시스코 코리아 소식 | Cisco Korea

[Secure Networking] 최신 보안 트렌드와 전략 인사이트

Korea Blog Editor
2023-07-14

시스코 커넥트 코리아 2023의 세부 세션은 ‘Secure Networking’, ‘Future Enterprise’, ‘Hyperscale Infrastructure’ 등 총 3개 트랙별로 약 20여 개의 다양한 발표로 구성되었는데요. 트랙 A ‘Secure Networking’ 세션에서는 최신 보안 트렌드와 제로 트러스트, 사이버 위협에 대한 대응 전략 등 최신 보안 인사이트를 전달해 드렸습니다. 이번 블로그에서는 ‘Secure Networking’ 세션의 주요 내용을 간략하게 소개해 드립니다.

최근 멀티 클라우드 시대로의 전환, 하이브리드 업무 환경으로 변화되면서 사이버 보안 위협이 점차 지능적으로 바뀌고 있습니다. 특히 Generative AI를 통한 새로운 기술 도약과 함께 이에 대한 검증된 보안, 안전한 보안이 더욱 중요시되고 있는데요. 과연 시스코가 제시하는 해결책은 무엇인지 소개합니다.

당신의 기업은 안전하십니까?

시스코코리아 김영근 프로

‘최신 보안 트렌드와 대응 전략’에 대해 소개하고 있는 김영근 시스코코리아 프로

최근 취약한 MFA로 인한 사이버 보안 위험성이 증대되고 있는데요. MFA 우회를 목표로 하는 공격 기법에 속수무책으로 당하는 기업들도 속출하고 있습니다. 이제 인증 프로세스를 강화하는 것은 선택이 아닌 필수가 되었습니다. 과연 최신 보안 트렌드와 이에 대한 기업들의 대응 전략은 무엇일까요?

취약한 MFA : MFA가 있음에도 불구하고 인증 문제가 생겨 사이버 공격을 받는 사례가 증가하고 있음
해커들은 다크웹에 공개된 계정 정보 수집, SNS의 사용자 계정 정보와 매칭해서 공격 대상 특정, 보이스 피싱으로, 내부 시스템 구조 파악 후 MFA를 우회하여 시스템 침투
사용자의 신원이라고 할 수 있는 Identity 관리를 위해 MFA를 사용하고 있는데 MFA도 만능이 아님
따라서 단순히 OTP, 토큰 등의 단순한 방식으로 MFA를 운영하는 것이 아닌 보다 강화된 운영 방안 필요
사용자 계정 관리가 어렵다는 약점은 SSO로 해결하고 인증 과정까지도 안전하게 보호해서 사회 공학적 공격 기법에 대응해야 하며 회사에서 지급한 단말기를 식별하는 BYOD 정책을 적용해야 함
즉, 인증 프로세스를 강화해야 하며, 이것을 가능케 하는 것이 Cisco Duo

생성형 AI 기술로 인해 새로운 위협이 생김 : 데이터 유출(개인 정보, 기밀 정보, 소스 코드), 3rd party로 위장한 악성 코드로 인한 데이터 유출 사례 발생 -> 이것을 막기 위해 생성형 AI를 사용할 때 좀 더 보안이 강화된 환경에서 사용해야 함 -> CASB 필요
CASB 솔루션 Cisco Umbrella는 SaaS이나 폐쇠망에서도 사용 가능, 망분리와 같은 폐쇠망 환경이라 하더라도 생성형 AI를 사용하기 위해 일부 트래픽이 외부로, 인터넷으로 나가는 경우가 있음, 이걸 막아야 함
CASB를 사용해 바탕으로 모든 애플리케이션에 대한 보안 검증(쉐도우IT 탐지), OpenAI 사용 제한(차단 정책 적용), Cloud DLP(허용된 트래픽에서 기밀 정보 및 소스코드 유출 탐지) 가능

대표적인 생성형 AI인 ChatGPT만이 위협이 아님, 지금 이 순간에도 다양한 생성형 AI 도구들이 출시되고 있음
따라서 기업은 단순히 ChatGPT만을 막아서는 생성형 AI를 통해 자행될 수 있는 보안 위협에 대응이 어려움
그렇다고 이미 알려진 생성형 AI 도구의 URL 하나하나 막는 것은 비효율적, 보안 담당자가 매일 생성형 AI 도구를 모니터링해야 할 수도 있음
그래서 만약 보안을 이유로 생성형 AI 도구를 사내에서 사용하지 못하게 막아야 한다면, URL이나 Proxy 기반 차단이 아닌 Generative AI라는 키워드로 새로운 AI 도구 자체를 아예 차단해야 함, 시스코 탈로스로 가능

사이버 보안의 핵심은 제로 트러스트!

시스코코리아 이진현 프로

‘사이버 보안의 핵심은 제로 트러스트’를 주제로 발표 중인 시스코코리아 이진현 프로

제로 트러스트 필요성 : 공격 표면(대상)의 증가, 다크웹으로 수집한 계정 정보로 기업에서 사용하는 VPN과 같은 경계 보안 제품에 지속적으로 대입하여 공격 -> 뚫림 -> 제로 트러스트가 필요한 이유
제로 트러스트 환경에서는 기업의 시스템에 접근하려는 사용자별, 세션별, 애플리케이션별로 유연하게 보호할 수 있어야 함
VPN에서 한번 권한을 획득했다 하더라도 내부 시스템에 대한 접근 권한을 모두 얻는 것은 위험 -> 따라서 애플리케이션에 접속할 때마다 신원을 확인하고, 권한도 사용자의 직무별로 제한해야 함

Cisco Secure Access : 기존에 널리 사용되었던 방화벽, VPN과 같은 경계보안 솔루션의 한계를 극복한 SaaS 보안 서비스로, 기업의 하이브리드 인프라를 안전하게 보호하는 통합 보안 플랫폼
기업 내부의 프라이빗 앱, 인터넷 기반 SaaS 앱에 대한 접근을 안전하게 할 수 있도록 지원
다양한 앱에 대한 접근 시도를 Cisco Secure Access로 한번 검증하고 통과시킨다는 개념
여기서 기기와 사용자의 신원을 확인하는 역할을 Cisco Duo가 담당함 : MFA + Zero Trust Workforce
앱에 접근하려는 디바이스의 OS, 브라우저, AV나 EDR, Agent 등의 정보에 더해 사용자의 애플리케이션 접속 환경 정보, 접속 패턴까지도 매번 확인하고 검증함

보안과 생산성 두 마리 토끼를 잡기 위해 시스코는 2가지 솔루션 제공
Passwordless : 얼굴인식, 지문 + 지정된 기기, 인증서, Key가 결합된 형태로, 개인 금융 앱에서 사용하던 패턴을 기업 앱으로 가져온다는 개념
Seamless Authentication : 단 한 번의 인증으로 다양한 애플리케이션에 추가 인증 없이 로그인, SSO + 강화된 보안 정책이 합쳐진 형태
Windows 혹은 맥북 기기 자체에 로그인할때에 MFA로 로그인하고, 이것을 통과한 이후에는 사용자 인증 절차가 생략됨, 하지만 사용자의 접속 위치 정보가 달라지는 등 컨텍스트가 변경되면 추가 인증을 요구하는 등 유연하게 적용됨

점차 지능화되는 사이버 위협, 지킬 것인가? 당할 것인가?

시스코코리아 김종현 이사

세션 발표 중인 시스코코리아 김종현 이사

내부자의 악의적인 데이터 유출, 우리 회사의 클라우드를 관리해 주는 파트너사의 보안 침해 등과 같이 사이버 위협은 점점 고도화되고 빈번하게 발생 중
기업은 이러한 다양한, 그리고 많은 수의 보안 위협을 방어하기 위해 전방위적으로 보안 솔루션을 사용 -> 관리해야 하는 보안 솔루션 수 증가 -> 관리 피로도 증가
변화된 업무 환경으로 인해 개인들이 공격 대상으로 지목되고, 이로 인한 기업의 피해가 증가하고 있는 상황
달라진 보안 위협에는 보다 진보된 대응 방안 필요, 이러한 위협에 유연하게 대응하기 위해 필요한 것이 XDR(eXtended Detection and Response)

Cisco는 2007년에 이메일 보안 및 웹 보안 솔루션 제공을 시작으로 다양한 보안 회사를 인수하면서 2023년 Cisco XDR 출시 준비 중, 시스코 보안 제품에는 탈로스의 보안 위협 정보가 기본 탑재됨
Cisco XDR은 공격자가 누구인가에 초점을 맞추며, 공격자가 어디에서 내부로 침입했는지, 침입 후 공격자의 권한이 얼마나 상승되었는지, 데이터가 유출되었는지에 대해 대응 가능
XDR은 너무 많은 오탐으로 관리자에게 피로감 제공할 수 있으나 이제는 오탐을 검증된 인시더트로 전환할 수 있어야 함, 이를 위해 AI 인텔리전스 기반의 자동화가 필요하며 Cisco XDR에 적용됨

Cisco XDR은 탈로스 및 3rd party의 위협정보를 수집해서 외부 위협을 폭넓게 탐지 가능
보안 이벤트 발생 시 공격의 상관관계 분석을 통해 빠르게 탐지, 탐지된 인시던트를 단계별로 추적 가능, 자산 정보를 토대로 어떤 기기에서 위협이 있었고 어떤 영향을 끼쳤는지 식별 가능, 보안 위협 영향력에 따른 우선순위를 지정해서 위험도가 높은 인시던트 순으로 조치
네트워크, 사용자/엔드포인트, 클라우드, 애플리케이션 및 ID에서 발생하는 인시던트를 자동화 기반으로 수집하고 분석하며 탈로스 위협 정보를 토대로 검증하는 것
이 모든 것이 단일 화면에서 이루어짐, 하나의 화면에서 보안 위협 탐지 및 대응이 가능한 것이 가장 큰 특징

비즈니스에서 승리하기 위한 애플리케이션 관점의 보안 및 관리 비결

시스코코리아 박한진 이사

‘비즈니스에서 승리하기 위한 애플리케이션 관점의 보안 및 관리 비결’을 주제로 발표 중인 시스코코리아 박한진 이사

기업은 자사의 비즈니스 애플리케이션을 어디서든 빠르고 안전하고 편리하게 사용할 수 있는 환경을 원함
그런데 고객의 선호도 및 트렌드는 빠르게 변화하고 있어 기업 역시 고객의 변화에 발 빠르게 대응하기 위해 마이크로 서비스 아키텍처, CI/CD + IaC, 하이브리드 클라우드를 사용
따라서 기업의 애플리케이션 운영 환경은 컨테이너 기반으로 변했다는 것 -> 쿠버네티스가 중요

그런데 문제는, 쿠버네티스에서 돌아가는 서비스들의 상태를 확인하기 위한 방법이 너무 복잡하다는 것
하나의 서비스 상태를 파악하는 데에 9개나 되는 커맨드 입력 필요 -> 그런데 마이크로 서비스 아키텍처에서는 하나의 애플리케이션을 수십 수백개의 다양한 컨테이너 기반 서비스로 구현하고 쿠버네티스로 관리 -> 상태를 파악해야 할 서비스 수가 너무도 많은 상황 -> 가시성 부족
이것을 해결할 수 있는 것이 Service Mesh Manager, Cisco Calisti
단일 화면에서 개별적인 서비스(컨테이너)들이 어떻게 연계되어 있는지 전체적인 서비스 흐름 파악, 실시간 트래픽 현황 및 서비스/런타임 상태, 클릭 한 번으로 컨테이너 안의 내용을 담은 Yaml 파일 확인 가능
아는 만큼 보이고, 보이는 만큼 행동할 수 있다, 보안의 출발은 가시성 확보부터!

컨테이너 라이프사이클의 위협 요소를 모두 관리하기 위해서는 최소 3~4개의 오픈소스 사용 필요
하지만 오픈소스는 커맨드 기반이라 사용성 불편 -> 그래서 각 요소 별 위협 요인을 한눈에 단일 환경에서 확인하고 보호할 수 있어야 하며 보안 정책 및 규정 준수를 지원할 수 있어야 함
그래서 나온 것이 클라우드 네이티브 애플리케이션의 모든 요소를 단일 환경에서 관리할 수 있는 Cisco Panoptica
Panoptica를 통해 컨테이너 이미지 레이어별로 어떤 보안 취약 요소가 있는지 확인하고 연계된 다른 이미지들과의 연계성 확인 가능
특정 프로파일을 작성해 자동화된 방법으로 안전하게 런타임을 관리할 수 있으며 쿠버네티스 클러스터 벤치마크 요약 페이지를 통해 얼마나 컴플라이언스를 준수하고 있는지 확인 가능
서비스 어카운트별 어떤 Role이 할당되어 있고 어떤 서비스별로 어떠한 접근 권한을 가지고 있는지 확인 및 조치 가능하며 워크로트를 넘어 API 레벨까지도 간편하게 보안 취약점을 확인하고 조치할 수 있음(내부 및 외부 API 모두 가능)
Cisco Panoptica를 사용하면 쿠버네티스 전체 현황에 대한 보안 위협 요소를 점검함과 동시에 기업의 보안 리스크 우선순위를 정해서 빠르게 조치할 수 있음

여기까지 Cisco Connect Korea 2023의 트랙 A 세션 내용들을 간략하게 소개드렸습니다. 해당 세션 다시 보기 영상 및 발표자료 다운로드는 시스코 커넥트 코리아 2023 이벤트 페이지에서 확인 가능합니다.