보안

물리 보안 업체가 사이버 보안 서비스를 할 때 좋은 점…던바의 사이폰

John Breeden II | CSO 2017.09.07
특정 도시나 그 주변에 산다면 빨간색 장갑 트럭 옆에 새겨진 던바(Dunbar)라는 이름을 본 적이 있을 것이다(한국에서는 영화에서나 볼 수 있다. 편집자 주). 사이폰(Cyphon) 프로그램을 만든 던바는 원래 물리적 보안 업체로, 기업에서 은행과 안전 보관 시설, 때로는 연방 은행 시스템으로 현금을 수송하는 일을 하며, 물리적 보안 분야에서 성공한 기업이다. 사이폰은 서비스 형태의 보호를 사이버 보안 분야로 확장한다는 아이디어에서 나온 프로그램이다.

고객의 돈을 보호하는 일은 단순히 물리적인 보안 구조물을 짓고 무장 경비원이 탑승하는 장갑 트럭을 배치하는 것이 전부가 아니다. 이런 운영을 지원하는 디지털 인프라와 사이버 자산 역시 보호해야 한다.

던바 관계자는 "이렇게 모인 돈의 상당 부분은 결국 연방 은행 시스템의 일부로 디지털화된다. 은행 강도라고 해서 모두 총을 들고 마스크를 쓰지 않는다. 특히 최근에는 사이버 공간에서 주로 활동하는 은행 강도들이 큰 사건들을 저지르고 있다"고 설명했다.

이런 이유로 던바는 사이버 위협에 대처하고 조사하기 위한 강력한 툴이 필요했고 그래서 만들어진 것이 사이폰이다. 사이폰은 처음에는 회사 내부 자산을 보호하는 용도로 사용됐다. 이후 고객에게 서비스로 제공된 사이폰은 던바의 보호 서비스 모델에 잘 들어맞았다.

사이폰은 기본적으로 첨단 SIEM(Security Information & Event Management)으로, 자체 자산과 타 프로그램에서 이벤트를 수집할 수 있다. 이런 작업은 클라우드 인터페이스에서 수행되므로 사이폰 서비스를 사용하는 고객은 네트워크를 위한 전용 연결을 제공하고 유지할 필요가 없고, 던바에 네트워크 접근 권한을 부여할 필요도 없다. 이벤트는 고객의 클라우드 내부에서 수집되거나 고객 시스템에 의해 구내에서 수집된 다음, 조사 및 교정을 위해 사이폰 클라우드로 전송된다.

고객은 사이폰을 다루는 사이버 보안 분석가가 문제를 교정할 수 있도록 네트워크 접근을 허용해야 하지만 이는 문제를 해결해야 할 때, 시스템을 격리해야 할 때 또는 방화벽 설정 등을 변경해야 할 때만 해당된다.

사이폰 팀이 클라이언트 네트워크에서 수행하는 모든 작업은 투명하며 완전한 감사가 가능하다. 던바 팀이 보안 운영 센터(Security Operations Center) 내에서 다루는 인터페이스를 고객도 그대로, 똑같이 볼 수 있다. 다만 특정 분석가를 다양한 문제에 할당하는 등의 작업을 수행하는 기능이 없을 뿐이다. 간단히 말하자면 읽기 전용 권한을 가진 관리자라고 할 수 있다.

사이폰의 가격은 모니터링되는 엔드포인트와 호스트의 수에 따라 정해지지만 관리 서비스에 로그파일 검토가 포함되는 경우 하루에 처리되는 기가바이트 수가 기준이 된다. 그 외, 예를 들어 회사 내부 팀이 사이폰 전문가와 전화 통화를 해야 하는 경우 등 다른 접촉에 따른 부가적인 요금은 없다.

던바는 물리적 보안 사업에 뿌리를 둔 기업인 만큼 사이폰 프로그램의 독보적인 특징은 보편적으로 관리 서비스 또는 대부분의 사이버 보안 프로그램에 포함되지 않는 자산에서 이벤트를 수집할 수 있다는 것이다.

예를 들어 카메라를 부가적인 위협 정보 피드로 사용할 수 있다. 가장 기본적인 수준에서 보면 카메라를 사용해 건물 내부에 아무도 없어야 할 야간 시간대에 움직임을 탐지할 수 있다. 이보다 좀더 첨단 제어로는 휴가 중이어야 할 사용자가 갑자기 로컬 단말기에 로그인하는 경우 등의 다른 이벤트도 로깅이 가능하다. 카메라 시스템은 이러한 활동을 찾아서 녹화하고, 고객에게 직원이 부재 중인 동안 누군가가 직원의 ID나 로그인 정보를 훔쳐 사용 중일 수 있음을 알리고 비디오를 통해 누구인지 보여줄 수 있다.

또한 사이폰에는 소셜 미디어 모니터링 구성 요소도 있다. 카메라 인터페이스와 마찬가지로 세밀하게 구성이 가능하다. 이 구성 요소는 보호 대상 회사와 관련된 위협 또는 정보 유포를 검사할 수 있다. 사용자는 특정 지역에 지오펜스(geofence), 즉 가상 울타리를 구성해 그 지역에서 트윗이 올라오면 사이폰 시스템에서 경보를 울리도록 설정할 수 있다.

이 두 가지 독특한 영역 외에 사이폰은 다른 SIEM 프로그램, 네트워크 침입탐지 시스템(Intrusion Detection System, IDS) 경보, 엔드포인트 에이전트, 패킷 캡처, 방화벽 활동, 취약점 스캐너, 사물인터넷(IoT) 이벤트, 위협 피드, DLP(Data Loss Prevention) 플랫폼 및 기타 이미 고객 환경 내에서 실행 중인 요소를 포함해 일반적인 소스에서도 데이터를 가져올 수 있다. 고객이 처음부터 새로 시작하는 경우 사이폰은 자체 모니터링 에이전트를 설정할 수 있으며, 이미 설치된 다른 대부분의 보안 프로그램과 연동도 가능하다.

사이폰의 주 인터페이스는 깔끔하고 사용자가 편리하게 볼 수 있도록 이벤트를 정리, 분류한다. 테스트 가운데 하나의 공격이 다양한 프로그램과 소스에서 여러 지표를 겨냥했지만 사이폰은 손쉽게 모든 지표를 단일 사고로 통합했다. 사용자가 사이폰 서비스를 실행 중인 경우 던바의 팀이 사용자를 대신해 사이버 보안 작업을 수행하므로 인터페이스의 많은 부분이 생략될 수 있지만 주 대시보드에 접근해 상황을 살펴보는 것은 가능하다.


Credit: John Breeden/IDG

사고가 발생하면 사이폰은 먼저 해당 문제의 티켓을 발행해 상황을 알린다. 티켓 알림은 다양한 방법으로 전송이 가능하지만 대부분의 경우 이메일을 사용해 전송된다. 알림을 받은 고객은 던바 포털로 이동해 추가 정보를 보거나 내부 보안 팀과 던바 담당자 간의 통화를 지시할 수 있다.

또는 아무것도 하지 않고 계약한 던바 팀에 문제 해결을 맡겨도 된다. 다만 던바는 대화를 장려한다. 대화를 통해 고객은 원할 경우 문제 해결에 적극 참여하거나 던바에 맡기고 손을 뗄 수 있다.


Credit: John Breeden/IDG

모든 SOC가 그렇듯이 감염된 시스템 격리, 방화벽 및 보안 규칙 변경, 손상된 자산의 데이터 삭제 및 소독 등 분석가가 문제를 해결하는 데 사용할 수 있는 다양한 툴이 제공된다.

계약 팀이 수행하는 모든 작업은 고객에게 공개되며 문제 티켓 시스템을 통해 기록, 업데이트되고 사후 보고서를 통해 철저한 감사가 가능하다. 사이폰이 제공하는 폭넓은 상호작용과 투명성은 예를 들어 신참급 사이버 분석가는 많지만 경력이 풍부한 전문가는 부족한 회사에 큰 자산이 될 수 있다. 사고 대응 과정과 조치를 살펴보고 그 조치의 이유를 물어 확인할 수 있다는 것은 내부 팀의 기량을 향상하기 위한 좋은 방법이다.


Credit: John Breeden/IDG

사이버 보안을 서비스 형태로 구축하는 방법은 많은 조직에게 유리하다. 가트너가 서비스 형태의 사이버 보안을 유망한 보안 범주로 선정한 이유도 그래서다. 대부분의 기업은 사이버 보안에 초점을 두지 않는다. 이들 기업의 핵심 사명은 자전거나 바나나 등의 상품을 판매하는 것이다. 그러나 견실한 사이버 보안 없이 비즈니스를 운영할 경우 반드시 재해가 발생하게 된다. 그렇다면 신속하고 정확하게 그 역할을 수행할 수 있는 전문가에게 맡기는 편이 좋다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.