‘보안 기업’ 시스코, 전략은?

“시스코는 전 세계 보안 시장에서 두 번째로 높은 매출을 차지하고 있다. 시스코 전체 매출에서 보안 사업이 차지하는 비율은 높지 않지만, 보안 시장만 떼어 놓고 보면 시스코의 영향력과 매출은 크다.”

이영미 시스코코리아 상무가 7월19일 서울 삼성동에서 열린 기자간담회에서 말했다. 이영미 상무는 글로벌 보안 시장의 주요 기업들의 2016년 매출을 비교해본 결과 시스코가 업계 2위였다고 설명했다.

네트워크 장비 기업으로 자리매김해온 시스코는 올 초 ‘보안 기업’임을 선포한 바 있다. 보안 사업에 주력하겠다는 것을 천명한 것이다. 이에 따라 시스코코리아는 지난 5월 안랩 출신의 배민 보안 사업 총괄 상무를 영입했다. 본격적으로 국내 보안 사업에 역량을 모으려는 모양새다. 시스코코리아는 이날 간담회에서 ‘디지털 트랜스포메이션을 위한 시스코의 지능형 보안 전략’을 발표했다.

▲배민 시스코코리아 상무가 7월19일 열린 기자간담회에서 발표를 하고 있다. (출처=시스코)

‘위협 중심 보안’ 전략

시스코는 ‘위협 인텔리전스’ 중심의 아키텍처 기반 솔루션과 인공지능(AI)을 근간으로 한 관제 서비스를 전략으로 내세웠다.

공격에 대한 시도가 시작된 후 직접적인 피해 전에 탐지하고 대응하기 위해서는 위협 침해와 탐지 사이의 시간을 나타내는 ‘위협 탐지 시간(TTD)’이 줄어들어야 한다. TTD 단축은 공격자의 활동 공간을 제한하고 침입 피해를 최소화하는 데 매우 중요하다. 이를 위해선 수많은 이벤트 가운데 위협에 대해 판단을 할 수 있는 정보가 필요하다. 시스코가 위협 인텔리전스에 집중하는 이유도 이 때문이다.

시스코 보안의 근간은 시스코의 보안 위협 센터 ‘탈로스’다. 탈로스는 연중 내내 쉼 없이 운영되며, 하루 200억개의 공격을 막아내고 있다. 구글에서 하루 발생하는 검색량(35억개)의 6배에 달하는 규모다.

시스코의 모든 제품이 탈로스 정보를 활용한다. 이 제품들은 탈로스의 위협 정보가 반영된 아키텍처로 구성돼 있으며, 부분적으로 도입된 경우에도 상호 보완적인 역할을 통해 효과를 증대시킨다.

암호 트래픽 분석 솔루션 ‘ETA’

시스코는 매년 증가하는 암호화된 악성 코드에 대응하기 위해 최근 암호화 트래픽 분석 솔루션 ‘ETA(Encrypted Traffic Analytics)’를 발표했다.

ETA는 플로우 메타 데이터 또는 플로우 내부에서 발생하는 이벤트에 대한 정보를 이용해 플로우 모니터링 시 정보를 수집·저장·분석한다. 이 데이터는 딥 패킷 검사를 더이상 실행하지 않기 때문에 트래픽이 암호화될 때 특히 유용하다.

플로우 메타 데이터는 플로우 내 메시지 길이, 도착 시간과 같은 프로토콜 세부 정보와 독립적인 새로운 유형의 데이터 요소 또는 원격 정보를 사용한다. 실제 데이터 기반의 실험에서 시스코는 0.01% 오탐률로 99% 이상의 정확도를 달성했다. 시스코가 대량의 위협 정보를 축적하고 분석하는 아키텍처를 보유했기에 가능했다.

시스코 ‘ATA’

시스코는 머신러닝 기반의 빅데이터 분석 플랫폼 ‘ATA’로 MDR(Managed Detection and Response) 서비스를 제공한다.

시스코는 고객이 ATA를 통해 자체적으로 MDR 환경을 구축하고 운영할 때 요구되는 초기 투자 비용, 유지보수 등 어려움을 해결할 수 있다고 소개했다. 고객은 ATA 서비스를 통해 검증된 위협 분석 대응 기술을 바로 적용하고, 머신러닝 기반의 분석 툴을 최신 업데이트하면서 전문가와 신속하게 대응할 수 있다. 또한 내재화를 통해 독립적 운영을 위한 프로세스를 확립할 수 있다.