“차별화된 NGIPS로 글로벌 시장서도 경쟁우위”

홈 > 뉴스 > 뉴스 > 보안

“차별화된 NGIPS로 글로벌 시장서도 경쟁우위”

시큐아이 R&D센터, “새로운 NGIPS로 보안 패러다임 전환 이끌 것”

2016년 02월 19일 08:58:31

김선애 기자

iyamm@datanet.co.kr

시큐아이가 새로운 네트워크 보안 제품을 연이어 발표하며 대대적인 변신을 선언했다. 차세대 보안에서 요구하는 다양한 기능을 한 단계 더 발전시키는 한편, 지능형 공격 방어를 위한 에코시스템을 만들고 신속한 침해대응 기능을 업그레이드하고, 동시에 관리 편의성을 한층 높인 것이다. 최근 발표한 차세대 IPS ‘MFI 뉴에디션’은 시큐아이의 차세대 보안 전략을 보여주는 대표적인 제품으로, 콘텐츠 인지 기능을 한차원 더 업그레이드 시켜 지능적인 공격을 차단할 수 있도록 했다.

시큐아이 R&D센터의 김선호 수석연구원은 “공격의 패러다임이 바뀌고 있는 만큼, 보안 솔루션도 새로운 공격 트렌드에 맞는 기술을 개발시켜 나가야 한다. MFI는 이러한 이상을 기반으로 개발된 제품으로, 국내는 물론 글로벌 시장에서도 경쟁할 수 있는 기술적인 수준을 갖췄다”고 말했다.


▲‘MFI 뉴에디션’ 개발을 주도한 시큐아이 R&D센터

수동형·능동형 상황인지로 공격 탐지 능력 강화


▲김선호 수석연구원

새로운 MFI는 애플리케이션 인지, 사용자 인지 등 기존 차세대 보안 기술과 함께 콘텐츠 인지, 상황인지 기술을 한 차원 더 발전시켜 지능화되는 사이버 공격에 대비할 수 있도록 한다. 또한 보안 정책 적용을 자동화해 관리자의 개입을 최소화하면서 공격 탐지·차단 정확도를 높였다.

수동형·능동형 상황인지 기능을 접목해 탐지 정확도를 높였다는 점은 ‘MFI 뉴에디션’의 강점이다. 수동형 상황인지 기술은 기존 차세대 보안 기술에서도 제공하고 있지만, 능동형 상황인지 기술까지 접목하는 방식은 시큐아이가 처음으로 소개하는 전략이다.

수동형 상황인지는 네트워크 트래픽으로 부터 접속하는 단말의 IP 주소와 접속 국가 및 지역, 애플리케이션, OS 등의 정보를 실시간으로 분석하는 기술이며, 능동형 상황인지는 내부 망에서 운영중인 단말의 다양한 정보를 스캐너를 통해 수집하는 방식이다.

스캐너를 통해 수집된 취약점은 IPS 시그니처와 연동해 보안정책을 적용할 수 있는데, 예를 들어 스캐너에 CVE 취약점이 수집되면, IPS에 관련 시그니처 정책이 적용돼 있는지 확인하고 활성화해 보안을 강화할 수 있다.


▲이민호 책임연구원

이민호 책임연구원은 “글로벌 NGIPS 중에서도 단일 벤더에서 스캐너와 함께 내부 자원 정보를 연동하는 곳은 거의 없다”며 “수동적·능동적 상황인지 기술을 병행하는 방식으로 공격을 예상해 선제적으로 방어정책을 적용할 수 있으며, 각 트래픽 정보를 매칭해 공격 정탐률을 높여 보안을 더욱 강화할 수 있다”고 밝혔다.

프록시·암호화 가시성 높여 우회공격 차단

프록시를 통한 우회공격도 MFI에서 차단할 수 있다. 프록시를 통해 접속하는 경우, 접속자의 IP가 프록시 IP로 변경되기 때문에 발생한 트래픽의 실제 사용자를 알 수 없지만, MFI는 ‘엑스 포워디드 포 헤더(X-Forwarded-For Header)’의 정보를 활용해 공격자의 IP를 파악, 보안 정책에 적용할 수 있도록 했다.

양방향 암호화 트래픽 가시성도 획기적으로 개선된 부분이다. 암호화 트래픽에 숨어 유입되는 공격을 차단하는 것 뿐만 아니라 중요정보를 암호화해 유출하는 것도 지능적으로 차단할 수 있다.

이처럼 다양한 인지기능은 로그정보와 통합돼 이벤트 발생 시점의 상황을 관리자에게 제공하는 한편, 시큐아이가 운영하는 위협분석 및 대응시스템과 연동해 이벤트 발생 시점의 상황을 분석해 실제 공격 성공 가능성에 대한 정보를 제공한다.


▲한영호 책임연구원

다양한 보안 제품과 연동해 탐지능력 강화

실시간으로 발생하는 수많은 공격 이벤트 중 실제 기업/기관에 피해를 입히는 공격을 관리자가 직관적으로 알아내는 것은 쉽지 않은 일이다. MFI는 공격 위험 정도에 대한 점수를 수치화 해 대응 우선순위를 알려주는 장치도 마련했다.

한영호 책임연구원은 “MFI 뉴 에디션은 관리자가 실제 공격을 쉽고 정확하게 분석하고 빠르게 대처할 수 있도록 지원하는 한편, 미리 공격을 예측해 선제방어 할 수 있도록 했다”고 말했다.

선제방어를 위한 방법으로, MFI에서 발생한 이벤트를 관리자가 클릭해 시큐아이 침해대응센터와 연동시켜 신속한 피드백을 제공받을 수 있다. 분석 지원 요청이 발생하면 즉시 등록 결과를 알리고, 정오탐 분석 및 결과를 STIC(SECUI Threat Intelligence Center)와 연계해 악성코드 및 URL에 대한 점검까지 수행하며 메일로 신속하게 분석 결과를 통보한다.


▲서연식 선임연구원

서연식 선임연구원은 “MFI는 제품 자체에서 분석한 정보를 제공할 뿐 아니라 타사 제품에서 발생하는 이벤트와 연계한 분석정보도 제공하며, 관리자가 직관적으로 알아볼 수 있게 해 정책에 반영할 수 있도록 한다”며 “클릭 한 두 번만으로 정책 변경이 가능하고, 상세하고 다양한 정보 분석을 제공해 오·미탐을 줄이고 정탐률을 높일 수 있다”고 설명했다.

김선호 수석연구원은 “시큐아이는 NGIPS의 획기적인 성능과 기능 개선을 통해 국내 시장에서의 입지를 확고히 다지는 한편, 글로벌 시장에서도 경쟁력을 강화할 수 있도록 했다”며 “MFI 뉴 에디션은 외산 제품과 경쟁할 수 있는 수준의 기술력을 제공해 글로벌 시장에서도 충분히 경쟁우위를 가질 수 있다고 자신한다”고 밝혔다.