[RSAC 2018] 세계 최대 보안 컨퍼런스 노리는 악성 트래픽, 어떻게 잡나?

[디지털데일리 최민지기자] 사이버위협은 세계 최대 정보보안 전시회인 'RSA 컨퍼런스'에서도 여지없이 등장했다. 관람객들과 기업들을 공격하기 위한 악성 트래픽은 끊이지 않고 있다.

지난 16일(현지시간)부터 미국 샌프란시스코 모스콘센터에서 열린 'RSA 컨퍼런스 2018'에서는 행사장 내 위치한 '위협 상황판(Threat Wall)'을 통해 누구나 현장의 악성 트래픽 탐지 현황을 실시간으로 볼 수 있다.

이는 시스코의 기술력으로 구현됐다. 시스코의 스텔스와치(Stealthwatch), 침입방지(IPS) AMP,위협 그리드(IPS with AMP and Threat Grid)를 이용해 전 사용자의 트래픽 현황을 보여준다. 또, RSA 컨퍼런스의 SOC(Security Operation Center)에서는 행사장에서 연결되는 모든 무선 네트워크를 시스코 및 RSA 엔지니어가 관제를 하고 있다.

18일(현지시간)에 직접 상황판을 봤을 때 5개의 암호화된 트래픽이 검출됐고 이를 탐지해 차단한 모습을 확인할 수 있었다.

특히, 스텔스와치는 암호화된 트랙픽을 복호화없이 악성유무를 판단하는 ETA(Encrypted Traffic Analytics) 기능을 활용하고 있다.

이와 관련 마틴 리학 시스코 AMP 엔진개발 그룹 수석엔지니어<사진>는 이번 RSA 컨퍼런스에서 <디지털데일리>와 만나 '인터넷상 70~80% 데이터는 암호화돼 있는데, 악성코드 또한 암호화를 통해 정교해지고 있다'며 '이를 일일이 다 복호화하지 않아도 위협 유무를 파악할 수 있는 기술이 ETA'라고 말했다.

데이터 내용은 알 수 없어도 유형과 경로 등을 통해 악성코드를 진단할 수 있어 좀 더 효율적인 운영을 돕는다는 설명이다. 방대한 인텔리전스 위협 데이터를 통해 행위에 대한 통계를 분석하기 때문에 가능한 기능이다.

또한, 알려진 위협이 아닌 고도의 공격도 인텔리전스 위협 데이터를 기반으로 잡아내고, 이를 기록해 유사행위를 추적하고 시스코 탈로스에 알려 고객들에게 확대되지 않도록 보호한다.

리학 엔지니어는 '암호화된 공격을 파악하려면 위협 인텔리전스 역량과 머신러닝, 가시성 등의 기술력이 필요하다'며 '스텔스와치는 에이전트 설치 없이 감염 여부를 판단하고 네트워크를 관제한다'고 부연했다.

<샌프란시스코(미국)=최민지 기자>cmj@ddaily.co.kr

[제13회] 'NES 2018' 차세대 기업보안 세미나&전시회컨퍼런스에 여러분을 초대합니다.

독자 여러분 안녕하십니까?

비즈니스 환경이 정책과 맞물려 빠르게 바뀌고 있습니다. 사물인터넷(IoT), 클라우드, 빅데이터, 모바일 중심의 ICBM이 본궤도에 진입했고, 최근에는 블록체인까지 부상하고 있습니다. 가상화폐와 블록체인을 중심으로 한 정부정책도 물살을 타고 있으며, EU 일반 개인정보보호법(GDPR)은 국내 정책 변화를 예고하고 있습니다.

IT혁신 기술을 도입하는 기업에게 가장 큰 걸림돌은 보안 위협입니다. 어느때보다 보안위협에적극적으로 대응하고 위협을 사전단계부터 안전하게 관리할 수 있는 전사적인 보안전략이 요구되고 있습니다.

오는 4월26일(목) 국내 최고 수준의 차세대 엔터프라이즈 보안 전략 컨퍼런스(NES 2018)에많은 관심과 참여 부탁 드립니다.

자세한 행사 일정 및 프로그램 안내

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -