[칼럼] 불량한(?) 도메인과 엮이지 않는 방법
웹브라우저를 이용해 인터넷을 사용하기 위해서는 먼저 DNS(Domain Name Service) 요청 단계를 거쳐야 합니다. 잘 알려진 것처럼 DNS는 도메인 주소(예:www.daum.net)를 IP 주소로 변환하는 중요한 서비스입니다. 만약에 DNS 요청 단계에서부터 악성으로 분류된 도메인에 대한 접속을 차단한다면 침해 위협을 위한 효과적인 예방이 가능할 것입니다.
이와 같은 DNS 기반의 보안 서비스에 관심을 가지고 이를 서비스화하여 OpenDNS(오픈DNS)라는 솔루션이 탄생했고, 시장의 큰 관심을 받았습니다. 시스코는 바로 이 OpenDNS를 2015년 인수하였고 2016년 11월Cisco Umbrella(시스코 엄브렐러)라는 솔루션으로 공식발표 했습니다.
Cisco Umbrella의 가장 큰 특징은 DNS 요청 단계에서 위협을 차단함으로써 트래픽이 발생하기 전에 침해 대책을 마련할 수 있다는 것입니다. 덕분에 방화벽이나 IPS등과 같은 보안 솔루션의 부담을 덜 수 있으며, 많은 양의 보안 알람을 줄여줌으로써 보안 이벤트 관리 시스템인 Security Information Event Manager(SIEM)의 성능을 개선 할 수 있습니다. 이렇게 1차 대응이 가능한 Cisco Umbrella를 “First Line” 위협 대응 솔루션으로 부르고 있습니다.
Cisco Umbrella 서비스를 제공하는 DNS주소(208.67.222.222)는 지난 10년동안 다운타임없이 지속적으로 안정적인 서비스를 제공해오고 있습니다. 또한 하루에 800억개 이상의 DNS 리퀘스트를 처리하고 있습니다. 이 수많은 데이터를 기반으로 매 시간 수 천개의 유해 사이트를 발견하고, 사전에 차단함으로써 일반 보안 솔루션의 수 배 이상의 성능과 정확도로 보안서비스를 제공하고 있는 것입니다. 기존 보안 솔루션의 도메인 평판 기반(이 사이트는 보안에 안전하다! 혹은 취학하다를 DB화한 정보)의 분석은 물론, 통계학적 모델 및 IP 스페이스 모니터링 예측법 등 새로운 기법을 연동하여 위협 분석에 대한 정확도를 높이는 작업이 가능합니다.
좀 더 확장된 기능이 필요하면 Cisco Umbrella Investigate를 통해 인터넷 전반에 걸친 도메인, IP 및 멀웨어에 대한 심도있는 정보를 분석함으로써 통신 사업자, 대규모 엔터프라이즈 보안분석팀등에 활용할 수 있는 훌륭한 보안 정보 소스가 될 수 있습니다.
중소규모의 기업에는 전문적인 보안 지식이 없어도 DNS 연동을 통해 효과적으로 침해 위협에 대응할 수 있는 장점이 있고, 대기업 및 통신사업자, 국가 정보 보호 기관 등에서는 Cisco Umbrella Investigate를 통해 보다 전문성 있고 심도있는 보안 대응 계획을 세울 수 있습니다. 멀웨어, Command&Control(C&C) 및 피싱 등과 같은 침해 위협의 폭우를 막는 안전한 보안 우산! 바로 Cisco Umbrella입니다.
Cisco Umbrella에 대한 자세한 내용은 백서에서 확인하실 수 있습니다.
| 시스코 전문가 칼럼으로
최신 IT 트렌드를 알아보세요! |
이 글은 정진기 보안 솔루션 스페셜리스트가 작성한 칼럼입니다. |
Tags:
