악성 프로그램을 완벽 차단한, 부산대 병원 이야기
부산대학교병원은 1877년부터 지금까지 동남권 의료 서비스의 중심으로 2017년 한 해에만 입원 환자 약40만명, 외래 환자 약93만명이 부산대학교병원에서 의료 서비스를 받았습니다. 그외에도 공공보건의료사업 평가 최고 등급, 종합병원 브랜드파워 2위에 선정된 바가 있습니다. 규모 역시 2016년 기준 1552개 병상으로 지방국립대병원 1위를 차지했고, 부산지역 암센터 등 6대 국가 지정 센터를 운영하고 있습니다.
신뢰할 수 있는 의료서비스와 함께 민감한 의료 정보들을 관리해야 하는 병원의 특성상 사이버 보안은 부산대 병원에 매우 중요한 과제입니다. 부산대학교병원은 규모만큼 보호해야 하는 직원들의 컴퓨터, 의료기기가 방대할 정도로 많은 상황입니다. 실제로 거의 한달에 한번 랜섬웨어 위협 때문에 고민하던 부산대학교병원은 더 안전하고 보안된 환경을 위해 시스코 엄브렐라를 도입했습니다. 놀랍게도 도입 후부터 단 한 건의 랜섬위에 피해도 입지 않았습니다.
“최근 몇 년간 투자한 사이버 보안 시스템 중 가장 가성비가 좋습니다. 효율성이 좋아 만족도가 좋습니다” 부산대학교병원 보안 관계자의 말입니다.
Cisco Umbrella
과거에는 직원들의 PC, 업무 프로그램 등의 인프라가 모두 방화벽 안에서 사용됐습니다. 지금은 업무에 카카오톡, 클라우드 등을 사용 하는 등 내부 방화벽 밖에 있는 인프라를 사용하는 경우가 많습니다. 인터넷을 통해 내부 네트워크에 접속하는 기업 소유의 노트북, 로밍 사용자, 클라우드 앱이 증가하는 현실이죠. 자체 네트워크를 배제하고, 인터넷을 통해 직접 연결하는 지사도 점점 더 늘어나고 있는 추세입니다.
미국의 정보 기술 연구 및 자문 회사인 ‘Gartner’는 2021년 무렵이면 기업 데이터 트래픽 중 평균 25%가 회사 내부 네트워크를 우회할 것으로 예측합니다. 효율적인 업무를 위해 벌어지는 자연스러운 현상이지만, 보안적인 측면에서는 여러 문제가 발생할 수밖에 없는 환경입니다. 사용자가 회사 네트워크 밖에 있을 경우 보안 수준은 취약해질 수밖에 없습니다. 단적으로 접속 경로도 무수히 많아 네트워크 가시성은 떨어지고, 보호 능력 역시 저하되는 것이죠. 회사 내부의 네트워크만 지키는 경계 보안에만 의존할 경우 철저한 보안은 여의치 않은 게 현실입니다. 보안 공백은 악성 프로그램, 랜섬웨어, 기타 공격을 당할 수 있는 여지가 됩니다.
1차 방어선 엄브렐라
보안 인터넷 게이트웨이인 시스코 엄브렐라는 사용자의 위치에 관계없이 인터넷이 존재하는 위협을 저지할 1차 방어선 역할을 합니다. 엄브렐라는 모든 위치, 장비, 사용자의 인터넷 활동을 완벽하게 파악해 악성 프로그램이 네트워크나 엔드포인트에 도달하기 전에 미리 차단합니다. 클라우드 기반의 개방형 플랫폼인 엄브렐라는 이미 사용 중이던 기존의 보안 솔루션과 원활하게 호환해 기존의 위협과 신종 위협에 대한 위협 분석 정보를 실시간으로 제공합니다.
엄브렐라는 인터넷 활동 패턴을 분석하고 학습합니다. 해커가 공격을 위해 준비한 인프라를 자동으로 발견하고 누군가 실수로 연결 하기 전에 미리 해당 주소를 차단해줍니다. 사용자의 대기 시간도 늘어나지 않고 자연스럽게 처리됩니다. 피싱 및 악성 프로그램 감염도 방지할 수 있습니다. 이미 감염된 장비는 더욱 빠르게 감지합니다. 결과적으로 데이터 유출 사고로부터 보다 안전해질 수 있죠.
인터넷의 기본 요소로 구축하는 보안
엄브렐라는 클라우드 플랫폼에 트래픽을 연결하는 DNS를 보안을 강화할 목적으로도 사용합니다. 사용자가 링크를 클릭하거나 URL을 입력하면 DNS 요청에 따라 장비를 인터넷에 연결하는 프로세스가 시작됩니다.
DNS 요청을 수신한 엄브렐라는 분석 정보를 사용해 그 요청이 안전한지, 악성인지 또는 위험한지 판별합니다. 도메인에는 악성 콘텐츠와 합법적으로 콘텐츠가 모두 들어있을 수 있기 때문에 판별 작업은 아주 중요합니다. 판별 작업이 끝나면 안전한 요청은 평소대로 연결하고, 악성 요청은 차단합니다. 위험한 요청은 보다 심층적인 검사를 위해 별도로 클라우드 기반 프록시로 보냅니다. 엄브렐라 프록시는 ‘Cisco Talos’의 웹 평판과 여러 정보를 취합해 해당 URL의 악성 여부를 파악합니다. 이때 안티바이러스(AV) 엔진 및 Cisco AMP(Advanced Malware Protection)를 사용합니다. 두 프로그램은 위험한 사이트에서 다운로드를 시도하면 파일을 검사한 뒤, 검사 결과에 따라 연결을 허용하거나 차단하는 역할을 합니다.
네트워크에 침입하기 전에 미리 저지합니다.
엄브렐라 글로벌 네트워크는 매일 수십억 건에 달하는 전 세계 수백만 사용자의 인터넷 요청을 해결합니다. 시스코는 엄청난 양의 데이터를 분석해 패턴을 감지하고, 해커의 공격 인프라를 파악합니다.
시스코는 글로벌 네트워크의 모든 인터넷 활동 데이터를 대용량 그래프 데이터베이스에 실시간으로 취합한 후, 이를 토대로 통계 및 머신러닝 모델링을 지속적으로 실시합니다. 엄브렐라 보안 연구원들은 지속적으로 정보를 분석하고 Cisco Talos의 보안 인텔리전스로 보완합니다. 인간 지능과 머신 러닝의 접목으로 도메인, IP 또는 URL 등 인터넷 전역에 퍼져있는 모든 악성 사이트를 판별합니다.
호환성과 확장성
엄브렐라는 보안 어플라이언스, 인텔리전스 플랫폼 및 CASB(Cloud Access Security Broker) 컨트롤러를 비롯한 기존 보안 인프라와 통합할 수 있습니다. 인터넷 활동에 관한 로그 데이터를 SIEM이나 로그 관리 시스템에 전송할 수 있으며, 사용자는 API에서 엄브렐라에 전송하도록 설정해 악성 도메인을 차단할 수 있습니다. 기존에 투자한 보안 인프라 활용도를 극대화하고 보호 범위를 모든 곳으로 쉽게 확장할 수 있는 것이죠.
하드웨어를 설치하거나 소프트웨어를 일일이 업데이트할 필요가 없습니다.
엄브렐라는 단 몇 분만에 설치가 끝납니다. 하드웨어를 설치하거나 소프트웨어를 일일이 업데이트할 필요가 없습니다. 클라우드를 통해 지원하기 때문에 가능한 일이죠. BYOD 및 IoT를 비롯해서 네트워크 연결된 모든 장비를 몇 분 내에 프로비저닝하고 기존 시스코 인프라[AnyConnect, ISR(Integrated Sevices Router) 4K 시리즈, 무선 LAN 컨트롤러 5520 및 8540]를 사용해 수천 개의 네트워크 엔드포인트와 로밍 노트북을 빠른 시간 내에 프로비저닝 할 수 있습니다.
엄브렐라에 대해 더 자세한 설명이 듣고 싶으시면 아래 주소나 연락처로 문의 주세요.
