-ÆíÁýÀÚÁÖ-
´Ã¾î°¡´Â º¸¾ÈÀ§ÇùÀº Á¡Â÷ °íµµÈµÇ°í ´Ù¾çÇÏ°Ô Áøȵǰí ÀÖ´Ù. ÀÌ¿¡ µû¶ó ¸¹Àº º¸¾È±â¾÷µéÀº ´Ã¾î³ª´Â º¸¾ÈÀ§Çù¿¡ ½Ç½Ã°£À¸·Î ´ëÀÀÇϱâ À§ÇÑ ½Ã½ºÅÛ ±¸Ãà°ú °È¿¡ ¸¹Àº ³ë·ÂÀ» ±â¿ïÀÌ°í ÀÖ´Ù. º¸¾È´º½º¿¡¼´Â ±Û·Î¹ú º¸¾È±â¾÷ µéÀÇ ½Ç½Ã°£ À§Çù ´ëÀÀ ½Ã½ºÅÛ¿¡ ´ëÇØ ¼Ò°³ÇÏ°íÀÚ ÇÑ´Ù.
[º¸¾È´º½º ¿Àº´¹Î] ½Ã½ºÄÚ´Â ½Ç½Ã°£À¸·Î ´Ã¾î³ª´Â ¾Ç¼ºÄÚµå¿Í º¸¾ÈÀ§Çù¿¡ ´ëÇÑ ´ëÀÀÀ» À§ÇØ ½Ã½ºÄÚ ½ÃÅ¥¸®Æ¼ ÀÎÅÚ¸®Àü½º ¿ÀÆÛ·¹À̼ǽº(Cisco Security Intelligence Operations, ÀÌÇÏ SIO)¸¦ ¿î¿µÇÏ°í ÀÖ´Ù. ½Ã½ºÄÚÀÇ SIO´Â Ãë¾àÁ¡ ¼öÁý ¹× ºÐ¼®À» ºü¸¥ ½Ã°£ ³»¿¡ ÁøÇàÇØ ½Ã½ºÄÚÀÇ º¸¾ÈÀåºñµé¿¡°Ô ÆÐÅϾ÷µ¥ÀÌÆ®¸¦ Á¦°øÇÏ´Â ¿ªÇÒÀ» ÇÑ´Ù.
Áö±Ý±îÁöÀÇ ÀüÅëÀûÀÎ º¸¾È ±â¼úÀº Á¦Ç°À» °ã°ãÀÌ ¼³Ä¡ÇÏ°í(layering) ¿©·¯ °³ÀÇ ÇÊÅ͸¦ »ç¿ëÇϴµ¥ ÀÇÁ¸ÇØ¿Ô´Ù. ±×·¯³ª º¸¾È À§ÇùÀÌ Á¡Á¡ °íµµÈµÇ¸é¼ º¸¾È ÇÊÅÍ°¡ ³×Æ®¿öÅ©¿Í ¾ÖÇø®ÄÉÀÌ¼Ç ·¹À̾îÀÇ Æ®·¡ÇÈÀ» º¸´Ù ÀÚ¼¼È÷ °ËÅäÇÒ ÇÊ¿ä°¡ »ý±â°í ÀÖ´Ù. ±× °á°ú, ÇÊÅÍ¿Í ·¹À̾¸¸À¸·Î º¸¾È °ø°ÝÀ» ¸·´Â °ÍÀÌ ¿ä¿øÇØÁø °Í. °Ô´Ù°¡ ÃֽŠ¾Ç¼ºÄÚµåµéÀº Àü¼¼°è »ç¿ëÀÚ ¹× ±â¾÷À» ´ë»óÀ¸·Î ´õ¿í »¡¸® È®»êµÇ¸ç, ´Ù¾çÇÑ Áø·Î¸¦ ÅëÇØ ÀüÆĵǰí ÀÖ¾î º¸¾È °ü¸®ÀÚµéÀÇ °í¹ÎÀÌ ´Ã¾î³ª°í ÀÖ´Ù. ½Ã½ºÄÚ SIO°¡ µîÀåÇÏ°Ô µÈ ÀÌÀ¯µµ ¿©±â¿¡ ÀÖ´Ù.
½Ã½ºÄÚ´Â SIO¸¦ ÀÌ¿Í °°ÀÌ ²÷ÀÓ¾øÀÌ ÁøÈÇÏ´Â º¸¾È ȯ°æ¿¡ Àû¿ëÇÏ¿© °ßÁÙ µ¥ ¾ø´Â º¸¾È ±â´ÉÀ» Á¦°øÇϱâ À§ÇØ ¼³°èÇß´Ù. º¹ÀâÇØÁø ÃֽŠº¸¾È À§Çù¿¡ ´ëÀÀÇϱâ À§ÇØ, ±â¾÷ÀÇ º¸¾È ½Ã½ºÅÛÀº º¸´Ù ±íÀÌ ÀÖ´Â ¸ð´ÏÅ͸µ°ú ºü¸¥ ´ëÀÀ ¼Óµµ¸¦ ÇÊ¿ä·Î ÇÏ°í Àֱ⠶§¹®ÀÌ´Ù.
½Ã½ºÄÚ SIOÀÇ ÀåÁ¡Àº ¡âº¸´Ù È¿°úÀûÀÎ ÇÊÅÍ ±â´ÉÀ¸·Î ¿î¿µ È¿À²¼º ÃÖÀûÈ ¡â±ÔÁ¦Áؼö ¿ª·® Çâ»ó ¹× ±â¾÷ÀÇ ºê·£µå ÆòÆÇ º¸È£ ¡âÃֽŠÀ§Çù Á¤º¸¿Í °ü·ÃµÈ °¡½Ã¼º È®º¸ ¡â½Ã½ºÄÚ ¾ÆÀ̾ðÆ÷Æ® À¥ ½ÃÅ¥¸®Æ¼ ¾îÇöóÀ̾ð½º, ½Ã½ºÄÚ IPS, ½Ã½ºÄÚ ASA¿Í °°Àº ³×Æ®¿öÅ© º¸¾È Àåºñ·Î »õ·Î¿î º¸¾È À§ÇùÀ¸·ÎºÎÅÍ Ã¶ÀúÈ÷ ±â¾÷ ½Ã½ºÅÛ º¸È£ µîÀ̶ó°í º¼ ¼ö ÀÖ´Ù.
¡ã½Ã½ºÄÚ ½ÃÅ¥¸®Æ¼ ÀÎÅÚ¸®Àü½º ¿ÀÆÛ·¹À̼ǽº(Cisco Security Intelligence Operations) ¨ÏCSICO
½Ã½ºÄÚ SIOÀÇ ÀÛµ¿ ¹æ½Ä
½Ã½ºÄÚ SIO´Â ´ÙÀ½ ¼¼ °³ÀÇ ±¸¼º¿ä¼Ò·Î ±âÁ¸ ½Ã½ºÄÚ ÀåºñÀÇ ÇÊÅÍ ±â´ÉÀ» Çâ»ó½ÃŲ´Ù.
- ½Ã½ºÄÚ ¼¾¼º£À̽º(Cisco SensorBase): ½Ã½ºÄÚ Àåºñ ¹× ¼ºñ½ºÀÇ È°µ¿ ¹üÀ§ ¾È¿¡¼ ¸é¹ÐÇÏ°Ô ¼öÁýÇÑ Àü¼¼°è À§Çù ¿ø°ÝÃøÁ¤(Telemetry) ³×Æ®¿öÅ©·Î ¾òÀº µ¥ÀÌÅ͸¦ ó¸®ÇÏ´Â ¼¼°è ÃÖ´ëÀÇ À§Çù ¸ð´ÏÅ͸µ ³×Æ®¿öÅ©.
- ½Ã½ºÄÚ À§Çù ¿ÀÆÛ·¹À̼ǽº ¼¾ÅÍ(Cisco Threat Operations Center): ½Ã½ºÄÚ À§Çù ¿ÀÆÛ·¹À̼ǽº ¼¾ÅÍ´Â È°¿ë °¡´ÉÇÑ Áö´É(actionable intelligence)À» »Ì¾Æ³»±â À§ÇØ º¸¾È ¾Ö³Î¸®½ºÆ®µé°ú ÀÚµ¿È ½Ã½ºÅÛÀ¸·Î ±¸¼ºµÈ ±Û·Î¹ú ÆÀÀÌ´Ù.
- È°¹ßÇÑ ¾÷µ¥ÀÌÆ® ±â´É: ½Ç½Ã°£ À§Çù ¾÷µ¥ÀÌÆ® Á¤º¸°¡ °ü·Ã º£½ºÆ® ÇÁ·¢Æ¼½º(best practice) Á¦¾È°ú ÇÔ²² º¸¾È Àåºñ¿¡ ÀÚµ¿À¸·Î Àü¼ÛµÈ´Ù. ¶ÇÇÑ °í°´µéÀÌ À§ÇùÀ» ÃßÀûÇÏ°í, Áö´É µ¥ÀÌÅ͸¦ ºÐ¼®, ±×¸®°í ±Ã±ØÀûÀ¸·Î ±â¾÷ÀÇ Àü¹ÝÀûÀÎ º¸¾È »óŸ¦ Çâ»ó½ÃÅ°´Âµ¥ µµ¿òÀÌ µÇ´Â ¿©Å¸ Á¤º¸µµ ÇÔ²² Àü´ÞÇÑ´Ù.
¼¾¼º£À̽º¸¦ ÅëÇÑ ÁÖµµÀûÀÎ À§Çù °¨Áö
½Ã½ºÄÚ SIO´Â ½Ç½Ã°£ À§Çù ¸ð´ÏÅ͸µ ³×Æ®¿öÅ©ÀÎ ½Ã½ºÄÚ ¼¾¼º£À̽º¸¦ ÅëÇØ ±íÀÌ ÀÖ°í Æø³ÐÀº º¸¾È Á¤º¸¸¦ È°¹ßÇÏ°Ô ¼öÁýÇÑ´Ù. ¼¾¼º£À̽º´Â ´ÙÀ½°ú °°Àº ±â´ÉÀ» Æ÷ÇÔÇÏ°í ÀÖ´Ù.
7½Ê¸¸ ´ë ÀÌ»óÀÇ ½Ã½ºÄÚ Ä§ÀÔ ¹æÁö ½Ã½ºÅÛ(IPS), À̸ÞÀÏ º¸¾È, À¥ º¸¾È ¹× ¹æȺ® Àåºñ¸¦ ÅëÇØ 4¸¸ °³ÀÇ Ãë¾àÁ¡ ¹× 3õ300°³ÀÇ Á¶À²µÈ IPS ½Ã±×³Êó Á¤º¸¸¦ Æ÷ÇÔÇÏ´Â ½Ã½ºÄÚ µ¥ÀÌÅͺ£À̽º ¡®½Ã½ºÄÚ ÀÎÅÚ¸®½¯µå(Cisco IntelliShield)¡¯¸¦ ÀÌ¿ëÇÑ´Ù.
500°³ ÀÌ»óÀÇ ½áµåÆÄƼ Çǵå(feed)¿Í 100°³ º¸¾È ´º½º Çǵ带 ½Ç½Ã°£À¸·Î ¹Þ´Â 600¿© °³ÀÇ ½áµåÆÄƼ ÀÎÅÚ¸®Àü½º Á¤º¸Ã³(third-party threat intelligence sources)¸¦ Á¦°øÇÑ´Ù.
¶ÇÇÑ 1,000¿© °³ÀÇ À§Çù ¼öÁý ¼¹ö´Â ÇÏ·ç¿¡ 500Gb ÀÌ»óÀÇ µ¥ÀÌÅ͸¦ ó¸®ÇÑ´Ù. ½Ã½ºÄÚÀÇ À§Çù ¿ÀÆÛ·¹À̼ǽº ¼¾ÅÍ´Â ÀÌó·³ Àü¼¼°è¿¡¼ ¼öÁýÇÏ´Â ½Ç½Ã°£ º¸¾È µ¥ÀÌÅ͸¦ ó¸®ÇÏ¿© ½Ã½ºÄÚ º¸¾È Àåºñ¸¦ ÅëÇØ Á¦°øÇÏ´Â º¸¾È ¼ºñ½º·Î Àü¼ÛÇÑ´Ù. Àü¼ÛÇÏ´Â Á¤º¸´Â, À§Çù ¼öÁýµÈ ÀÌÈÄ ¹Ù·Î ºÐ¼®ÀÌ ÀÌ·ïÁö¸ç 3~5ºÐ¸¶´Ù Á¤º¸¸¦ ½Ç½Ã°£À¸·Î ¾÷µ¥ÀÌÆ® ÇÑ´Ù. Áï, ½Ã½ºÄÚ ÃøÀº IPS¸¦ ºñ·ÔÇÑ º¸¾ÈÁ¦Ç°Àº º¸¾È À§Çù ¹ß»ý ÈÄ 7ºÐ ³»·Î ´ëÀÀÀÌ °¡´ÉÇÏ´Ù°í ¼³¸íÇÑ´Ù.
À§Çù ¿ÀÆÛ·¹À̼ǽº ¼¾ÅÍ
½Ã½ºÄÚ SIOÀÇ ÇٽŠ¿î¿µ Á¶Á÷ÀÎ À§Çù ¿ÀÆÛ·¹À̼ǽº ¼¾ÅÍ´Â ±â¼úÀÚ¿Í ÀÚµ¿ÈµÈ ¾Ë°í¸®ÁòÀ¸·Î ±¸¼ºµÇ¸ç, ½Ã½ºÄÚ ¼¾¼º£À̽º µ¥ÀÌÅ͸¦ ½Ç½Ã°£À¸·Î ó¸®ÇÑ´Ù. ÀÌ·Î½á °ü·Ã ÆÀÀº ÀÚµ¿ ¹× ¼öµ¿À¸·Î »ý¼ºµÇ´Â »õ·Î¿î À§Çù ¹æÁö¿ë º¸¾È ±âÁØÀ» ¼¼¿î´Ù.
À§Çù ¿ÀÆÛ·¹À̼ǽº ¼¾ÅÍ ÆÀÀº 5°³ÀÇ ±Û·Î¹ú ÁöÁ¡¿¡ ¹èÄ¡µÇ¾î ¿¬Áß¹«ÈÞ·Î À§ÇùÀ» ¿¬±¸, ºÐ¼® ¹× º¸¾È Ç°Áú º¸ÀåÀ» ÇÏ´Â 500¿© ¸íÀÇ ÀηÂÀ¸·Î ±¸¼ºµÇ¾î ÀÖ´Ù. ÀÌ ÆÀÀº ÀÎÅÍ³Ý »óÀÇ À§ÇùÀ» ¿¬±¸ÇÒ »Ó¸¸ ¾Æ´Ï¶ó ½Ã½ºÄÚ ¿£Áö´Ï¾îµé°úÀÇ Çù¾÷À» ÅëÇØ »çÀ̹ö ¹üÁË¿¡ È¿°úÀûÀ¸·Î ´ëÀÀÇÒ ¼ö ÀÖ´Â º¸¾È Á¦Ç°À» ±¸ÃàÇÏ°í °ü¸®ÇÏ´Â ÀÛ¾÷µµ µ½´Â´Ù.
±Û·Î¹ú À§Çù »óÈ£¿¬°üºÐ¼® ¿£Áø(Global Threat Correlation)
½Ã½ºÄÚÀÇ ±Û·Î¹ú À§Çù »óÈ£¿¬°ü ºÐ¼® ¿£Áø(Cisco Global Threat Correlation)Àº ÆòÆÇ, ¾Ë·ÁÁø ÀͽºÇ÷ÎÀÕ(exploits) ¶Ç´Â ÀÌ·ÊÀûÀÎ Çൿ µî°ú °°Àº ¼¾¼º£À̽º µ¥ÀÌÅÍÀÇ »ó°ü°ü°è¸¦ ºÐ¼®ÇÏ´Â ÀÚµ¿ÈµÈ º¸¾È ±â´ÉÀÌ´Ù. ÀÌ·Î½á º¸¾È À§ÇùµéÀ» º¸´Ù È¿°úÀûÀÌ°í Á¤È®ÇÏ¸ç ºü¸£°Ô ¹æÁöÇÒ ¼ö ÀÖÀ¸¸ç, ÆÐŶ ÄÁÅÙÃ÷¸¸À» °Ë»çÇÏ´Â ±âÁ¸ÀÇ ³×Æ®¿öÅ© º¸¾È ½Ã½ºÅÛ°ú´Â »ó¹ÝµÈ´Ù.
±Û·Î¹ú À§Çù »óÈ£¿¬°üºÐ¼® ¿£ÁøÀº ´ÙÀ½°ú °°Àº º¯¼ö¸¦ ¸ðµÎ °í·ÁÇÑ´Ù.
- ´©°¡: ÆÐŶÀ» º¸³½ »ç¶÷ÀÇ ÆòÆÇ °ËÅä. ÆòÆÇ ÇÊÅÍ´Â ÃÖ¾ÇÀÇ º¸¾È ¹üÁËÀÚ¸¦ Â÷´ÜÇÏ¿© 10~15%ÀÇ °ø°ÝÀ» ¸·À¸¸ç ÀǽÉÀÌ °¡´Â Á¢±ÙÀÚ¿¡°Ô´Â ÀûÀýÇÑ ÆòÆÇÀ» ºÎ¿©ÇÑ´Ù.
- ¹«¾ùÀ»: ÀͽºÇ÷ÎÀÕ, ¹ÙÀÌ·¯½º ¹× Ãë¾à¼º ½Ã±×´Ïó¿Í ÆÐŶ ÄÁÅÙÃ÷ ºñ±³
- ¾îµð¼: Æ®·¡ÇÈ ¹ß»ýÁöÀÇ Áö¸®Àû ¹× ƯÁ¤ ¾÷°è °íÀ¯ÀÇ Æ®·»µå±îÁö ºÐ¼®
- ¾î¶»°Ô: À§Çù È®»ê ¹× º¯Çü ¹æ½Ä
±Û·Î¹ú À§Çù »óÈ£¿¬°üºÐ¼® ¿£ÁøÀº ÀÌ·± ±âÁصéÀ» Âü°íÇÏ¿© ²ÙÁØÈ÷ ½Ã½ºÄÚ Àåºñ¸¦ À§ÇÑ »õ·Î¿î º¸¾È ±ÔÁ¤À» °³¹ß, Å×½ºÆ® ¹× µµÀÔÇÑ´Ù.
È°¹ßÇÑ º¸¾È Á¤º¸ ¾÷µ¥ÀÌÆ®
½Ã½ºÄÚ SIOÀÇ È°¹ßÇÑ Á¤º¸ ¾÷µ¥ÀÌÆ®´Â ¿Ïº®ÇÑ ÃֽŠº¸¾È Á¤º¸¸¦ °í°´¿¡°Ô Á¦°øÇÑ´Ù. À§Çù ¿ÏÈ¿¡ µµ¿òÀÌ µÇ´Â µ¥ÀÌÅÍ´Â ´ÙÀ½°ú °°Àº °æ·Î¸¦ ÅëÇØ Á¦°øµÈ´Ù.
- ½Ã½ºÄÚÀÇ ¹æȺ®, À¥, IPS, À̸ÞÀÏ º¸¾È Àåºñ¿¡ 3~5ºÐ¸¶´Ù ÀÚµ¿ º¸¾È ¾÷µ¥ÀÌÆ® Á¦°ø.
- ½Ã½ºÄÚ ÀÎÅÚ¸®½¯µå °æº¸ ¸Å´ÏÀú ¼ºñ½º(Cisco IntelliShield Alert Manager Service)
- º¸¾È º£½ºÆ® ÇÁ·¢Æ¼½º Á¦¾È ¹× Ä¿¹Â´ÏƼ Áö¿ø ¼ºñ½º
ÀÌó·³ ¹ß ºü¸¥ Á¤º¸ ¾÷µ¥ÀÌÆ® ¿Ü¿¡ ½Ã½ºÄÚÀÇ º¸¾È ÀÎÅÚ¸®Àü½º´Â ÀϹݴëÁß, ÃÖÁ¾ °í°´, ¿£ÅÍÇÁ¶óÀÌÁî ¹× Á¤ºÎ±â°üÀÇ À¯ÀÍÀ» À§ÇØ Á¦°øµÇ±âµµ ÇÑ´Ù.
ÀÌó·³ À§ÇùÀ» ÀÌÇØÇÏ°í ´ëÀÀÇÏ´Â µ¥ µµ¿òÀÌ µÇ´Â Á¤º¸´Â º¸¾È ±â¼úÀÇ ¶óÀÌÇÁ»çÀÌŬ Àüü¸¦ ÀÌÇØÇϵµ·Ï µµ¿ì¸ç, Á¤È®ÇÑ Áö½Ä¿¡ ±Ù°ÅÇÑ ÀÇ»ç°áÁ¤À» À̲ø¾î³»¾î ³×Æ®¿öÅ©°¡ ÃֽŠ°ø°ÝÀ¸·ÎºÎÅÍ ÀÚµ¿À¸·Î º¸È£µÇ°í ±â¾÷ º¸¾È ȯ°æÀÇ ¼öÁصµ Àü¹ÝÀûÀ¸·Î Çâ»ó½ÃÅ°´Âµ¥ ±â¿©ÇÑ´Ù.
[¿Àº´¹Î ±âÀÚ(boan4@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>