시스코의 최신 보안 툴이 암호화 트래픽에서 악성코드를 찾는 방법

시스코의 ETA(Encrypted Traffic Analytics)는 네트워크 패킷 메타데이터를 모니터링해 악의적인 트래픽을 감지하는 소프트웨어 플랫폼이다. 심지어 암호화돼 있어도 잡아낼 수 있다.

ETA가 처음 공개된 것은 지난 2017년 6월이다. 당시 시스코는 인텐트 기반 네트워크(intent-based network, IBN) 전략과 함께 ETA를 비공개 프리뷰로 발표했다. 최근 시스코는 ETA를 개발 당시 목적이었던 기업용 스위치 장비를 넘어 기존 데이터센터 네트워크 장비까지 확대 적용했다.



ETA란 무엇인가
ETA는 고객의 장비 내에 설치하는 제품으로, 네트워크를 모니터링하고 트래픽 흐름에 대한 정보를 수집한다. 네트워크 전반에 걸쳐 이를 통과하는 모든 트래픽을 조사한다. ETA는 로컬 분석 엔진은 물론, 익명의 메타데이터를 분석하는 클라우드 플랫폼을 함께 사용한다. 이를 통해 설사 암호화된 트래픽이라고 해도 악의적인 트래픽을 찾아 차단한다.

시스코는 ETA를 IBN 전략의 하나로 소개했다. 보안취약점을 변경하지 못하도록 하는 머신러닝 컴포넌트 등 IBN을 위해 별도로 개발한 최신 소프트웨어를 사용한다. 시스코는 암호화된 트래픽에 대해 보안취약성을 모니터링하는 방법을 처음으로 개발했다고 주장했다.

ETA의 동작 원리
ETA는 별도로 수정한 전용 넷플로우(NetFlow) 버전과 악성코드 가능성을 보여주는 특성 검색을 이용해 전체 트래픽 흐름에 대한 메타데이터를 수집하고 깨끗하게 전송된 초기 데이터 패킷을 정밀 조사한다. 설사 암호화된 트래픽이라고 해도 그 내부를 조사할 수 있다. 또한 패킷의 크기와 형태, 시퀀스는 물론 네트워크에 얼마나 오래 머물렀는지 등을 기록한다. 자체 서명된 인증서 등 의심스러운 특징이나 지휘 통제 식별자를 가졌는지 여부 등도 모니터링한다.

이러한 모든 데이터는 트래픽이 설사 암호화됐다고 해도 수집할 수 있다. 시스코는 자사 블로그를 통해 "ETA는 네트워크 가시성과 멀티 레이어 머신러닝을 이용해 정상적인 트래픽과 악성코드 트래픽을 구별한다"라고 설명했다. 만약 어떤 패킷에서든 악의적인 트래픽 특성이 확인되면 여기에 심층 패킷 분석(DPI)을 통해 추가 분석이 필요하다는 표식을 붙인 후 방화벽 같은 보안 어플라이언스를 통해 잠재적으로 격리한다.

ETA 모니터링 시스템에는 '스텔스와치(StealthWatch)'라는 이름이 붙었다. 클라우드 기반 데이터 스토어의 이름은 탈로스(Talos)다. 트래픽이 악의적인 것으로 확인되면 ETA는 이를 시스코의 DNA 센터 네트워크 관리 소프트웨어로 보고한다. 이 트래픽을 전체 네트워크에서 차단할 것인가를 결정하기 위해서다. 시스코는 ETA가 새로운 보안 취약점을 찾아 업데이트하도록 훈련하기 위해 머신러닝 알고리즘을 사용한다고 설명했다.

시스코의 부사장이자 엔터프라이즈 네트워킹 담당 GM인 스콧 하렐은 "보안 실무자에게 가시성은 다다익선이다. 실시간으로 어떤 일이 일어나는 지가 아니라 어떤 일이 발생했었는지에 대한 역사적인 데이터가 중요하다. 보안 분야에서는 많은 어떤 일이 발생하기 전에 징조가 있기 마련이다. 일단 잠재적인 악성코드 트래픽으로 판단되면, 어떤 호스트에서 트래픽이 시작됐고, 어떤 정보가 오고 갔는지 같은 정보가 문제의 범주를 결정하는 데 중요하다"라고 말했다.

ETA가 중요한 이유
ETA에 주목해야 하는 것은 점점 더 많은 트래픽이 암호화되고 있기 때문이다. 시스코는 현재 전 세계 웹 트래픽의 55%가 암호화된 것으로 추산한다. 가트너는 2019년까지 80%로 늘어날 것으로 전망한다. 해커의 최대 41%도 탐지를 피하기 위해 암호화를 사용한다고 시스코는 설명했다.

기업들은 자사 네트워크에서 암호화된 트래픽의 보안을 강화하기 위해 다양한 방안을 사용한다. 차세대 방화벽과 DPI, SSL(Secure Socket Layer) 같은 것들이다. 하렐은 "이런 툴은 장점과 단점을 모두 갖고 있다. 예를 들어 SSL 탐지는 악의적인 트래픽인 지 판단하기 위해 트래픽을 가로채 복호화한다. 안전하다고 확인될 때만 접속을 허용한다. 그러나 악성코드는 이 SSL 탐지를 취약한 상태로 만들어 영향을 줄 수 있다. 모든 트래픽을 복호화하고 사용자에게 접속을 허용하기 전에 다시 암호화하는 비효율적이다"라고 말했다.

IoT 보안
하렐은 ETA가 사물인터넷(IoT) 세계에서 특히 유용할 수 있다고 말했다. 암호화된 트래픽의 메타데이터를 모니터링할 수 있으므로, IoT 같은 소형 기기에 일일이 방화벽 같은 보안 툴을 심지 않아도 모든 IoT 트래픽을 분석할 수 있기 때문이다.

시스코는 ETA가 또다른 장점을 갖고 있다고 주장한다. 바로 암호화 관련 컴플라이언스다. 일부 기업은 법적인 규제 때문에 일정 수준의 암호화를 반드시 사용해야 한다. ETA는 메타데이터 분석을 통해 사용하는 보안 수준과 암호화 관련 규제를 제대로 준수하고 있음을 입증할 수 있다.

ETA 구매 방법
ETA는 현재 정식 판매하고 있다. 데이터센터와 지사 하드웨어 등에서 사용할 수 있다. 구체적인 지원 제품 모델은 카탈리스트(Catalyst) 9000 스위칭 제품군과 이전 세대와 현재 세대 ISR(Integrated Services Router), ASR(Aggregation Services Router)과 CSR(Cloud Services Router) 등이다. ETA는 이들 기기를 구매할 때 포함되며, '스텔스와치'가 포함된 시스코 원(Cisco ONE) 소프트웨어에 대한 구독 방식으로 구매할 수 있다. ciokr@idg.co.kr