는 단 하나의 시스템, 즉 시스코 시큐리티 매니저를 이용해 네트워크 전체에 있는 시스코 방화벽, 라우터 및 어플라이언스에서 방화벽과 VPN, IPS(intrusion prevention) 정책을 구성할 수 있다. 이는 복잡한 일도 아니다. 예를 들어 전체 네트워크에서 인스턴트 메시징 같은 트래픽 유형에 제한을 두는 데는 몇 번의 클릭이면 족하다. 그러면 이 구성은 시스코 ASA, IOS 소프트웨어 라우터, PIX 방화벽, 카탈리스트 스위치, 혹은 재택근무자가 사용하는 가정의 라우터에 이르기까지 영향을 받는 시스코 시스템 어디에든 배치가 될 수 있다. 시스코 시큐리티 매니저는 정책을 시행하는 디바이스로부터 이들을 독립시키기 때문에, 정책은 각각의 장비에 맞게 관리자가 번역할 필요 없이 네트워크에서 공유될 수 있다. 이러한 '정책 추상화(abstraction) 및 공유' 능력 덕분에 생산성이 향상되고, 통일성이 보장되며, 규정준수(compliance)가 보다 잘 이행될 수 있다.

시스코 시큐리티 매니지먼트 슈트의 제품 마케팅 매니저인 캘빈 채(Calvin Chai)는 "더이상 고객은 서로 다른 포인트 제품들을 골라 놓고 서로간에 소통이 되지 않는다는 사실을 깨달을 필요가 없다"며 "게다가 네트워크 관리자는 시스코 시큐리티 매니저를 이용해서 소매점과 같이 많이 분산된 목적지로 구성과 정책을 푸싱할 수 있다. 점포의 직원이 피어 투 피어(peer-to-peer) 파일 공유를 사용하기를 원치 않을 경우 일단 중앙에서 정책을 정의해 두면 시스코 시큐리티 매니저가 모든 관련 디바이스에서 이것이 구성되게 보장해 준다. 디바이스가 유지보수 때문에 다운되거나 그 점포에서 전원이 나갈 경우에는 디바이스가 재시동될 때 업데이트를 요청한다. 이것은 단순히 전통적인 푸시 모델이 아니다"라고 설명했다.

시스코 시큐리티 매니저가 네트워크를 구성한다면, 시스코 시큐리티 MARS 4.2 버전은 이것을 모니터링하고 분석한다. 시스코 시큐리티 MARS는 전체 네트워크 보안 사건의 집합과 보고를 종종 실시간으로 상호 연관시키며, 위협의 정밀 제거(precision removal)를 권장한다. 그리고 영향 받은 지점이 네트워크 어디에 있는지, 위협 완화를 위한 최상의 지점이 어디인지를 시각적으로 네트워크 관리자에게 보여준다.

예를 들어, 시스코 시큐리티 MARS는 PDA의 브라우저를 통해 비정상적인 데이터 요청 패턴을 감지할 것이다. 이것은 자신을 네트워크로 연결시키고 있는 VPN과 PDA, 자신이 통과하는 라우터, 그리고 이 패턴이 위협을 제시하고 있는지 여부를 보여준다. 그리고 감지된 위협에 따라 디바이스나 VPN, 혹은 내부 네트워크 경로를 폐쇄하라는 등 공격적 요소를 저지할 수 있는 최상의 방안을 권장한다. 시스코 시큐리티 MARS는 또한 규정 및 준수 보고서용으로 자기가 수집하는 엄청난 양의 데이터를 분석할 수도 있다. 이런 각각의 시스템은 별도로도 가치를 발휘하지만 함께 사용될 때 막대한 부가 혜택을 가져다 줄 수 있다.

채는 "네트워크 관리자는 방화벽이 시스코 시큐리티 MARS에 로그온할 때 그 이벤트를 보고, 이것이 유발된 원인을 알고 싶을 경우 이 로그를 선택해서 포함된 네트워크 행동을 확인할 수 있다. 또한 아이콘을 클릭하고 시스코 시큐리티 매니저를 자동으로 띄워서 그 이벤트가 로깅되도록 한 디바이스의 규정을 볼 수 있다"며 "관리자는 즉각적 수정(fix)을 요구할 수도 있다. 애플리케이션을 매우 효율적으로 드릴 다운(drill down)할 수 있는 능력은 장애관리 시간을 절약해 주고, 네트워크의 가용성을 대폭 향상시킨다"고 밝혔다.

안티-X 들여다보기
시스코 시큐리티 테크놀로지 그룹의 조엘 맥팔랜드(Joel McFarland)는 "안티-X 보호는 게이트웨이 보안을 크게 향상시키기 때문에 규모가 큰 고객의 필요를 충족시킬 수 있다"며 "시스코는 트렌드 마이크로(Trend Micro)의 인터스캔(InterScan) 보안 슈트를 시스코의 PIX 방화벽이나 IPS와 같은 몇 가지 자체 기술에 결합시켜 그 깊이와 폭에 있어 시장에서 비할 바 없는 제품을 만들어 냈다. 예를 들어 안티-X 보호 방안에는 보통의 안티바이러스 제품들처럼 수백 개가 아니라 수만 개의 서명(signature)이 포함돼 있으며, 여전히 '야생 상태'에 있는 위협들 뿐만 아니라 보다 안정화가 된 것들까지 계산에 넣을 수 있다"고 말했다.

종단지점에 대한 위협 검색에서는 e-메일과 같은 파일 기반 커뮤니케이션에 저장 후 전송(store-and-forward) 기술을 적용시켜, 깨끗하다는 게 검증될 때까지 이들을 붙잡아 둔다고 맥팔랜드는 설명했다. 네트워크에 대한 위협 검색에서는 트래픽 흐름과 심지어 일부 개별적인 패킷들까지 점검을 한다. 세분화된 정책 제어(granular policy control) 덕분에 레벨 3와 4에서 개별적 종단지점이나 특정 로케이션의 종단지점을 특정 시간대나 요일에 거부하거나, 혹은 특정 부분의 회사 자원으로만 액세스를 허용할 수도 있다.


사용법 '간단·깔끔'


보안 제품 개발 전반에 걸친 시스코의 목표 중 하나는 간단한 사용법이다. 시스코 ASA 5500 시리즈 ASA 버전 7.1은 보안 접속성과 폭넓은 종단지점 및 네트워크 위협 방어 두 가지를 하나의 구성요소로 통합시킨 제품이다. 사용자는 안티-X, VPN, IPS 및 방화벽 등 네 가지 에디션 가운데서 선택을 할 수 있기 때문에 자신들의 보안 요건에 맞게 ASA 배치를 맞춤화할 수 있다. 시스코 시큐리티 테크놀로지 그룹의 선임 관리자인 조엘 맥팔랜드(Joel McFarland)에 따르면, VPN 에디션은 원격 근로자 링크를 보호하려고 하는 기업들에게 이상적이며; 안티-X는 주로 네트워크 위협으로부터 종단지점을 보호하는 데 관심이 있는 조직에게; IPS는 서버를 비롯한 다른 네트워크 내부 요소들이 더 염려되는 조직에게; 그리고 방화벽 이디션은 차세대 어플라이언스로서 시스코 PIX 방화벽의 입증된 능력을 원하는 사람들에게 적합하다고 한다.

CSC-SSM(Cisco Security and Control Security Services Module)에 내장된 안티-X 소프트웨어는 ASA 5500 시리즈 시스템이 VPN의 일부든 아니든 관계없이 바이러스, 스팸, 피싱(phishing) 및 키로거(keylogger) 뿐만 아니라 부적절한 URL과 공격적 컨텐츠 등 종단지점 자체를 목표로 하는 몰웨어(malware); 트로이 목마, 웜 및 스파이웨어처럼 네트워크를 목표로 하는 몰웨어 등 모든 종류의 위협들로부터 모든 종단지점을 보호할 수 있도록 해준다. 따라서 직원이 회사 정보를 뜻하지 않게 피셔나 스파이웨어에게 주거나, 오염된 파일이나 프로그램을 다운로드하거나, 스팸을 받거나, 업무와 상관없는 웹사이트로 액세스하지 못하도록 하나의 시스템에서 막을 수 있다. 다시 말하자면, CSC-SSM은 정보와 자원뿐만 아니라 클라이언트와 아이덴티티를 보호하고; 해커와 서비스 거부(denial-of-service) 공격을 막으며; e-메일, 웹 브라우징 및 파일 상호교환을 지키고; 규정준수를 목적으로 커뮤니케이션 검증을 제공할 수 있다.

시스코 ASA 5500 시리즈 VPN 에디션은 기업 로케이션들간에 원격 사용자와 사이트간 링크를 모두 지원한다. 원격 사용자는 역동적으로 다운로드되는 클라이언트 소프트웨어를 통해 SSL VPN을 수립하거나, 미리 설치된 클라이언트 소프트웨어를 이용해 IPsec VPN을 만들 수 있다. ASA는 또한 인터넷에서 클라이언트리스(clientless) VPN을 지원한다. 이는 비즈니스 파트너나, 공중 인터넷 단말기나 가정 PC를 사용하는 직원들 같이 커뮤니케이션용으로 조직에서 소유한 디바이스를 사용하지 않는 원격 사용자에게 특히 유용하다. 버전 7.1은 대형 조직에서 동시에 지원 가능한 SSL 및 IPsec VPN 수가 2천500개에 이른다. 이는 이전에 가능했던 양의 다섯 배에 이른다. 앞으로는 5천 개의 동시 세션도 가능해질 전망이다. 다중 시스템용으로 내장된 로드 밸런싱(load-balancing) 기능은 회사에서 수만 명의 동시 사용자를 지원할 수 있게 해준다. 단일 시스템이기 때문에 보다 나은 관리성과 저렴한 비용을 위해 서로 다른 종류의 VPN을 확보하는 데 필요했던 장비들이 필요치 않게 되었다.

시스코의 원격 액세스 VPN 제품 라인 매니저인 피트 데이비스(Pete Davis)에 따르면, 원격 액세스 VPN용으로 사용 가능한 기능의 종류와 양은 계속 확장되고 있다고 한다. 버전 7.1에는 시스코 시큐어 데스크탑(Cisco Secure Desktop)이 포함되었다. 이것은 SSL 종단지점을 지킨다. 사용자가 회사에서 관리하는 PC에서 작업을 하든, 개인 장비로 하든, 아니면 공중 단말기에서 하든, ASA 5500 시리즈 시스템이 SSL VPN 액세스를 허용하기 이전에 시스코 시큐어 데스크탑이 먼저 그 유니트에 있는 안티바이러스 소프트웨어와, 키스트로크 로거 등과 같은 특정 유형의 몰웨어를 확인한다. 세션이 시작되고 난 후 시스코 시큐어 데스크탑이 악성 프로그램을 탐지했을 경우에는 사용자로 하여금 세션을 종료하도록 촉구한다. 종단지점이 회사 소유라면 시스코 시큐어 데스크탑은 여기에 대한 액세스 정책을 이행할 수 있다. 세션이 끝나고 난 후 이 시스템은 미 국방성에서 개발한 알고리즘을 이용해 청소를 한다(sanitize).

데이비스는 클라이언트리스 VPN을 구성 및 보안할 수 있는 능력이 "회사에서 회사 소유가 아닌 디바이스를 사용하는 직원이나 파트너 같은 외부인이 웹 회사 자원에 액세스할 수 있게 허용하려 할 때 매우 유용하다"며 "이 기술은 웹 브라우저와 고도의 호환성을 갖추고 있기 때문에 외부인이 네트워크로 접속하기가 쉽다"고 설명했다. 이 시스템은 외부 디바이스에서 돌아가는 키스트로크 로거가 있을 경우(정책 규정에 의거해 시스템이 액세스를 거부할 수 있다) 디바이스가 회사 소유인지 여부를 확인하고, 데이터를 암호화하며, 마지막으로 세션이 종료될 때 디바이스에서 회사 데이터를 깨끗이 청소함으로써 클라이언트리스 사용자에게 전송되는 데이터가 원격 시스템에 남지 않게 보호해 준다.

또 시스코 클라이언트 VPN 기술에는 시트릭스 메타프레임(Citrix Metaframe) 애플리케이션 서버를 통한 레거시 애플리케이션으로의 액세스 지원도 포함돼 있다고 데이비스는 덧붙였다. 시스코의 지원은 다른 어떤 추가 소프트웨어 다운로드도 필요로 하지 않기 때문에, 세션이 보다 빨리 시작되며, PC에 있는 다른 소프트웨어와 충돌을 할 위험도 적다.


"언제든지 네트워크 살펴보세요"
시스코 어댑티브 시큐리티 디바이스 매니저(Cisco Adaptive Security Device Manager)는 관리자에게 장비, 정책 및 토폴로지 등 네트워크에 대한 다양한 시각을 제시한다. 디바이스 뷰는 보안 디바이스와 이들이 이행할 수 있는 정책을 보여주며; 정책 뷰는 특정 비즈니스 니즈에 맞게 맞춤화가 가능한 정책을; 토폴로지 뷰는 관리자가 서로 다른 레벨에서 정책을 이행할 수 있도록 다양한 레벨의 네트워크 맵을 보여준다. 예를 들어 네트워크 관리자는 정책 레벨에서 특정 데이터베이스로의 클라이언트리스 액세스에 대한 정책을 선택해서, 이것을 시스코 ASA 5500 시리즈 시스템 전체에서 이행하고, 이 유형의 VPN을 보안으로 구성할 수 있다.


보편적 보안 액세스 지원


시스코 ASA 5500 시리즈 7.1 버전에 있는 또 하나의 새로운 기능은 원격 사용자를 위한 안전 캐싱(safe caching) 기능이다. 원격 사용자는 웹 애플리케이션을 다룰 때 상호작동의 속도를 높이기 위해 캐싱의 혜택을 받을 수 있지만, 이들이 비인증된 디바이스(untrusted device)를 통해 웹에서 접속할 경우에는 웹 브라우저가 침입자를 캐시로, 그리고 여기서 네트워크로 실어 나르게 될 수도 있다. 하지만 이제 이들은 VPN을 통해 커뮤니케이션을 하고 시스코 시큐어 데스크탑에 의존함으로써, 캐싱용으로 의도된 데이터에서의 위험은 피하면서 혜택만을 누릴 수 있게 되었다.

SSL VPN과 시스코 시큐어 데스크탑 기능은 ASA 5500 시리즈외에도 시스코 800, 1800, 3800 시리즈 통합 서비스 라우터(Integrated Services Router)와 시스코 7200 시리즈 및 7301 IOS 라우터에서도 이용할 수 있다. 이들은 10~150개의 동시 세션을 지원한다. ASA 5500 시리즈 VPN 에디션을 사용하는 회사는 완벽한 종단지점 보호를 위해 안티-X 모듈(CSC-SSM)을 구입할 수 있다.

플래톤은 "자기방어 네트워크의 전체적 목표는 보안 설비들을 비즈니스 요건에 맞게 정렬하고, IT 투자를 활용해 비즈니스에 위협이 되는 것들을 저지하고, IT 환경의 복잡성을 전체적으로 줄이면서, 침입자에 대한 시야와 제어 능력을 확보하자는 것"이라며 "뛰어난 보안은 단순한 방어적 입장에서 벗어나, 내외부의 커뮤니케이션에 대한 장벽을 제거하고 직원들이 회사의 애플리케이션과 데이터에 보다 잘 액세스할 수 있게 함으로써 비즈니스 프로세스를 한층 효과적으로 만들어 줄 수 있어야 한다"고 설명했다.


추가자료

■ 시큐리티 매니지먼트 슈트
    cisco.com/go/security_management
■ 시스코 ASA 5500 시리즈
    cisco.com/go/asa
■ 시스코 어댑티브 시큐리티 디바이스 매니저
    cisco.com/go/asdm




Packet 지난 호 보기