시스코, 기존 방화벽에 차세대 IPS, AMP 기능 통합한 차세대 방화벽 출시

시스코 코리아가 차세대 방화벽 솔루션을 발표했다.
시스코가 새롭게 선보인 '파이어파워 서비스가 탑재된 시스코 ASA(Cisco ASA with FirePOWER Services)'는 다계층 보안을 제공하는 차세대 방화벽으로, 가시성과 위협 대응에 초점을 맞춘 플랫폼 기반의 통합 솔루션이다.

이 제품은 기존 ▲애플리케이션 제어 기능을 갖춘 시스코 ASA 5500 시리즈 방화벽 ▲소스파이어의 차세대 침입방지시스템(NGIPS) ▲지능형 악성코드 차단((Advanced Malware Protection, 이하 AMP) 기능들과 통합 제공한다.

시스코 아태지역 보안아키텍처 총괄 상무 스티븐 데안은 30일 진행된 기자간담회에서 "몇년전부터 보안업계에서는 차세대 방화벽이라는 얘기를 많이 해 왔다. 그렇게 많은 보안업체들이 얘기해오고 있지만 위협이란 요소에 대해서는 놓쳐왔다"고 말했다.

데안은 "기존 차세대 방화벽에서는 AP 시그니처 기반으로 대응해왔는데, 정말 위험한 것은 제로데이 등 신종 악성코드와 지능형, 다중 경로를 통한 위협들이다. 기존 차세대방화벽에서는 이런 유형의 공격을 막아내지 못했다"고 평가했다.

최근 잠재적인 위협 자체에 초점을 맞추는 보안 방식이 주목을 받고 있는 시점에서, 시스코는 이 제품을 통해 공격 전, 중, 후 등 전 단계에 걸쳐 위협을 방어, 지능적인 보안 위협에 보다 효과적으로 대응할 수 있다고 밝혔다.

- 공격 전 단계: 보호해야할 대상을 파악하고 보호 대상에 대한 가시성을 강화한다. 이를 통해 적에게 노출되는 접점을 줄일 수 있다.

- 공격 중 단계: 실시간으로 탐지, 대응할 수 있는 솔루션이 필요해졌다.

- 공격 이후 단계: 공격을 당한 이후에도 사태 파악 및 사후 처리 대응이 매우 중요해졌다. 공격이후 해당 기업이 공격이 있었다는 것을 하루빨리 알아차리고 언제, 어디서 공격당했는지 감지해, 정상화하는 것이 중요하다.

스티븐 데안은 "기업들은 보안 투자에 대해 사전 단계에 많은 비중을 두고 있었는데, 최근에는 공격 중간 단계와. 공격이후 단계에도 많은 투자를 하고 있다"며, "이를 통해 새로운 공격 유형에 신속히 적응하고, 학습한 인텔리전스를 바탕으로 광범위하게 대응할 수 있는 보안에 대한 수요가 높아지고 있다"고 전했다.

또한 기업들은 시간적으로 공격 전 중 후 단계적 방어도 중요하지만 엔드포인트에서 네트워크, 시스템 코어까지 IT 인프라 전체의 보안을 담당해야 하는 상황이다.

스티븐 데안은 "불행하게도 하나의 보안 제품으로 모든 것을 막아낼 수 없다. 기업들은 이런 모든 제품들을 통합해 위협에 대해 방어할 수 밖에 없는 입장이다"며, "이를 위해 서드파티 솔루션에 대한 개방형 플랫폼이 필요한 것이다"고 말했다.

이런 보안 환경에서 시스코는 보안에 대한 가시성 강화, 위협 중심적 대응, 플랫폼 기반의 보안, 즉 3대 기본 전략을 제시했다.

- 강화된 가시성: 우선 네트워크 상에서 어떤 일이 일어나고 있는지 보여주는 것이 중요하다. 시스코는 사용자, 모바일 기기, 애플리케이션, 가상 M2M 통신, URL 등 중요 원격 측정에 대한 정보를 제공한다. 특히 엔터프라이즈급 관리 기능은 포괄적인 가시성을 위해 사용자에게 대시보드를 비롯해 발견된 호스트, 확인되지 않은 애플리케이션, 보안침해 흔적지표(Indicators of Compromise, IoC) 등을 제공한다.

- 위협 중심적 대응: 시스코는 포괄적 보안을 지원하는 '소스파이어의 차세대 침입방지 시스템(NGIPS)'과 지능형 악성코드 차단 솔루션(AMP)는 제로데이와 지능형 지속 공격(Advanced Persistent Threats, APT)에 대처할 수 있는 지능형 악성코드 차단 솔루션을 통합 제공한다.
이와 함께 빅데이터 분석, 지속 분석과 시스코 CSI(Collective Security Intelligence)를 함께 제공해 모든 유형의 공격에 대응 가능한 탐지, 차단, 추적, 분석, 복구 기능을 지원하고 있다.

- 플랫폼 기반의 보안: 검증된 방화벽 기능과 애플리케이션 제어, ‘소스파이어의 차세대 침입방지 시스템(NGIPS)’ 기능, 고급 유출 진단 및 복구 기능을 단일 디바이스로 통합한다. 따라서 기업은 한층 강화된 보호 기능을 사용하는 한편, 관리 포인트를 줄임으로써 운영 비용과 복잡성을 낮출 수 있다.

시스코는 '파이어파워 서비스가 탑재된 시스코 ASA'를 통해 기존의 차세대 방화벽과는 달리 지능형 위협(advanced threat)와 제로데이(zero day) 공격을 보다 효과적으로 막을 수 있다고 전했다. 이 솔루션은 지능형, 다중 경로 위협을 감지할 수 있는 뛰어난 가시성과 지속 분석(continuous analysis) 기능을 제공하며, 악성코드에 대한 대응을 간소화하고 자동화한다.

의사결정을 돕는 총체적인 보안침해 흔적지표(Indicators of Compromise, IoC)를 제공해 위협 조사, 파일 회귀분석, 통합 사고 대응 조사, 탐지 정책의 자동 업데이트를 가속화하는 점도 특징이다.

또한 이 제품의 기능은 엔터프라이즈급 스테이트풀(stateful) 방화벽, VPN, 클러스터링, 그리고 맞춤형 '소스파이어의 차세대 침입방지 시스템(NGIPS)' 위협 탐지 정책 등을 통해, 보안 효과를 최적화하는 개체 단위 애플리케이 및 위협기반 제어 기능을 기반으로 제공된다.

특히 스노트(Snort), 오픈앱ID(OpenAppID), 클램AV(ClamAV)와 오픈소스 보안 통합이 가능해 고객은 쉽고 빠르게 맞춤형 보안과 애플리케이션을 개발함으로써 새로운 또는 특정 위협에 대처할 수 있다.

다른 차세대 방화벽 개발업체와의 차별점을 제시하면서 시스코는 이런 모든 기능과 회귀적인 기능을 한 박스에 제공할 수 있다는 점을 들었다.

데안은 "이 모든 기능들을 관리하기 위해서는 인터페이스가 많이 필요한데 이를 한 박스에서 제공하는 건 시스코밖에 없다"고 강조했다.

데안은 "사실 다른 업체들도 같은 기능들을 모두 제공할 수 있다. 하지만 시스코가 제공하는 같은 레벨의 기능을 제공하기 위해 필요한 것들을 고려해 본다면 차별점을 충분히 파악할 수 있을 것이다"고 설명했다.

데안은 "물론 이 제품 하나로 모든 보안을 할 수 있는 것이 아니다. 하지만 공격 시점 관련한, 전체 네트워크와 시스템, 클라우드까지 전체 아키텍처 상에서 보안을 고려해야 한다"고 말했다.

데안은 "또하나 초점을 맞춰야 하는 것은 성능이다. 보안과 기능, 시스템 성능의 균형을 맞추는 것이 중요하다"고 덧붙였다. editor@itworld.co.kr