김종만, 시스코 커머셜마켓 솔루션 스페셜리스트
개인의 모바일 단말이나 랩톱 등은 기업의 생산성을 향상하는 중요한 역할을 하고 있지만, 반대로 보안 위협에 대한 노출은 점점 더 늘어나고 있는 추세입니다. 모바일 환경 위주의 비즈니스 변화는 기존의 보안 구성 (인터넷과 백본, 백본과 데이터센터 스위치의 경계에서 F/W, IPS 의 적용을 통한 구성)의 취약점을 드러내고 있으며, 기업의 보안 설계를 더욱 어렵게 하고 있습니다.
예를 들어 외부에서 감염된 단말이 엑세스 스위치에 연결 된 후 외부로 연결을 시도 한다면, 인터넷 경계의 IPS 보안 장비에서 검출 및 차단을 수행할 수 있습니다. 하지만 이 감염된 단말이 내부와의 통신을 통해 다른 단말을 추가 감염 시키거나, 허가 되지 않은 장비에 접근을 시도 하는 등 내부에서 일어나는 일들에 대해서는 인터넷 또는 WAN 경계선 상에있는 방화벽이나 IPS를 통해 확인할 수 없습니다.
많은 고객들로부터 “어떻게 ‘내부’에서 발생하는 보안 문제에 대처할 수 있을까요?”라는 질문을 종종 받습니다. “고가의 보안 장비를 모든 네트워크의 내-외부 경계선에 설치하여야 할까요?”, “모든 트래픽을 미러링 후 모니터링 하는 것이 효과적일까요?” 등등…이를 해결하기 위한 방법을 찾아보지만, 이러한 방법은 비용이나 운영 효율성 측면에서 효과적이지 않다는 생각입니다.
시스코는 이를 위해 현실적이고 경제적인 방법을 제안합니다. 현재 사용하고 계신 시스코 네트워크 장비(스위치, 라우터)와 Lancope 솔루션으로 비용 효율적으로 취약했던 내부 보안 위협에 대응할 수 있기 때문이죠.
오늘 이야기할 사내 보안 위협 솔루션도 엑세스 스위치를 통해 보안을 위한 상세 정보를 수집, 보안 엔진으로 문제 확인, 장비를 통해 문제의 원인을 차단하는 방식으로 동작합니다.
먼저, 내부 보안 위협 탐지를 위한 솔루션 구성 요소는 다음과 같습니다.
1. 보안 상태를 감지하는 센서로 사용되는 시스코 네트워크 장비 (C3650/3850, C4500E Sup8, C6800 Sup2T, N7K, ISR G2/ASR)
네트워크에서 발생되는 모든 정보를 넷플로우를 통해 컬렉트로 전달합니다. 기존 스위치등은 성능 이슈로 모든 정보를 넷플로우로 전달할 수 없었습니다. 하지만 UADP기반의 스위치들은 고성능으로 메인 프로세스에 영향을 주지않고, 모든 트래픽에 대한 정보를 넷플로우로 전달하여 전방위 보안을 위한 센서로 동작하게 됩니다.
2. 플로우 수집 및 분석을 담당하는 Lancope StealthWatch (컬렉트 & 콘솔)
플로우 기반 트래픽 분석은 기본이고, 수집된 플로우 정보의 중복 제거 및 상관관계 분석를 분석하여 보안 위협을 가시화화고 분석된 위협에 대해 알람을 발생합니다.
3. 탐지된 보안 위협에 대한 제어를 위한 시스코 ISE (Identity Service Engine)
이미 유선, 무선, VPN등 네트워크 전반의 통합 보안 관리 장비로 중심을 잡고 있는 ISE를 활용하여 보안 위협이 발생한 단말의 차단정보를 파악하여, 단말이 연결된 시스코 네트워크 장비에 전달, 제어하도록 합니다.
[그림1] 시스코 내부 보안 위협 탐지 솔루션 구성
그 중 시스코의 보안 센서 기능을 기반으로 분석해주는 Lancope에 대해 조금 더 자세히 살펴보도록 하겠습니다.
Lancope 관리 콘솔에서는 시스코 네트워크 장비에서 보내 주는 Full 넷플로우 정보를 이용하여 다양한 보안 위협을 탐지 할수 있습니다. 네트워크상에서 발생하는 행위 기반 알고리즘을 통해 네트워크 스캐닝, DoS, Botnet 탐지, 보안 정책 위반 탐지, 웜 확산 탐지, 데이터 유출 탐지 같은 기능들을 수행 합니다.
그리고 Web 대쉬 보드를 통하여 네트워크에서 발생하고 있는 모든 위협 정보를 보기 쉽고, 효과적으로 제공하여 운영자가 전체 네트워크 트래픽의 상태와 보안 위협 현황을 빠르게 파악할 수 있게 도와줍니다
[그림2] Lancope 대쉬보드
이러한 Lancope과 시스코의 ISE가 서로 만나면 보안 위협 탐지를 IP 기반이 아니라 사용자 아이디 또는 사용자 이름으로 할 수 있기 때문에 훨씬 직관적으로 문제를 파악할 수 있습니다. 더불어 단말의 연결 정보를 함께 제공하여 보안 위협이 탐지된 단말에 대한 격리 또는 제어를 빠르게 제공할 수 있습니다.
이제 보안은 특정 포인트가 아니라 네트워크 전체에서 모니터링되고 가시화 되어야 합니다. 시스코 네트워크 인프라(스위치, 라우터) 의 Full 넷플로우 기능을 보안 센서로 활용하고, Lancope StalthWath 에서 보안 위협 을 가시화 함으로써 기업 내부에서 발생하는 전반적인 보안 위협에 가장 효율적으로 대응하실 수 있을 것입니다.
시스코와 Lancope가 손잡아 제공하는 솔루션에 대한 더 자세한 내용이 궁금하시다면, 이 자료를 추천해 드립니다.
