Talos(탈로스)는 그리스 신화에서 크레타 섬을 지키는 거대한 청동 거인을 뜻 합니다. 크레타 섬을 돌면서, 외부의 침입자들을 막아내는 것처럼, 시스코 Talos는 고객의 네트워크를 지켜주는 역할을 합니다. 아주 적절한 비유의 멋진 이름이 아닐 수 없습니다.
전세계 시스코 서비스를 사용중인 고객으로부터 수집된 트래픽과 멀웨어들을 분석해서 Command & Control 서버를 찾아 내는 것은 물론, 고객 대신 큰 해커 조직과 기술로 겨뤄 침투 기법을 분석하는 것이 Talos이 주 역할인데요. 사전에 분석된 위협에 대해 고객 네트워크를 보호할수 있는 IPS 룰을 배포함으로써 취약점이 일반에 알려지기 전에 안전한 차단망을 미리 제공, 서비스를 사용하는 고객들의 네트워크를 안전하게 지켜주는 것이지요. 보안에 관심 있으신 분들께서는 많이들 알고 계시는 HeartBleed 취약점이나, 인터넷 익스플로러의 취약점 공격들을 그 예로 들수가 있겠네요.
시스코 Talos는 250명의 보안 전문가들로 구성되어 있습니다. 당연히 보안 위협 센터이니, 365일 운영되고 있으며, Snort을 만들고 유지하는 회사이니, Snort룰 전문가들이 포진되어 있는 것은 당연하며, 이러한 Talos팀의 노력으로
전세계에서 하루동안 8만2천개의 바이러스,
1억8천만개의 스파이웨어,8억개이상의 웹 리퀘스트를 막고 있는데
이는 구글에서 처리하는 하루 검색량의 5배이상에 달하는 수치입니다.
랜섬웨어 전문 해커집단에 대응
구글에서 무작정 “cisco ransomware” 를 입력해 보면, 많은 검색결과 중에 2015년 10월 5일자 로이터 통신의 기사를 확인하실 수 있으실텐데요. 기사의 내용을 요약하면. “시스코 보안 연구팀, 규모있는 랜섬웨어 배포자를 무력화 시키다” 입니다.
실제로 이 내용은 시스코 Talos의 활약으로 Angler exploit kit를 가장 많이 활용한 랜섬웨어 사업자가 사업을 접게 되었다는 내용입니다. Talos는 지난해 가장 복잡하고 다양한 침투 기법을 장착한 앵글러킷을 추적해 왔었고, 그 공격을 방어 할수 있는 Snort 룰셋을 시스코 차세대 IPS인 FirePower 고객에게 배포하여 일차적인 대응을 하였습니다.
이에 그치지 않고, 지난해 가을에는 앵글러 킷 시스템이 전세계 다양한 호스팅 업체를 통해 서비스되고 있다는 사실을 알아냈습니다. Talos는 그 중 가장 많은 서비스를 제공하던 한 호스팅 업체의 협력의사를 직접 타진하고, 현장에서 앵글러 킷의 동작 방식을 분석해 내어, 활발한 랜섬웨어 서비스를 운영하고 있던 서버 내의 앵글러킷에 대한 정적 분석을 완성해 내는 성과를 이룹니다. 이를 통해 해당 앵글러 킷의 동작 방식은 전세계에 알려지게 되고, 더 이상 서비스가 유지될 수 없었던 것이지요.
만약, Talos가 분석한 해커들의 서버가 서비스를 멈추지 않았다면, 연간 $34M 정도의 매출을 올리는 아주 성공적인 비즈니스가 될 뻔 했다는 사실도 알수 있게 되었는데요. 해커를 통해 암호화되어 버린 문서 파일을 복구하는 비용으로 $300 정도를 지불했던 고객이 하루에 무려 317명에 달했다고합니다.
Talos, 하루에 110만건 가량의 멀웨어 샘플 감지!
취약점 공격에 대한 탈로스의 역할을 알아 봤으니, 이제 멀웨어 방어 대한 이야기를 해 볼까요? Talos는 하루에 110만건 정도의 멀웨어 샘플을 감지합니다. 전세계에 계약된 고객들로 부터 얻는 소중한 정보를 Talos는 빅데이터 분석으로 흐름을 분석해 냅니다. 지난 기사에서 짧게 언급한 OpenDNS도 중요한 역할을 담당하고 있습니다. 샘플을 통해 확인된 멀웨어의 동적 분석을 통해 변종에 대한 내용을 사전 분석해 두고, 그 중 중요한 일부는 정적분석도 수행하여, 멀웨어 본체를 분석해 내고, 그에 대한 대응을 시스코 고객에게 실시간으로 제공합니다. 물론 IP BlackList 도 당연히 포함됩니다. 또한 시스코의 APT 대응 솔루션인 AMP (Advanced Malware Protection)가 동작하는 보안장비에서 사용할수 있도록 멀웨어 데이터를 클라우드를 통해 서비스하게 됩니다.
이메일 보안도 문제없다
Talos는이메일 보안에도 관여하는데요. 전세계 이메일 보안 시장 마켓쉐어 1등 제품인 ESA제품에서 가장 많이 차단되는 메일은 스팸메일입니다. 전체 메일의 약 85%가 스팸메일이라는 Talos의 통계는 놀랍기도 한데요. Talos는 스팸을 막기 위한 메일 서버들의 평판 정보도, 계속 실시간으로 업데이트합니다. 이메일에 첨부되어 있는 멀웨어를 막기 위한 Talos의 분석 속도를 확인해 보면 타 바이러스 회사들을 넘어서는 수준입니다.
보안제품에서 Subscription 의 역할은 ?
보안제품에 서비스나 라이선스가 아닌 Subscription이 함께 구매 되어야 하는 이유가 바로, Talos 분석 팀에서 분석한 정보를 최대한 빠르게 장비에서 활용할 수 있도록 하는 것입니다.
보안제품에 있어서 Subscription이란?
Talos 가 분석하고, 생산해내는 IPS 룰, AMP를 위한 멀웨어 분석 데이터,
클라우드 샌드박싱, URL 필터링 등에 대한
실시간 업데이트를 받을 수 있는 일종의 구독료입니다.
룰셋을 수동으로 설정하다 보면, 일주일 전 혹은 지난달 유행해서 이미 작동을 중단한 위협들을 뒤늦게 방어하는 것이 될수 있습니다. 물론 유행이 지나간 위협이라고 해서 방어하지 않아도 되는 것은 아니지만, 최고의 보안은 ‘빠른 대응’이며, 도입한 보안 장비를 최대한 활용하는 방법일 것입니다.
운영 보안팀 조직이 크지 않은 고객분들께서는 보안제품을 검토하실때는 위협 분석 조직이 얼마나 빠르고 튼튼한가가 아주 중요하다는 점을 꼭 떠올려 보시기 바라겠습니다.
Cisco IT Connect
시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드! 이 글은 시스코 황성규 보안 스페셜리스트가작성한 칼럼입니다. |