시스코 코그니티브 쓰렛 애널리틱스(Cisco Cognitive Threat Analytics)는 시스코 고객 네트워크의 침입 여부를 알아내는 보안 애널리틱스 솔루션으로, 첨단 통계 애널리틱스, 머신 러닝, 그리고 시스코 보안 클라우드의 글로벌 상관관계(correlation)를 기반으로 운영됩니다. 또한 CWS(Cloud Web Security), WSA(Web Security Appliances)에서도 사용되어 시스코 데이터 소스가 아니더라도 통합을 허용해 매우 광범위한 클라이언트 세트를 지원합니다.
시스코 보안 부서는 하루에도 수만 개의 악성코드 감염 사례들을 발견하고 있는데요. 이런 침입 사례들은 주로 고객 리포트 또는 SIEM 시스템을 통해 직접 보고됩니다. 그 결과, 고객들은 빠르고 쉽게 악성코드 침입 여부를 확인하고, 이를 치료하기 위해 문제의 원인을 파악하고, 향후에 발생 가능한 위험까지 최소화할 수 있도록 보안 정책을 변경할 수 있습니다.
인지적 위협 애널리틱스(cognitive threat analytics)는 전통적으로 머신 러닝, 통계, 게임 이론(game theory) 및 보안 연구 등의 복잡한 요소들이 드러나지 않도록 설계되어 왔습니다. 그 결과 사용의 편리성과 간편성은 보장되었지만 일부 불편한 점도 있었습니다.
시스코 고객들만 해도 자사 네트워크를 지키는 시스템의 세부점들을 이해하고 평가하고 싶어했습니다. 사실 개방성(openness)은 솔루션에 대한 확신을 강화하고, 벤더들을 보다 객관적으로 평가하는 것을 가능하게 합니다. 단순히 “첨단 머신 러닝(advanced machine learning),” ”딥 러닝(deep learning),” “빅 데이터” 사용이 가능하다고 해서 세부사항들을 알리지 않는다면 고객에게 크게 도움이 되지는 않습니다. 이에 시스코는 기존에 해왔던 대로 자사 보안 시스템의 기술적인 세부사항들을 적극적으로 발행하고 공개하기로 결정했습니다.
하지만 시스템의 세부 사항들을 전부 공개하는 것도 현명하지는 않겠지요? 고객과 보안 산업에 도움이 되는 충분한 개방과 해커에게 도움을 주는 도가 지나친 기술 공개는 구분이 되어야 하기 때문이니까 말입니다.
업계에서 이런 유사한 상황이 발생한 것은 이번이 처음은 아닙니다. 그 동안 우리 모두는 개방되고, 철저한 접근 방식이 보안 산업의 건설적인 발전에 크게 도움이 되는 것을 목격해왔습니다. 예를 들어, 클라우드 셰논(Claude Shannon)이 ‘Communication Theory of Secrecy Systems’라는 논문을 통해 Kerchhoff의 원리를 재구성한 이후 암호통신(cryptography)에 대한 과학적인 리서치의 수준이 높아지고, 사용자들의 확신이 눈에 띄게 증가했습니다. 기존의 암호화 공식은 1883년에 처음 소개되었고, 셰논의 논문은 1949년에 발행되었습니다. 하지만 70년대부터 90년 사이가 되어서야 고객과 사용자들이 이 방식의 보안의 중요 요소로 받아들였습니다. 오늘날, 독자적인 암호화 알고리즘을 사용하는 것은 일부 정부기관을 제외하고는 특이하게 여겨지고 있습니다.
시스코의 주장은 보안 애널리틱스 역시 이처럼 개방적인 접근 방식을 도입해야 한다는 것입니다. 시스코는 고객들에게 자사 작업의 질과 기술력을 고객에게 증명할 필요가 있습니다. 그렇기 때문에 핵심 보안 기술 및 알고리즘은 대중의 철저한 검토와 정밀 조사 및 평가가 가능하도록 공개되어야 한다는 것이지요. 유명 과학 저널과 컨퍼런스에서 채용하는 전문가 심사제도(Peer-Review)를 도입해 보안 솔루션의 알고리즘과 그 역량을 평가할 필요가 있다는 얘기지요. 또한 엄격한 평가 및 품질 관리도 시행해야 합니다.
그렇다면, 해커들이 이런 지식을 악용해 새로운 공격 방식을 고안해내는 것에 대해 우려할 필요는 있을까요? 당연히 그럴 필요가 없는데요. 보안 애널리틱스의 기초는 기존의 "숨기는 보안에 의한 보안(security by obscurity)” 방식에 의존해서는 안되기 때문입니다.
그 동안 시스코는 시스템 구성의 디자인의 공시가 성숙 단계에 도달해 보안에 악영향을 끼치지 못하도록 상당히 체계적으로 노력해 왔습니다. 보다 자세한 내용은 인지적 위협 보안의 성숙한 대처법에 대해 다루고 있는 Cognitive Research: Learning Detectors of Malicious Network Traffic를 통해 확인하시기 바랍니다.
이번 포스팅은 시스코 Cognitive Threat Analytics팀의 수석 엔지니어 마틴 레학(Martin Rehak)이 작성한 Cognitive Threat Analytics – Transparency in Advanced Threat Research를 바탕으로 준비되었습니다.
