- 시스코 코리아 블로그에 썼던 글을 블로그로 옮겼습니다. (원문 링크)
그리스 신화에 등장하는 탈로스를 기억하시나요? 대장장이의 신 헤파이스토스가 만든 이 청동거인은 크레타섬 주변에서 적이 나타나면 큰 바위를 던져 막거나 뜨겁게 달궈진 청동 가슴에 적을 껴안아 제거했다고 합니다.
오늘 날에도 이 청동 거인처럼 진화하는 사이버 위협에 대응해 보안을 사수하는 최정예 군단이 있습니다. 바로 글로벌 사이버위협 대응 인텔리전스 조직 ‘탈로스(TALOS)’입니다.
워너크라이, 익스페트야, 배드래빗과 같이 올해 우리를 괴롭혔던 랜섬웨어 공격 뿐 아니라 대규모 디도스 공격, 사물인터넷 (IoT) 디바이스의 편리성을 악용한 사이버 공격 등 사이버 범죄 조직은 날이 갈수록 더 치밀하고 교묘한 수법으로 개인과 기업을 괴롭히고 있습니다. 보안조직도 더욱 지능화되고 강화되지 않으면 이들에게 속수무책으로 당할 수 밖에 없는 상황이 되고 말겠죠?
탈로스는 250명 이상의 보안전문가, 데이터 과학자, 화이트해커로 구성된 보안 전문 정예 조직입니다. 1년 365일 쉬지 않고 운영되면서 시스코 서비스를 사용하는 고객들로부터 시시각각 수집된 정보를 분석해 위협을 식별하고 방어하는 역할을 합니다. 이렇게 식별된 공격은 즉시 고객들에게 다시 전달되어 방어에 사용하게 되지요.
하루 200억 개의 공격을 막아내는 탈로스
이렇게 탈로스가 하루에 막아내는 공격의 양은 무려 200억 개에 달합니다. 구글의 하루 검색량이 35억 건이라고 하니, 어마어마한 양이라고 할 수 있지요.
또한 보안에 있어 공격을 빠르게 알아차려야 피해를 줄이고 예방을 하는 만큼, 탐지시간을 최소화 하는것도 매우 중요합니다. 탈로스는 위협의 발생과 탐지 사이의 시간인 탐지 시간(TTD, Time To Detection)의 중앙값을 2015년 11월부터 2017년 5월까지 무려 39시간에서 3.5시간으로 단축했습니다. 1년 6개월만에 탐지 시간을 10분의 1이나 줄인 것이니 대단한 성과라고 할 수 있겠지요.
그러면 탈로스는 어떻게 이런 방대한 보안 위협을 식별하고 막아낼 수 있는 걸까요. 첫째로 전세계 곳곳에 퍼져 있는 시스코의 장비와 서비스로부터 정보를 수집할 수 있기 때문입니다. 네트워크를 떠다니는 정보들 중 시스코 장비와 서비스를 거치지 않는 것을 찾기가 더 힘들 정도니까요. 둘째로, 이렇게 대량의 정보를 발빠르게 분석할 수 있는 네트워킹, 클라우드, 빅데이터, 인공지능 등에 관한 높은 수준의 기술력과 노하우를 오랜 시간 축적해 왔기 때문입니다.
보안계의 국제 경찰
2017년 한 해만 해도 탈로스는 굵직굵직한 보안 위협을 식별하고 막아냈답니다. 지난 3월에는 아파치 스트럿츠2에서 원격 익스플로잇이 가능한 버그를 발견해 경고했고, 7월에는 북한 관련 정보로 위장한 트로이 목마 KONNI 멀웨어의 활동을 발견했고, 9월에는 무료 PC최적화 프로그램 씨클리너 공급망에 해커들이 심어놓은 백도어에 관해 보고했습니다. 10월에는 여러 러시아 언론매체를 공격한 배드래빗 랜섬웨어에 관한 흥미로운 기술적 특징을 발표하기도 했는데요, 이 랜섬웨어가 이터널로맨스라는 익스플로잇을 사용해 전파되었고, 이터널로맨스는 미국 국가안보국(NSA)에 유출된 툴 중 하나라는 내용이었어요.
탈로스는 날이 갈수록 증가하는 보안 위협에 대응하기 위한 대외 협력 또한 활발하게 진행하고 있습니다. 지난 6월에는 IBM과 계약을 체결해 두 회사의 보안 서비스 정보를 공유하기로 했는데요, 이로써 고객들은 더 나은 보안 서비스를 제공받을 수 있게 되었습니다. 11월에는 국제 경찰 조직 인터폴과 사이버 범죄 공동 대응을 위한 보안 위협 정보 교환 파트너십을 체결하기도 했습니다. 이는 공공과 민간 부분이 손잡고 보안 위협에 대응할 수 있게 되었다는 점에서 의미가 큽니다. 이쯤되면 탈로스를 ‘보안계의 국제 경찰’이라고 해도 손색이 없겠네요.
초연결 사회, 인텔리전스 보안이 필요하다
2017년 한 해도 다양한 보안 위협이 전 세계를 강타했습니다. 몇 년 전부터 기승을 부리던 랜섬웨어는 올해도 가장 큰 위협의 하나였지요. 특히 랜섬웨어 공격을 당했던 국내 기업 인터넷나야나의 경우 공격자가 랜섬웨어를 침투시키기 위해 APT(Advanced Persistent Threat) 공격 방식을 사용한 것으로 파악되었습니다. 이처럼 앞으로는 한 가지가 아닌 여러가지 방식을 복합한 보안 위협이 더욱 많아질 것으로 보입니다.
또한 가전제품, 센서, 자동차 등 인터넷에 연결된 다양한 디바이스에서 만들어지는 수많은 정보들을 클라우드에 저장하고 다른 디바이스에 전달되는 초연결(hyper-connected) 사회가 눈앞에 있습니다. 시그니처나 룰을 통한 위협 탐지는 이런 환경에서의 광범위한 위협을 막기에는 한계가 있어요. 그래서 이를 돌파하기 위해 빅데이터 분석, 이상 행위 탐지, 인공지능 기술을 기반으로 한 인텔리전스 보안이 중요해진 것이지요. 알려지지 않은 위협에 대해서도 발빠른 대응과 조치를 할 수 있는 방법이니까요.
네트워크부터 보안까지. 시스코
흔히 시스코는 네트워크 장비 전문기업으로만 알려져 있지만, 몇 년 전부터 투자와 인수합병을 통해 적극적으로 보안 분야를 키워가고 있습니다. 이렇듯 네트워킹과 보안 솔루션, 클라우드, 데이터분석, 인공지능 기술, 거기에 ‘탈로스’와 같은 인텔리전스 보안 조직을 모두 갖춘 조직은 시스코가 유일하지요. 앞서 말했듯 보안 위협의 방식과 대상 모두가 광범위해지고 있는 상황에서 솔루션을 고민한다면, 시스코를 떠올릴 수밖에 없지 않을까요? 최근 개봉한 어느 영화의 캐치 프레이즈처럼, 혼자서는 세상을 지킬 수 없을테니까요.