검수요청.png검수요청.png

"웹엑스"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
(시스토 웹엑스 보안 모델)
1번째 줄: 1번째 줄:
 
[[파일:시스코 글자.png|썸네일|300픽셀|'''[[시스코]]'''(CISCO)]]
 
[[파일:시스코 글자.png|썸네일|300픽셀|'''[[시스코]]'''(CISCO)]]
  
'''웹엑스'''<!--웹 엑스-->(Webex)는 '''[[시스코]]'''(CISCO)가 만든, 화상회의를 포함한 리모트콜, 보안솔루션 등을 포함한 기업용 원격근무 시스템이다.<ref name="류은주">류은주 기자, 〈[http://it.chosun.com/site/data/html_dir/2021/02/23/2021022302672.html (단독) 삼성, 시스코 웹엑스 쓴다]〉, 《아이티조선》, 2021-02-26</ref>1995년 설립된 1세대 화상회의 서비스 회사인 웹엑스는 2007년 나스닥 상장 기업인 시스코 시스템즈(CSCO)가 인수했고, 2020년 코로나19의 전 세계적인 확산을 통해 새롭게 재발견됐다. 시스코에 따르면 웹엑스는 코로나19 유행이 한창이던 2020년 아태지역에서 3.5배, 미주에서 2.5배 유럽에선 4배의 사용자 성장세를 기록했다. 인지도가 국내에서는 낮지만 월 사용자 수가 3억명 이상이다. 코로나19 초기엔 사용이 편리한 줌의 사용량이 많았지만, 줌의 보안 문제가 불거지면서 웹엑스가 주목받기 시작했다.
+
'''웹엑스'''<!--웹 엑스-->(Webex)는 '''[[시스코]]'''(CISCO)가 만든, [[화상회의]]를 포함한 [[리모트콜]], [[보안솔루션]] 등을 포함한 기업용 [[원격]]근무 [[시스템]]이다.<ref name="류은주">류은주 기자, 〈[http://it.chosun.com/site/data/html_dir/2021/02/23/2021022302672.html (단독) 삼성, 시스코 웹엑스 쓴다]〉, 《아이티조선》, 2021-02-26</ref>1995년 설립된 1세대 화상회의 [[서비스]] [[회사]]인 웹엑스는 2007년 [[나스닥]] 상장 기업인 [[시스코 시스템즈]](CSCO)가 인수했고, 2020년 [[코로나19]]의 전 세계적인 확산을 통해 새롭게 재발견됐다. 시스코에 따르면 웹엑스는 코로나19 유행이 한창이던 2020년 [[아시아 태평양]] 지역에서 3.5배, [[아메리카]]에서 2.5배 [[유럽]]에서 4배의 [[사용자]] 성장세를 기록했다. 인지도가 국내에서는 낮지만 월 사용자 수가 3억명 이상이다. 코로나19 초기엔 사용이 편리한 줌의 사용량이 많았지만, [[줌]]의 보안 문제가 불거지면서 웹엑스가 주목받기 시작했다.
  
 
==특징==
 
==특징==
웹엑스는 제로 트러스트(Zero Trust) 원칙을 가지고 지속적으로 보안에 집중하고 있다. 제로 트러스트는 '아무도 믿지 않는다'라는 의미로 '네트워크, 애플리케이션 및 환경 전반에 걸친 모든 액세스를 보호하는 포관적 접근 방식'이다. 사용자 인증 없이는 접속을 원천차단하여 안전한 원격접속을 유지하는 것이다. 이 원칙에 따라 시스코는 웹엑스의 보안을 철저하게 관리한다. 시스코는 강력한 보안을 웹엑스의 강점으로 내세운다. 시스코 보안 전문성이 녹아난 솔루션인 웹엑스는 '보안을 저해하지 않는 협업'을 기본 원칙으로 두고 만들어졌다. 모든 회의 데이터가 실시간으로 암호화되는 종단간 암호화가 웹엑스에 적용되어있고, 녹화된 회의는 암호화된다. 이는 클라우드 환경에서도 동일한 보안과 확장성을 제공하고, 주로 텔레그램 등 보안 중심 메신저에서 활용된다. 데이터 전송 과정에서 데이터가 도난당한다 하더라도 이용자만 키를 갖고 있기 때문에 재조합이 불가능하다. 모든 메시지, 파일, 작업이 전송과 저장, 이용 중에 암호화되어서 클라우드 센터로 침투하더라도 복호화할 방법이 없다.  또한, 자체 모의 테스트에서 발견된 보안 취약점을 공유하여 기업의 신속한 취약점 대응을 돕고있으며, 코로나19 지원책으로 시스코 보안 솔루션 무료 라이선스 확장 정책을 발표했다.<ref name="이건한">이건한, 〈[https://www.bloter.net/newsView/blt202101190001 시스코 웹엑스, 국회·청와대 언택트 소통 채널로 부상]〉, 《블로터》, 2021-01-19</ref> 시스코는 2018년 부터 3년간 보안에 50억달러 이상을 투자했으며, 별도로 보안 팀을 운영한다. 시스코 제품 보안 취약점 정보를 수집, 조사하는 업무를 전담하는 글로벌 팀 'PSIRT'는 24시간 가동되어 보안 위협을 식별한다. 시스코 사이버조사와 포렌식 팀인 'CSIRT'는 컴퓨터 보안 사고에 대한 포괄적 조사를 수행한다. 인증기관으로 부터 지속적인 검증을 받아 표준 준수와 보안성을 입증하고 있으며,  아이에스오(ISO) 27001 인증, 개인정보보호체계 인증 등을 보유했다. 마이크로소프트(MS)의 '팀즈' 등 각종 협업 솔루션을 단일 솔루션으로 통일하여 일원화된 환경을 구축한다.<ref name="오다인">오다인 기자, 〈[https://m.etnews.com/20200908000082 시스코 '엡웩스', 보안성 힘입어 국회 입성]〉, 《전자신문인터넷》, 2020-09-08</ref>
+
웹엑스는 제로 트러스트(Zero Trust) 원칙을 가지고 지속적으로 [[보안]]에 집중하고 있다. 제로 트러스트는 '아무도 믿지 않는다'라는 의미로 '[[네트워크]], [[애플리케이션]] 및 환경 전반에 걸친 모든 [[액세스]]를 보호하는 포관적 접근 방식'이다. 사용자 인증 없이는 접속을 원천차단하여 안전한 원격접속을 유지하는 것이다. 이 원칙에 따라 시스코는 웹엑스의 보안을 철저하게 관리한다. 시스코는 강력한 보안을 웹엑스의 강점으로 내세운다. 시스코 보안 전문성이 녹아난 솔루션인 웹엑스는 '보안을 저해하지 않는 협업'을 기본 원칙으로 두고 만들어졌다. 모든 회의 [[데이터]]가 실시간으로 [[암호화]]되는 종단간 암호화가 웹엑스에 적용되어있고, 녹화된 회의는 암호화된다. 이는 [[클라우드]] 환경에서도 동일한 보안과 확장성을 제공하고, 주로 [[텔레그램]] 등 보안 중심 [[메신저]]에서 활용된다. 데이터 전송 과정에서 데이터가 도난당한다 하더라도 이용자만 키를 갖고 있기 때문에 재조합이 불가능하다. 모든 [[메시지]], [[파일]], 작업이 전송과 저장, 이용 중에 암호화되어서 클라우드 센터로 침투하더라도 복호화할 방법이 없다.  또한, 자체 모의 테스트에서 발견된 보안 취약점을 공유하여 기업의 신속한 취약점 대응을 돕고있으며, 코로나19 지원책으로 시스코 보안 솔루션 무료 [[라이선스]] 확장 정책을 발표했다.<ref name="이건한">이건한, 〈[https://www.bloter.net/newsView/blt202101190001 시스코 웹엑스, 국회·청와대 언택트 소통 채널로 부상]〉, 《블로터》, 2021-01-19</ref> 시스코는 2018년 부터 3년간 보안에 50억달러 이상을 투자했으며, 별도로 보안 팀을 운영한다. 시스코 제품 보안 취약점 정보를 수집, 조사하는 업무를 전담하는 글로벌 팀 'PSIRT'는 24시간 가동되어 보안 위협을 식별한다. 시스코 사이버조사와 포렌식 팀인 'CSIRT'는 컴퓨터 보안 사고에 대한 포괄적 조사를 수행한다. 인증기관으로 부터 지속적인 검증을 받아 표준 준수와 보안성을 입증하고 있으며,  아이에스오(ISO) 27001 인증, 개인정보보호체계 인증 등을 보유했다. [[마이크로소프트]](MS)의 '팀즈' 등 각종 협업 솔루션을 단일 솔루션으로 통일하여 일원화된 환경을 구축한다.<ref name="오다인">오다인 기자, 〈[https://m.etnews.com/20200908000082 시스코 '엡웩스', 보안성 힘입어 국회 입성]〉, 《전자신문인터넷》, 2020-09-08</ref>
  
 
==보안==
 
==보안==
 
===시스코 웹엑스 보안 모델===
 
===시스코 웹엑스 보안 모델===
시스코는 클라우드 보안 분야에서 리더십을 지속해서 유지하기 위해 노력하고 있다. 시스코 에스티오(Cisco Security & Trust Organization)는 시스코의 모든 팀과 협력하여 보안과 신뢰, 투명성을 핵심 인프라의 설계, 개발, 운영에 활용되는 프레임워크에 더해 모든 부분에서 가장 엄격한 보안 기준을 충족시킨다. 또한 사이버 보안 위험을 극소화하고 관리하는 데 필요한 정보를 고객에게 제공하기 위해 집중한다. 시스코 웹엑스 보안 모델은 시스코 프로세스와 동일한 보안 기반에서 구현된다. 시스템 웹엑스 사업부는 기본 원칙을 기반으로 안전한 시스코 웹엑스 서비스를 개발, 운영, 모니터링한다.<ref name="시스코">시스코, 〈[https://www.cisco.com/c/dam/global/ko_kr/products/collaboration/conferencing/webex-meeting-center/KR_white_paper_c11-737588.pdf Cisco Webex Meetings의 보안]〉, 《시스코》, 2020-02-19</ref>
+
시스코는 클라우드 보안 분야에서 리더십을 지속해서 유지하기 위해 노력하고 있다. 시스코 에스티오(Cisco Security & Trust Organization)는 시스코의 모든 팀과 협력하여 보안과 신뢰, 투명성을 핵심 인프라의 [[설계]], [[개발]], [[운영]]에 활용되는 [[프레임워크]]에 더해 모든 부분에서 가장 엄격한 보안 기준을 충족시킨다. 또한 [[사이버]] 보안 위험을 극소화하고 관리하는 데 필요한 정보를 고객에게 제공하기 위해 집중한다. 시스코 웹엑스 보안 모델은 시스코 프로세스와 동일한 보안 기반에서 구현된다. 시스템 웹엑스 사업부는 기본 원칙을 기반으로 안전한 시스코 웹엑스 서비스를 개발, 운영, 모니터링한다.<ref name="시스코">시스코, 〈[https://www.cisco.com/c/dam/global/ko_kr/products/collaboration/conferencing/webex-meeting-center/KR_white_paper_c11-737588.pdf Cisco Webex Meetings의 보안]〉, 《시스코》, 2020-02-19</ref>
  
 
===시스코 보안 도구 및 프로세스===
 
===시스코 보안 도구 및 프로세스===
보안을 최우선으로 하는 시스코는 세계 정상급 제품과 서비스를 개발하고 출시하기 때문에 체계적인 보안 전략을 추구한다. 시스코의 모든 개발 팀은 시스코 에스디엘(Cisco SDL, Secure Development Lifecycle)을 준수해야 한다. 시스코 에스디엘은 시스코 제품의 복원력과 신뢰도를 높이도록 설계된 일관적이고 안정적인 프로세스이다. 에스디엘의 모든 단계에 도입된 프로세스와 인식 교육은 제품의 복원력에 대한 전략 확립과 심층 방어 체제 유지하는 데 도움이 된다. 시스코 웹엑스 제품 개발 팀은 제품 개발의 모든 단계에서 이 라이프사이클을 철저히 준수한다.<ref name="시스코"/>
+
보안을 최우선으로 하는 시스코는 세계 정상급 제품과 서비스를 개발하고 출시하기 때문에 체계적인 보안 전략을 추구한다. 시스코의 모든 개발 팀은 시스코 에스디엘(Cisco SDL, Secure Development Lifecycle)을 준수해야 한다. 시스코 에스디엘은 시스코 제품의 복원력과 신뢰도를 높이도록 설계된 일관적이고 안정적인 프로세스이다. 에스디엘의 모든 단계에 도입된 프로세스와 인식 교육은 제품의 복원력에 대한 전략 확립과 심층 방어 체제 유지하는 데 도움이 된다. 시스코 웹엑스 제품 개발 팀은 제품 개발의 모든 단계에서 이 [[라이프사이클]]을 철저히 준수한다.<ref name="시스코"/>
  
 
시스코 에스티오(Cisco Security & Trust Organization)는 프로세스와 도구를 제공하여 모든 개발자가 보안 조치를 일관성 있게 취할 수 있도록 한다. 이를 통해 제품 개발 프로세스의 불확실성을 해결할 수 있다.<ref name="시스코"/>
 
시스코 에스티오(Cisco Security & Trust Organization)는 프로세스와 도구를 제공하여 모든 개발자가 보안 조치를 일관성 있게 취할 수 있도록 한다. 이를 통해 제품 개발 프로세스의 불확실성을 해결할 수 있다.<ref name="시스코"/>
21번째 줄: 21번째 줄:
 
* 개발자가 자체 제작한 보안 코드가 아닌 기 검증 또는 인증된 라이브러리 사용
 
* 개발자가 자체 제작한 보안 코드가 아닌 기 검증 또는 인증된 라이브러리 사용
 
* 개발 완료 후 보안 결함을 찾는 데 사용되는(정적 및 동적 분석용) 보안 취약점 테스트
 
* 개발 완료 후 보안 결함을 찾는 데 사용되는(정적 및 동적 분석용) 보안 취약점 테스트
* 시스코 및 타사 라이브러리를 모니터링하고, 취약점이 발견되면 알려주는 소프트웨어 추적
+
* 시스코 및 타사 라이브러리를 모니터링하고, 취약점이 발견되면 알려주는 [[소프트웨어]] 추적
  
시스코는 보안 프로세스를 회사전체적으로 구현하고 관리하는 전담 부서를 두고 있으며, 다음과 같은 조직을 기반으로 보안 위협과 문제를 지속해서 파악한다.<ref name="시스코"/>
+
시스코는 보안 프로세스를 회사 전체적으로 구현하고 관리하는 전담 부서를 두고 있으며, 다음과 같은 조직을 기반으로 보안 위협과 문제를 지속해서 파악한다.<ref name="시스코"/>
  
 
'''시스코 인포섹 클라우드 팀'''
 
'''시스코 인포섹 클라우드 팀'''
  
시스코 인포섹 클라우드(Cisco InfoSec Clooud_ 팀은 클라우드 사업부 최고 보안 책임자가 이끌며, 고객에게 안전한 시스코 웹엑스 환경을 제공할 책임이 있다. 이러한 목표를 달성하기 위해 시스코 인포섹 클라우드 팀은 시스코 웹엑스를 고객에게 제공하는 과정에서 관여하는 모든 부서에서 사용할 보안 프로세스와 도구를 규정하고 배포한다. 또한 시스코 웹엑스에 대한 모든 보안 위협에 대응하기 위해 시스코의 다른 팀과 협력하고, 시스코 웹엑스의 보안 상태 도한 꾸준히 개선한다.<ref name="시스코"/>
+
시스코 인포섹 클라우드(Cisco InfoSec Clooud) 팀은 클라우드 사업부 최고 보안 책임자가 이끌며, 고객에게 안전한 시스코 웹엑스 환경을 제공할 책임이 있다. 이러한 목표를 달성하기 위해 시스코 인포섹 클라우드 팀은 시스코 웹엑스를 고객에게 제공하는 과정에서 관여하는 모든 부서에서 사용할 보안 프로세스와 도구를 규정하고 배포한다. 또한 시스코 웹엑스에 대한 모든 보안 위협에 대응하기 위해 시스코의 다른 팀과 협력하고, 시스코 웹엑스의 보안 상태 도한 꾸준히 개선한다.<ref name="시스코"/>
  
 
'''시스코 제품 보안사고 대응 팀'''
 
'''시스코 제품 보안사고 대응 팀'''
34번째 줄: 34번째 줄:
 
보고 형식은 다음과 같은 조건에 다라 달라진다.
 
보고 형식은 다음과 같은 조건에 다라 달라진다.
 
* 취약점을 해소할 수 있는 소프트웨어 패치 도는 대책을 이미 확보했거나, 심각한 취약점을 해소할 수 있는 코드 픽스를 곧 공개할 예정인 경우
 
* 취약점을 해소할 수 있는 소프트웨어 패치 도는 대책을 이미 확보했거나, 심각한 취약점을 해소할 수 있는 코드 픽스를 곧 공개할 예정인 경우
* 시스코 피시알티가 시스코 고객에게 더 큰 위험을 줄 수 있는 취약점을 적극적으로 악용한 사례를 확인한 경우. 보안 패치가 준비되지 않았더라도, 해당 취약점을 설명하는 보안 공지를 최대한 빨리 게시한다.
+
* 시스코 피시알티가 시스코 고객에게 더 큰 위험을 줄 수 있는 취약점을 적극적으로 악용한 사례를 확인한 경우. 보안 [[패치]]가 준비되지 않았더라도, 해당 취약점을 설명하는 보안 공지를 최대한 빨리 게시한다.
 
* 시스코 제품에 영향을 미치는 취약점에 대한 대중의 인식 부족으로 시스코 고객이 더 큰 위험에 빠질 수 있는 경우. 이 경우도 패치를 배포할 준비가 되지 않았더라도 고객에게 상황을 경고한다.
 
* 시스코 제품에 영향을 미치는 취약점에 대한 대중의 인식 부족으로 시스코 고객이 더 큰 위험에 빠질 수 있는 경우. 이 경우도 패치를 배포할 준비가 되지 않았더라도 고객에게 상황을 경고한다.
 
어떠한 경우가 발생하더라도 최종 사용자가 취약점의 영향을 평가하고 자사의 환경 보호에 필요한 조치를 취하기 위해 필요한 최소한의 정보만 공개한다. 시스코 피에스알티는 공개된 문제의 심각도를 평가하기 위해 시브이에스에스((Common Vulnerability Scoring System, CVSS) 척도를 사용한다. 더불어 취약점을 악용할 가능성을 고려해 취약점의 세부 정보를 공개하지 않는다.<ref name="시스코"/>
 
어떠한 경우가 발생하더라도 최종 사용자가 취약점의 영향을 평가하고 자사의 환경 보호에 필요한 조치를 취하기 위해 필요한 최소한의 정보만 공개한다. 시스코 피에스알티는 공개된 문제의 심각도를 평가하기 위해 시브이에스에스((Common Vulnerability Scoring System, CVSS) 척도를 사용한다. 더불어 취약점을 악용할 가능성을 고려해 취약점의 세부 정보를 공개하지 않는다.<ref name="시스코"/>
40번째 줄: 40번째 줄:
 
'''보안 책임 분담'''
 
'''보안 책임 분담'''
  
보안에 대한 책임은 시스코 웹엑스 그룹의 모든 구성원이 분담하지만, 주요 책임자는 다음과 같다.<ref name="시스코"/>
+
보안에 대한 책임은 시스코 웹엑스 [[그룹]]의 모든 구성원이 분담하지만, 주요 책임자는 다음과 같다.<ref name="시스코"/>
 
* 클라우드 사업부 최고 보안 책임자
 
* 클라우드 사업부 최고 보안 책임자
 
* 시스코 클라우드 협업 애플리케이션 사업부 부사장 겸 총책임
 
* 시스코 클라우드 협업 애플리케이션 사업부 부사장 겸 총책임
48번째 줄: 48번째 줄:
 
시스코 웹엑스 그룹은 엄격한 침투 테스트를 내부 평가자를 활용해 정기적으로 실시한다. 시스코 인포섹 클라우드 팀은 기업과 정부용 애플리케이션의 미션 크리티컬한 보안 요건을 검증하기 위해서 시스코의 엄격한 내부 절차와 별도로 시스코의 내부 정채과 절차, 애플리케이션을 엄격히 감사하는 작업을 여러 개의 독립평가기관에 의뢰한다. 또한 시스코는 다른 평가 기관과 계약하여 코드 지원 방식의 침투 테스트와 서비스 평가를 지속해서 심층적으로 실시한다. 평가 기관은 계약에 근거하여 다음과 같은 보안 상태를 평가한다.
 
시스코 웹엑스 그룹은 엄격한 침투 테스트를 내부 평가자를 활용해 정기적으로 실시한다. 시스코 인포섹 클라우드 팀은 기업과 정부용 애플리케이션의 미션 크리티컬한 보안 요건을 검증하기 위해서 시스코의 엄격한 내부 절차와 별도로 시스코의 내부 정채과 절차, 애플리케이션을 엄격히 감사하는 작업을 여러 개의 독립평가기관에 의뢰한다. 또한 시스코는 다른 평가 기관과 계약하여 코드 지원 방식의 침투 테스트와 서비스 평가를 지속해서 심층적으로 실시한다. 평가 기관은 계약에 근거하여 다음과 같은 보안 상태를 평가한다.
 
* 중요한 애플리케이션/서비스의 취약점 식별 및 솔루션 제시
 
* 중요한 애플리케이션/서비스의 취약점 식별 및 솔루션 제시
* 전반적인 아키텍처 개선안 제시
+
* 전반적인 [[아키텍처]] 개선안 제시
* 코딩 오류 식별, 코딩 작업 개선안 제시
+
* [[코딩]] 오류 식별, 코딩 작업 개선안 제시
독립평가기관은 시스코 웹엑스 엔지니어링 직원을 통해 평가 결과를 직접 전달하고 해결책을 검증한다. 시스코 인포섹 클라우드 팀은 필요한 경우 증명서를 평가 기관으로부터 발급받아 공개할 수 있다.<ref name="시스코"/>
+
독립평가기관은 시스코 웹엑스 [[엔지니어링]] 직원을 통해 평가 결과를 직접 전달하고 해결책을 검증한다. 시스코 인포섹 클라우드 팀은 필요한 경우 증명서를 평가 기관으로부터 발급받아 공개할 수 있다.<ref name="시스코"/>
  
 
===시스코 웹엑스 데이터센터 보안===
 
===시스코 웹엑스 데이터센터 보안===
시스코 웹엑스는 시스코 웹엑스 클라우드를 통해 제공되는 에스에이에이에스(Software-as-a-Service, SaaS) 솔루션이다. 업계 최고의 성능과 통합, 유연성, 확장성, 가용성을 지닌 매우 안전한 서비스 제공 플랫폼인 시스코 웹엑스 클라우드는 실시간 온라인 커뮤니케이션용으로 특별히 개발된 솔루션이다. 시스코 웹엑스 미팅(Cisco Webex Meetings) 세션은 전 세계 여러 데이터센터에 배치된 스위칭 장비를 사용한다. 전략적으로 주요 인터넷 액세스 포인트와 가까운 곳에 배치되는 데이터센터는 전용 고대역폭 광섬유 통신을 사용하여 전 세계의 트래픽을 전송한다. 시스코는 산업 표준 엔터프라이즈급 보안을 기반으로 시스코 웹엑스 클라우드의 전체 인프라를 운영한다. 또한 시스코는 백본 연결, 인터넷 피어링, 글로벌 사이트 백업 및 캐싱 기술을 지원하는 네트워크 피오피(Point-of-Presence, PoP) 센터를 운영함으로서 최종 사용자에게 제공되는 성능과 가용성을 지속해서 개선한다.<ref name="시스코"/>
+
시스코 웹엑스는 시스코 웹엑스 클라우드를 통해 제공되는 에스에이에이에스(Software-as-a-Service, SaaS) 솔루션이다. 업계 최고의 성능과 통합, 유연성, 확장성, 가용성을 지닌 매우 안전한 서비스 제공 플랫폼인 시스코 웹엑스 클라우드는 실시간 온라인 커뮤니케이션용으로 특별히 개발된 솔루션이다. 시스코 웹엑스 미팅(Cisco Webex Meetings) 세션은 전 세계 여러 데이터센터에 배치된 스위칭 장비를 사용한다. 전략적으로 주요 [[인터넷]] 액세스 포인트와 가까운 곳에 배치되는 데이터센터는 전용 고대역폭 광섬유 통신을 사용하여 전 세계의 [[트래픽]]을 전송한다. 시스코는 산업 표준 엔터프라이즈급 보안을 기반으로 시스코 웹엑스 클라우드의 전체 [[인프라]]를 운영한다. 또한 시스코는 백본 연결, [[인터넷 피어링]], 글로벌 사이트 [[백업]] [[캐싱]] 기술을 지원하는 네트워크 피오피(Point-of-Presence, PoP) 센터를 운영함으로서 최종 사용자에게 제공되는 성능과 가용성을 지속해서 개선한다.<ref name="시스코"/>
  
 
====물리적 보안====
 
====물리적 보안====
59번째 줄: 59번째 줄:
  
 
====인프라 및 플랫폼 보안====
 
====인프라 및 플랫폼 보안====
플랫폼 보안은 시스템 웹엑스가 관리하는 네트워크, 시스템 및 전체 데이터센터의 보안을 포괄한다. 모든 시스템이 철저한 보안 심사와 승인 검증 과정을 프로덕션 배포 거친다 하더라도, 배포 후에도 정기적인 강화, 보안 패치, 취약점 검사 및 평가를 받는다. 서버는 엔아이에스티(National Institute of Standards and Technology, NIST)가 발행한 에스티지(Security Technical Implementation Guidelines, STIG)를 사용하여 보강된다. 방화벽은 방화벽 자체와 네트워크 경계를 보호하고, 에이시엘(Access Control List, ACL)은 다양하게 보안 영역을 분리한다. 활동을 지속해서 기록하고 모니터링하는 침입 방지 시스템(IDS)도 설치되어있다. 시스코 웹엑스 클라우드를 대상으로 매일 내부 및 외부 보안 검사가 실시된다. 게다가, 모든 시스템은 강화 및 패치되어 정기 유지 보수되고 취약점 검사와 평가가 지속해서 이뤄진다. 보안 계획의 핵심 요소인 서비스 연속성 및 재해 복구를 위해 시스코 데이터센터는 글로벌 사이트 백업 체제와 고가용성 설계 구조를 통해 시스코 웹엑스 서비스의 지리적 장애 조치를 지원하고, 단일 장애 지점(SPOF)이 생기지 않도록 한다.<ref name="시스코"/>
+
플랫폼 보안은 시스템 웹엑스가 관리하는 네트워크, 시스템 및 전체 데이터센터의 보안을 포괄한다. 모든 시스템이 철저한 보안 심사와 승인 검증 과정을 프로덕션 배포 전에 거친다 하더라도, 배포 후에도 정기적인 강화, 보안 패치, 취약점 검사 및 평가를 받는다. 서버는 엔아이에스티(National Institute of Standards and Technology, NIST)가 발행한 에스티지(Security Technical Implementation Guidelines, STIG)를 사용하여 보강된다. 방화벽은 방화벽 자체와 네트워크 경계를 보호하고, 에이시엘(Access Control List, ACL)은 다양하게 보안 영역을 분리한다. 활동을 지속해서 기록하고 모니터링하는 침입 방지 시스템(IDS)도 설치되어있다. 시스코 웹엑스 클라우드를 대상으로 매일 내부 및 외부 보안 검사가 실시된다. 게다가, 모든 시스템은 강화 및 패치되어 정기 유지 보수되고 취약점 검사와 평가가 지속해서 이뤄진다. 보안 계획의 핵심 요소인 서비스 연속성 및 재해 복구를 위해 시스코 데이터센터는 글로벌 사이트 백업 체제와 고가용성 설계 구조를 통해 시스코 웹엑스 서비스의 지리적 장애 조치를 지원하고, 단일 장애 지점(SPOF)이 생기지 않도록 한다.<ref name="시스코"/>
  
 
===시스코 웹엑스 암호화===
 
===시스코 웹엑스 암호화===
 
====실행과 동시에 암호화====
 
====실행과 동시에 암호화====
시스템 웹엑스 애플리케이션과 시스코 웹엑스 클라우드 간의 모든 통신은 암호화된 채널을 통해 이뤄진다. 시스코 웹엑스는 티엘에스(TLS) 1.2 프로토콜과 고강도 암호화 알고리즘(예: AEX 256)만 사용한다. 티엘에스를 활용해 세션이 구축되면 모든 미디어 스트림(오디오 VolP, 비디오, 화면 공유 및 문서 공유)이 암호화된다. 미디어 전송에 널리 사용되는 프로토콜인 유디피(User Data Protocol)에서 미디어 패킷은 에이이에스(AES) 128을 사용하여 암호화된다. 초기 키 교환은 티엘에스(TLS) 보안 채널에서 이뤄지며, 인증과 무결성을 위해 각 데이터그램은 해시 기반의 메시지 인증 코드(HMAC)를 사용한다.<ref name="시스코"/>
+
시스템 웹엑스 애플리케이션과 시스코 웹엑스 클라우드 간의 모든 통신은 암호화된 채널을 통해 이뤄진다. 시스코 웹엑스는 티엘에스(TLS) 1.2 [[프로토콜]]과 고강도 암호화 [[알고리즘]](예: AEX 256)만 사용한다. 티엘에스를 활용해 세션이 구축되면 모든 미디어 스트림(오디오 VolP, 비디오, 화면 공유 및 문서 공유)이 암호화된다. [[미디어]] 전송에 널리 사용되는 프로토콜인 유디피(User Data Protocol)에서 미디어 패킷은 에이이에스(AES) 128을 사용하여 암호화된다. 초기 키 교환은 티엘에스(TLS) 보안 채널에서 이뤄지며, 인증과 무결성을 위해 각 데이터그램은 해시 기반의 메시지 인증 코드(HMAC)를 사용한다.<ref name="시스코"/>
  
 
====종단간 암호화====
 
====종단간 암호화====
미디어 스트림은 클라이언트에서 시스코 웹엑스 서버로 이동한 후 시스코 웹엑스 방화벽을 통과한 후에 해독된다. 이때 시스코가 네트워크 기반의 녹화 방식을 지원하기 때문에 향후에 참조할 목적으로 미디어 스트림을 녹화할 수 있다. 이후 시스코 웹엑스는 다른 클라이언트로 미디어 스트림을 전송하기 전에 다시 암호화한다. 그러나 더 높은 수준의 보안이 필요한 기업을 위해 종단간 암호화 기능도 지원한다. 이 옵션을 선택하면, 시스코 웹엑스 클라우드가 미디어 스트림을 해독하지 않는다. 종단간 암호화도 일반적인 통신처럼 시스코 웹엑스는 클라이언트 서버 통신용 티엘에스 채널을 수립후 동작한다. 또한 모든 시스코 웹엑스 클라이언트는 키 페어(Key Pari) 생성과 함께 공개 키를 호스트의 클라이언트에게 전송한다. 호스트는 시에스피알엔지(Cryptographically Strong Secure Pseudo-Random Number Generator)를 사용하여 임의의 대칭 키를 생성하고, 클라이언트가 전송하는 공개 키를 사용하여 대칭 키를 암호화한 다음, 다시 클라이언트로 전송한다. 클라이언트에 의해 생성된 트래픽은 대칭 세션 키를 이용하여 암호화되며, 이런 모델에서는 시스코 웹엑스 서버의 트래픽 해동이 불가능하다. 종단간 암호화 옵션은 시스코 웹엑스 미팅과 시스코 웹엑스 서포트(Cisco Webex Support)에서 사용할 수 있다. 종단간 암호화 기능을 활성화한 상태에서는 다음과 같은 기능의 사용이 불가능 하다.<ref name="시스코"/>
+
미디어 스트림은 [[클라이언트]]에서 시스코 웹엑스 서버로 이동한 후 시스코 웹엑스 [[방화벽]]을 통과한 후에 해독된다. 이때 시스코가 네트워크 기반의 녹화 방식을 지원하기 때문에 향후에 참조할 목적으로 미디어 스트림을 녹화할 수 있다. 이후 시스코 웹엑스는 다른 클라이언트로 미디어 스트림을 전송하기 전에 다시 암호화한다. 그러나 더 높은 수준의 보안이 필요한 기업을 위해 [[종단간 암호화]] 기능도 지원한다. 이 옵션을 선택하면, 시스코 웹엑스 클라우드가 미디어 스트림을 해독하지 않는다. 종단간 암호화도 일반적인 통신처럼 시스코 웹엑스는 클라이언트 서버 통신용 티엘에스 채널을 수립후 동작한다. 또한 모든 시스코 웹엑스 클라이언트는 키 페어(Key Pari) 생성과 함께 공개 키를 호스트의 클라이언트에게 전송한다. [[호스트]]는 시에스피알엔지(Cryptographically Strong Secure Pseudo-Random Number Generator)를 사용하여 임의의 대칭 키를 생성하고, 클라이언트가 전송하는 공개 키를 사용하여 대칭 키를 암호화한 다음, 다시 클라이언트로 전송한다. 클라이언트에 의해 생성된 트래픽은 대칭 세션 키를 이용하여 암호화되며, 이런 모델에서는 시스코 웹엑스 서버의 트래픽 해동이 불가능하다. 종단간 암호화 옵션은 시스코 웹엑스 미팅과 시스코 웹엑스 서포트(Cisco Webex Support)에서 사용할 수 있다. 종단간 암호화 기능을 활성화한 상태에서는 다음과 같은 기능의 사용이 불가능 하다.<ref name="시스코"/>
 
* Web 기반 미팅 앱
 
* Web 기반 미팅 앱
 
* 네트워크 기반 녹화
 
* 네트워크 기반 녹화
120번째 줄: 120번째 줄:
 
* SHA-2(단방향 해싱 알고리즘) 및 Salt를 사용하여 모든 사용자 비밀번호를 저장한다.
 
* SHA-2(단방향 해싱 알고리즘) 및 Salt를 사용하여 모든 사용자 비밀번호를 저장한다.
 
* 회의용 또는 녹화용 비밀번호도 함게 암호화 한다.
 
* 회의용 또는 녹화용 비밀번호도 함게 암호화 한다.
* 저장된 네트워크 기반의 녹화 데이터를 암호화 한다. 웹엑스 녹화 데이터는 파일 단위와 논리 볼륨 단위로 암호화되며, 파일 키는 256비트 블록 AES GCM 키이다. 이 파일 키는 정책에 따라 순환되는 AES HmacSHA256 기반의 마스터 키로 암호화된 후 데이터베이스에 저장된다. 재생 및 다운로드의 경우 작업 이전 또는 도중에 암호화된 녹화 파일이 해독되며, 시스코는 고객을 위해 위의 키들을 안전하게 관리한다.
+
* 저장된 네트워크 기반의 녹화 데이터를 암호화 한다. 웹엑스 녹화 데이터는 파일 단위와 논리 볼륨 단위로 암호화되며, 파일 키는 256비트 블록 AES GCM 키이다. 이 파일 키는 정책에 따라 순환되는 AES HmacSHA256 기반의 마스터 키로 암호화된 후 [[데이터베이스]]에 저장된다. 재생 및 다운로드의 경우 작업 이전 또는 도중에 암호화된 녹화 파일이 해독되며, 시스코는 고객을 위해 위의 키들을 안전하게 관리한다.
  
 
==활용==
 
==활용==
[[시스코]]의 화상회의 소루션 '웹엑스(Webex)'가 정부의 언택트 소통 채널로 관심받고 있다. 2021년 1월 18일 진행한 신년 기자회견에서 청와대는 웹엑스 기반 비대면 간담회를 함께 진행했다. 2020년 9월 국회도 비대면 회의 도구로 웹엑스를 선택했었다. 코로나19의 전 세계적인 유행으로 인해 떠오른 비대면 트렌드에서 '줌'이나 마이크로소프트 '팀즈' 다양한 비대면 화상회의 도구들이 새롭게 등장했다. 반면, 웹엑스는 국내에서 다소 낯설다는 평가가 있었는데, 정부는 국산 솔루션, 혹은 더 유명한 외산 솔루션들 대신에 '웹엑스'를 선택했다. 국회 관계자는 '블로터'와의 통화에서 "국회는 법안이나 정부 정책 등을 다루는 곳으로 화상회의 도구를 고를 때 보안이 중요할 수밖에 없다. 일정 규모 이상의 회의에선 보안성이 높은 웹엑스를 사용하고 있다."라고 설명했다.<ref name="이건한"/> 국회는 사무처와 의회, 의원시까지 국회 구성원 업무방식을 가상 회의실 기반으로 전환할 방침이며, 법안 검토와 공청회, 상임위원회와 소위원회 회의록 작성, 의정 연수, 해외 의회 교류, 인사 청문, 소관 부처 소통, 의원실 주최 정책 세미나, 보좌진 채용 등을 모두 비대면으로 전환될 것을 기대했다. 국회법이 개정되면 국회 본회의 역시 영상을 통해 질의와 발언을 진행한 후 표결할 수 있다. 정당가운데 처음으로 미래통합당이 웹엑스를 활용해 온라인 기자간담회를 개최했다. 코로나19 사태 이후 엡엑스가 미국 의회 청문회에 도입되었으며, 미국 의회는 본회의 발언을 영상으로 진행할 목적으로 국회법을 개정했다. 한국의 국회가 웹엑스를 채택함으로서, 호환성과 국제 연동성이 보장되고 미국 의회와의 교류도 가속화 될 것으로 보인다.<ref name="오다인"/>
+
[[시스코]]의 화상회의 소루션 '웹엑스(Webex)'가 정부의 언택트 소통 채널로 관심받고 있다. 2021년 1월 18일 진행한 신년 기자회견에서 청와대는 웹엑스 기반 비대면 간담회를 함께 진행했다. 2020년 9월 국회도 비대면 회의 도구로 웹엑스를 선택했었다. 코로나19의 전 세계적인 유행으로 인해 떠오른 비대면 트렌드에서 '줌'이나 마이크로소프트 '팀즈' 다양한 비대면 화상회의 도구들이 새롭게 등장했다. 반면, 웹엑스는 국내에서 다소 낯설다는 평가가 있었는데, 정부는 국산 솔루션, 혹은 더 유명한 외산 솔루션들 대신에 '웹엑스'를 선택했다. 국회 관계자는 '블로터'와의 통화에서 "국회는 법안이나 정부 정책 등을 다루는 곳으로 화상회의 도구를 고를 때 보안이 중요할 수밖에 없다. 일정 규모 이상의 회의에선 보안성이 높은 웹엑스를 사용하고 있다."라고 설명했다.<ref name="이건한"/> 국회는 사무처와 의회, 의원시까지 국회 구성원 업무방식을 가상 회의실 기반으로 전환할 방침이며, 법안 검토와 공청회, 상임위원회와 소위원회 회의록 작성, 의정 연수, 해외 의회 교류, 인사 청문, 소관 부처 소통, 의원실 주최 정책 세미나, 보좌진 채용 등을 모두 비대면으로 전환될 것을 기대했다. 국회법이 개정되면 국회 본회의 역시 영상을 통해 질의와 발언을 진행한 후 표결할 수 있다. 정당가운데 처음으로 미래통합당이 웹엑스를 활용해 온라인 기자간담회를 개최했다. 코로나19 사태 이후 엡엑스가 미국 의회 청문회에 도입되었으며, 미국 의회는 본회의 발언을 영상으로 진행할 목적으로 국회법을 개정했다. 한국의 국회가 웹엑스를 채택함으로서, 호환성과 국제 연동성이 보장되고 [[미국]] 의회와의 교류도 가속화 될 것으로 보인다.<ref name="오다인"/>
  
 
===삼성전자===
 
===삼성전자===
2021년 2월 25일 업계 및 웹엑스 총판에 따르면 [[시스코시스템즈]]가 [[삼성전자㈜]]와 '웹엑스' 도입 계약을 맺고 내부 적용에 돌입했다. 삼성전자㈜ 사업부 일부가 웹엑스를 도입한 것이다. 삼성전자㈜는 국내를 포함해 해외 지사에도 웹엑스를 도입했다. 화상회의 기업용 웹엑스 솔루션의 아이피(IP)당 가격은 월 20만원을 넘는다. 삼성전자㈜ 사업부문당 1만~5만명의 인력이 추정된다. 1만명을 기준으로 웹엑스를 도입한다고 하면, 월 비용은 20억이다. 보통 연간 계약을 하기때문에 240억의 비용이 드는 것이다. 다만 계약 기간과 계약 수량, 추가옵션 그리고 동반 구매하는 여러 시스템에 다라 가격 조정이 발생할 수 있다. 화상회의로 유명한 시스코의 웹엑스는 화상회의를 포함한 리모트콜, 보안솔루션 등을 포함한 기업용 원격 근무 시스템이다. 삼성전자㈜는 기존에도 부서마다 웹엑스와 녹스미팅 등을 함께 사용했다. 계열사의 솔루션을 쓰는 것이 암묵적 관행이었음에도 불구하고 일부 사업부는 계속해서 웹엑스를 사용했다. 에스아이(SI) 계열사인 삼성 에스디에스(SDS)가 독자 개발한 녹스미팅은 화상회의 솔루션이다. 삼성그룹 계열사는 삼성 에스디아이가 개발한 화상회의 솔루션인 녹스미팅과 원격 협업 솔루션인 녹스를 주로 사용했다. 2020년 9월 '브리티웍스'라는 협업솔루션을 선보인 삼성 에스디아이는 비대면 업무 소루션 시장 공략에 집중하고있지만, 주요 계열사인 삼성전자㈜가 삼성 에스디아이의 새로운 솔루션을 외면한 셈이다. 소프트웨어(SW) 업게 한 관계자는 "삼성전자는 해외 기업과의 협업을 위해 호환성이 좋은 제품을 필요로 했을 것이다. 강한 보안이 필요한 사업부에서는 녹스를 쓰는 등 필요한 경우에 따라 솔루션을 다양하게 사용하는 전략을 택한 것으로 보인다."라고 말했다. 삼성전자㈜가 녹스를 외면하고 웹엑스를 선택한 배경은 호환성이었다. 웹엑스는 포춘 500대 기업 95%가 사용 중인 솔루션 중 하나이다. 해외 지사나 해외 기업의 고객사인 경우 시스코의 소프트웨어가 자연스럽고 익숙한 소통 수단이라 할 수 있다. 녹스미팅은 삼성 그룹사에서는 많이 사용되지만, 타 기업과의 화상회의 시에 매번 활용하기는 어렵다. 인지도가 낮아서 타 기업이 새로 설치하는 등의 불폄함이 발생할 수 있다. 반면, 인지도가 높은 시스코의 웹엑스는 기업이 사용하는 그룹웨어와 연동할 수 있고, 커스터마이징도 지원한다. 또한, 시스코는 보안 사업도 진행중이기 때문에 '웹엑스'의 보안에 대한 기업들의 신뢰도 역시 높다고 평가된다. 시스코 측은 규제 준수가 요구되는 금융, 공공, 헬스케어 등의 업계에서도 활용될 수 있다고 설명했으며, 시스코 관계자는 "웹엑스는 사용자들의 보안을 최우선으로 삼고, 클라우드 환경에서도 높은 수준의 엔드-투-엔드 암호화를 제공한다. 또한 네트워크를 다루는 회사기 때문에 이를 바탕으로 장애 발생 시 빠르게 대응과 복구가 가능하다."라고 말했다. 자체 아이디시(IDC)를 구축한 시스코는 클라우드 기반의 서비스를 제공하며, 전 세계 25개 아이디시센터를 운영하고 있다.<ref name="류은주"/>
+
2021년 2월 25일 업계 및 웹엑스 총판에 따르면 [[시스코시스템즈]]가 [[삼성전자㈜]]와 '웹엑스' 도입 계약을 맺고 내부 적용에 돌입했다. [[삼성전자㈜]] 사업부 일부가 웹엑스를 도입한 것이다. 삼성전자㈜는 국내를 포함해 해외 지사에도 웹엑스를 도입했다. 화상회의 기업용 웹엑스 솔루션의 [[아이피]](IP)당 가격은 월 20만원을 넘는다. 삼성전자㈜ 사업부문당 1만~5만명의 인력이 추정된다. 1만명을 기준으로 웹엑스를 도입한다고 하면, 월 비용은 20억이다. 보통 연간 계약을 하기때문에 240억의 비용이 드는 것이다. 다만 계약 기간과 계약 수량, 추가옵션 그리고 동반 구매하는 여러 시스템에 다라 가격 조정이 발생할 수 있다. 화상회의로 유명한 시스코의 웹엑스는 화상회의를 포함한 리모트콜, 보안솔루션 등을 포함한 기업용 원격 근무 시스템이다. 삼성전자㈜는 기존에도 부서마다 웹엑스와 [[녹스미팅]] 등을 함께 사용했다. 계열사의 솔루션을 쓰는 것이 암묵적 관행이었음에도 불구하고 일부 사업부는 계속해서 웹엑스를 사용했다. [[에스아이]](SI) 계열사인 삼성 에스디에스(SDS)가 독자 개발한 녹스미팅은 화상회의 솔루션이다. 삼성그룹 계열사는 삼성 에스디아이가 개발한 화상회의 솔루션인 녹스미팅과 원격 협업 솔루션인 녹스를 주로 사용했다. 2020년 9월 '브리티웍스'라는 협업솔루션을 선보인 삼성 에스디아이는 비대면 업무 소루션 시장 공략에 집중하고있지만, 주요 계열사인 삼성전자㈜가 삼성 에스디아이의 새로운 솔루션을 외면한 셈이다. 소프트웨어(SW) 업게 한 관계자는 "삼성전자는 해외 기업과의 협업을 위해 호환성이 좋은 제품을 필요로 했을 것이다. 강한 보안이 필요한 사업부에서는 녹스를 쓰는 등 필요한 경우에 따라 솔루션을 다양하게 사용하는 전략을 택한 것으로 보인다."라고 말했다. 삼성전자㈜가 녹스를 외면하고 웹엑스를 선택한 배경은 호환성이었다. 웹엑스는 [[포춘]] 500대 기업 95%가 사용 중인 솔루션 중 하나이다. 해외 지사나 해외 기업의 고객사인 경우 시스코의 소프트웨어가 자연스럽고 익숙한 소통 수단이라 할 수 있다. 녹스미팅은 삼성 그룹사에서는 많이 사용되지만, 타 기업과의 화상회의 시에 매번 활용하기는 어렵다. 인지도가 낮아서 타 기업이 새로 설치하는 등의 불폄함이 발생할 수 있다. 반면, 인지도가 높은 시스코의 웹엑스는 기업이 사용하는 [[그룹웨어]]와 연동할 수 있고, [[커스터마이징]]도 지원한다. 또한, 시스코는 보안 사업도 진행중이기 때문에 '웹엑스'의 보안에 대한 기업들의 신뢰도 역시 높다고 평가된다. 시스코 측은 규제 준수가 요구되는 금융, 공공, [[헬스케어]] 등의 업계에서도 활용될 수 있다고 설명했으며, 시스코 관계자는 "웹엑스는 사용자들의 보안을 최우선으로 삼고, 클라우드 환경에서도 높은 수준의 엔드-투-엔드 암호화를 제공한다. 또한 네트워크를 다루는 회사기 때문에 이를 바탕으로 장애 발생 시 빠르게 대응과 복구가 가능하다."라고 말했다. 자체 아이디시(IDC)를 구축한 시스코는 클라우드 기반의 서비스를 제공하며, 전 세계 25개 아이디시센터를 운영하고 있다.<ref name="류은주"/>
  
 
==평가==
 
==평가==

2021년 7월 20일 (화) 16:24 판

시스코(CISCO)

웹엑스(Webex)는 시스코(CISCO)가 만든, 화상회의를 포함한 리모트콜, 보안솔루션 등을 포함한 기업용 원격근무 시스템이다.[1]1995년 설립된 1세대 화상회의 서비스 회사인 웹엑스는 2007년 나스닥 상장 기업인 시스코 시스템즈(CSCO)가 인수했고, 2020년 코로나19의 전 세계적인 확산을 통해 새롭게 재발견됐다. 시스코에 따르면 웹엑스는 코로나19 유행이 한창이던 2020년 아시아 태평양 지역에서 3.5배, 아메리카에서 2.5배 유럽에서 4배의 사용자 성장세를 기록했다. 인지도가 국내에서는 낮지만 월 사용자 수가 3억명 이상이다. 코로나19 초기엔 사용이 편리한 줌의 사용량이 많았지만, 의 보안 문제가 불거지면서 웹엑스가 주목받기 시작했다.

특징

웹엑스는 제로 트러스트(Zero Trust) 원칙을 가지고 지속적으로 보안에 집중하고 있다. 제로 트러스트는 '아무도 믿지 않는다'라는 의미로 '네트워크, 애플리케이션 및 환경 전반에 걸친 모든 액세스를 보호하는 포관적 접근 방식'이다. 사용자 인증 없이는 접속을 원천차단하여 안전한 원격접속을 유지하는 것이다. 이 원칙에 따라 시스코는 웹엑스의 보안을 철저하게 관리한다. 시스코는 강력한 보안을 웹엑스의 강점으로 내세운다. 시스코 보안 전문성이 녹아난 솔루션인 웹엑스는 '보안을 저해하지 않는 협업'을 기본 원칙으로 두고 만들어졌다. 모든 회의 데이터가 실시간으로 암호화되는 종단간 암호화가 웹엑스에 적용되어있고, 녹화된 회의는 암호화된다. 이는 클라우드 환경에서도 동일한 보안과 확장성을 제공하고, 주로 텔레그램 등 보안 중심 메신저에서 활용된다. 데이터 전송 과정에서 데이터가 도난당한다 하더라도 이용자만 키를 갖고 있기 때문에 재조합이 불가능하다. 모든 메시지, 파일, 작업이 전송과 저장, 이용 중에 암호화되어서 클라우드 센터로 침투하더라도 복호화할 방법이 없다. 또한, 자체 모의 테스트에서 발견된 보안 취약점을 공유하여 기업의 신속한 취약점 대응을 돕고있으며, 코로나19 지원책으로 시스코 보안 솔루션 무료 라이선스 확장 정책을 발표했다.[2] 시스코는 2018년 부터 3년간 보안에 50억달러 이상을 투자했으며, 별도로 보안 팀을 운영한다. 시스코 제품 보안 취약점 정보를 수집, 조사하는 업무를 전담하는 글로벌 팀 'PSIRT'는 24시간 가동되어 보안 위협을 식별한다. 시스코 사이버조사와 포렌식 팀인 'CSIRT'는 컴퓨터 보안 사고에 대한 포괄적 조사를 수행한다. 인증기관으로 부터 지속적인 검증을 받아 표준 준수와 보안성을 입증하고 있으며, 아이에스오(ISO) 27001 인증, 개인정보보호체계 인증 등을 보유했다. 마이크로소프트(MS)의 '팀즈' 등 각종 협업 솔루션을 단일 솔루션으로 통일하여 일원화된 환경을 구축한다.[3]

보안

시스코 웹엑스 보안 모델

시스코는 클라우드 보안 분야에서 리더십을 지속해서 유지하기 위해 노력하고 있다. 시스코 에스티오(Cisco Security & Trust Organization)는 시스코의 모든 팀과 협력하여 보안과 신뢰, 투명성을 핵심 인프라의 설계, 개발, 운영에 활용되는 프레임워크에 더해 모든 부분에서 가장 엄격한 보안 기준을 충족시킨다. 또한 사이버 보안 위험을 극소화하고 관리하는 데 필요한 정보를 고객에게 제공하기 위해 집중한다. 시스코 웹엑스 보안 모델은 시스코 프로세스와 동일한 보안 기반에서 구현된다. 시스템 웹엑스 사업부는 기본 원칙을 기반으로 안전한 시스코 웹엑스 서비스를 개발, 운영, 모니터링한다.[4]

시스코 보안 도구 및 프로세스

보안을 최우선으로 하는 시스코는 세계 정상급 제품과 서비스를 개발하고 출시하기 때문에 체계적인 보안 전략을 추구한다. 시스코의 모든 개발 팀은 시스코 에스디엘(Cisco SDL, Secure Development Lifecycle)을 준수해야 한다. 시스코 에스디엘은 시스코 제품의 복원력과 신뢰도를 높이도록 설계된 일관적이고 안정적인 프로세스이다. 에스디엘의 모든 단계에 도입된 프로세스와 인식 교육은 제품의 복원력에 대한 전략 확립과 심층 방어 체제 유지하는 데 도움이 된다. 시스코 웹엑스 제품 개발 팀은 제품 개발의 모든 단계에서 이 라이프사이클을 철저히 준수한다.[4]

시스코 에스티오(Cisco Security & Trust Organization)는 프로세스와 도구를 제공하여 모든 개발자가 보안 조치를 일관성 있게 취할 수 있도록 한다. 이를 통해 제품 개발 프로세스의 불확실성을 해결할 수 있다.[4]

시스코의 기본 보안 도구

  • 제품이 충족해야 하는 제품보안기준(PSB) 요건
  • 보안 위협 모델링 과정에 사용되는 위협 툴
  • 개발 가이드라인
  • 개발자가 자체 제작한 보안 코드가 아닌 기 검증 또는 인증된 라이브러리 사용
  • 개발 완료 후 보안 결함을 찾는 데 사용되는(정적 및 동적 분석용) 보안 취약점 테스트
  • 시스코 및 타사 라이브러리를 모니터링하고, 취약점이 발견되면 알려주는 소프트웨어 추적

시스코는 보안 프로세스를 회사 전체적으로 구현하고 관리하는 전담 부서를 두고 있으며, 다음과 같은 조직을 기반으로 보안 위협과 문제를 지속해서 파악한다.[4]

시스코 인포섹 클라우드 팀

시스코 인포섹 클라우드(Cisco InfoSec Clooud) 팀은 클라우드 사업부 최고 보안 책임자가 이끌며, 고객에게 안전한 시스코 웹엑스 환경을 제공할 책임이 있다. 이러한 목표를 달성하기 위해 시스코 인포섹 클라우드 팀은 시스코 웹엑스를 고객에게 제공하는 과정에서 관여하는 모든 부서에서 사용할 보안 프로세스와 도구를 규정하고 배포한다. 또한 시스코 웹엑스에 대한 모든 보안 위협에 대응하기 위해 시스코의 다른 팀과 협력하고, 시스코 웹엑스의 보안 상태 도한 꾸준히 개선한다.[4]

시스코 제품 보안사고 대응 팀

시스코 제품 및 서비스와 관련된 보안 문제의 수집, 조사, 보고 업무를 전담하는 글로벌 팀인 시스코 제품 보안사고 대응 팀(Product Security Incident Response Team, PSIRT)은 보안 문제의 심각도에 따라 다양한 매체를 사용하여 정보를 게시한다. 보고 형식은 다음과 같은 조건에 다라 달라진다.

  • 취약점을 해소할 수 있는 소프트웨어 패치 도는 대책을 이미 확보했거나, 심각한 취약점을 해소할 수 있는 코드 픽스를 곧 공개할 예정인 경우
  • 시스코 피시알티가 시스코 고객에게 더 큰 위험을 줄 수 있는 취약점을 적극적으로 악용한 사례를 확인한 경우. 보안 패치가 준비되지 않았더라도, 해당 취약점을 설명하는 보안 공지를 최대한 빨리 게시한다.
  • 시스코 제품에 영향을 미치는 취약점에 대한 대중의 인식 부족으로 시스코 고객이 더 큰 위험에 빠질 수 있는 경우. 이 경우도 패치를 배포할 준비가 되지 않았더라도 고객에게 상황을 경고한다.

어떠한 경우가 발생하더라도 최종 사용자가 취약점의 영향을 평가하고 자사의 환경 보호에 필요한 조치를 취하기 위해 필요한 최소한의 정보만 공개한다. 시스코 피에스알티는 공개된 문제의 심각도를 평가하기 위해 시브이에스에스((Common Vulnerability Scoring System, CVSS) 척도를 사용한다. 더불어 취약점을 악용할 가능성을 고려해 취약점의 세부 정보를 공개하지 않는다.[4]

보안 책임 분담

보안에 대한 책임은 시스코 웹엑스 그룹의 모든 구성원이 분담하지만, 주요 책임자는 다음과 같다.[4]

  • 클라우드 사업부 최고 보안 책임자
  • 시스코 클라우드 협업 애플리케이션 사업부 부사장 겸 총책임
  • 시스코 클라우드 협업 애플리케이션 사업부 엔지니어링 담당 부사장
  • 시스코 클라우드 협업 애플리케이션 사업부 제품 관리 담당 부사장

시스코 웹엑스 그룹은 엄격한 침투 테스트를 내부 평가자를 활용해 정기적으로 실시한다. 시스코 인포섹 클라우드 팀은 기업과 정부용 애플리케이션의 미션 크리티컬한 보안 요건을 검증하기 위해서 시스코의 엄격한 내부 절차와 별도로 시스코의 내부 정채과 절차, 애플리케이션을 엄격히 감사하는 작업을 여러 개의 독립평가기관에 의뢰한다. 또한 시스코는 다른 평가 기관과 계약하여 코드 지원 방식의 침투 테스트와 서비스 평가를 지속해서 심층적으로 실시한다. 평가 기관은 계약에 근거하여 다음과 같은 보안 상태를 평가한다.

  • 중요한 애플리케이션/서비스의 취약점 식별 및 솔루션 제시
  • 전반적인 아키텍처 개선안 제시
  • 코딩 오류 식별, 코딩 작업 개선안 제시

독립평가기관은 시스코 웹엑스 엔지니어링 직원을 통해 평가 결과를 직접 전달하고 해결책을 검증한다. 시스코 인포섹 클라우드 팀은 필요한 경우 증명서를 평가 기관으로부터 발급받아 공개할 수 있다.[4]

시스코 웹엑스 데이터센터 보안

시스코 웹엑스는 시스코 웹엑스 클라우드를 통해 제공되는 에스에이에이에스(Software-as-a-Service, SaaS) 솔루션이다. 업계 최고의 성능과 통합, 유연성, 확장성, 가용성을 지닌 매우 안전한 서비스 제공 플랫폼인 시스코 웹엑스 클라우드는 실시간 온라인 커뮤니케이션용으로 특별히 개발된 솔루션이다. 시스코 웹엑스 미팅(Cisco Webex Meetings) 세션은 전 세계 여러 데이터센터에 배치된 스위칭 장비를 사용한다. 전략적으로 주요 인터넷 액세스 포인트와 가까운 곳에 배치되는 데이터센터는 전용 고대역폭 광섬유 통신을 사용하여 전 세계의 트래픽을 전송한다. 시스코는 산업 표준 엔터프라이즈급 보안을 기반으로 시스코 웹엑스 클라우드의 전체 인프라를 운영한다. 또한 시스코는 백본 연결, 인터넷 피어링, 글로벌 사이트 백업캐싱 기술을 지원하는 네트워크 피오피(Point-of-Presence, PoP) 센터를 운영함으로서 최종 사용자에게 제공되는 성능과 가용성을 지속해서 개선한다.[4]

물리적 보안

시설 및 건물 감시용 시시티비(CCTV), 출입자 신원 이중 확인 등의 물리적 보안을 갖춘 시스코 데이터센터는 디지털 배지 판독기와 생체 인식 기술을 사용하여 접근을 통제한다. 또한 환경 제어 기술(예: 온도 센서 및 화재 진압 시스템)과 서비스 연속성 유지 인프라(예: 예비 전원)를 구현하여 시스템 다운타임을 방지한다. '트러스트 존(Trust Zone)'이라 불리는 데이터센터 내부는 인프라의 민감도에 따라 장비에 대한 접근 통제 수준을 달리한다. 예를 들어, 데이터베이스는 안전하게 보관되어 있고, 네트워크 인프라에는 전용 공간이 따로 존재하며, 랙에는 잠금 장치가 설치되어 있다. 시스코 보안 인력이 아니라면, 신분 확인 절차를 마친 방문객이라고 할지라도 시스코 직원과 동행해야만 데이터센터에 들어갈 수 있다.[4]

인프라 및 플랫폼 보안

플랫폼 보안은 시스템 웹엑스가 관리하는 네트워크, 시스템 및 전체 데이터센터의 보안을 포괄한다. 모든 시스템이 철저한 보안 심사와 승인 검증 과정을 프로덕션 배포 전에 거친다 하더라도, 배포 후에도 정기적인 강화, 보안 패치, 취약점 검사 및 평가를 받는다. 서버는 엔아이에스티(National Institute of Standards and Technology, NIST)가 발행한 에스티지(Security Technical Implementation Guidelines, STIG)를 사용하여 보강된다. 방화벽은 방화벽 자체와 네트워크 경계를 보호하고, 에이시엘(Access Control List, ACL)은 다양하게 보안 영역을 분리한다. 활동을 지속해서 기록하고 모니터링하는 침입 방지 시스템(IDS)도 설치되어있다. 시스코 웹엑스 클라우드를 대상으로 매일 내부 및 외부 보안 검사가 실시된다. 게다가, 모든 시스템은 강화 및 패치되어 정기 유지 보수되고 취약점 검사와 평가가 지속해서 이뤄진다. 보안 계획의 핵심 요소인 서비스 연속성 및 재해 복구를 위해 시스코 데이터센터는 글로벌 사이트 백업 체제와 고가용성 설계 구조를 통해 시스코 웹엑스 서비스의 지리적 장애 조치를 지원하고, 단일 장애 지점(SPOF)이 생기지 않도록 한다.[4]

시스코 웹엑스 암호화

실행과 동시에 암호화

시스템 웹엑스 애플리케이션과 시스코 웹엑스 클라우드 간의 모든 통신은 암호화된 채널을 통해 이뤄진다. 시스코 웹엑스는 티엘에스(TLS) 1.2 프로토콜과 고강도 암호화 알고리즘(예: AEX 256)만 사용한다. 티엘에스를 활용해 세션이 구축되면 모든 미디어 스트림(오디오 VolP, 비디오, 화면 공유 및 문서 공유)이 암호화된다. 미디어 전송에 널리 사용되는 프로토콜인 유디피(User Data Protocol)에서 미디어 패킷은 에이이에스(AES) 128을 사용하여 암호화된다. 초기 키 교환은 티엘에스(TLS) 보안 채널에서 이뤄지며, 인증과 무결성을 위해 각 데이터그램은 해시 기반의 메시지 인증 코드(HMAC)를 사용한다.[4]

종단간 암호화

미디어 스트림은 클라이언트에서 시스코 웹엑스 서버로 이동한 후 시스코 웹엑스 방화벽을 통과한 후에 해독된다. 이때 시스코가 네트워크 기반의 녹화 방식을 지원하기 때문에 향후에 참조할 목적으로 미디어 스트림을 녹화할 수 있다. 이후 시스코 웹엑스는 다른 클라이언트로 미디어 스트림을 전송하기 전에 다시 암호화한다. 그러나 더 높은 수준의 보안이 필요한 기업을 위해 종단간 암호화 기능도 지원한다. 이 옵션을 선택하면, 시스코 웹엑스 클라우드가 미디어 스트림을 해독하지 않는다. 종단간 암호화도 일반적인 통신처럼 시스코 웹엑스는 클라이언트 서버 통신용 티엘에스 채널을 수립후 동작한다. 또한 모든 시스코 웹엑스 클라이언트는 키 페어(Key Pari) 생성과 함께 공개 키를 호스트의 클라이언트에게 전송한다. 호스트는 시에스피알엔지(Cryptographically Strong Secure Pseudo-Random Number Generator)를 사용하여 임의의 대칭 키를 생성하고, 클라이언트가 전송하는 공개 키를 사용하여 대칭 키를 암호화한 다음, 다시 클라이언트로 전송한다. 클라이언트에 의해 생성된 트래픽은 대칭 세션 키를 이용하여 암호화되며, 이런 모델에서는 시스코 웹엑스 서버의 트래픽 해동이 불가능하다. 종단간 암호화 옵션은 시스코 웹엑스 미팅과 시스코 웹엑스 서포트(Cisco Webex Support)에서 사용할 수 있다. 종단간 암호화 기능을 활성화한 상태에서는 다음과 같은 기능의 사용이 불가능 하다.[4]

  • Web 기반 미팅 앱
  • 네트워크 기반 녹화
  • 주최자보다 먼저 회의실 입장
  • 비디오 엔드포인트

다양한 암호화 알고리즘

시스코 웹엑스는 통신 보안을 위해 다양한 암호화 알고리즘을 지원한다. 따라서 고객은 자신의 환경에 가장 적합한 암호화 알고리즘을 선택하여 사용할 수 있다.[4]

암호화 알고리즘 및 비트 길이
암호화 알고리즘 비트길이
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) 256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) 256
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) 128
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) 128
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) 128

유휴 데이터 보호

시스코 웹엑스 미팅이 비즈니스에 중요한 회의 및 사용자 데이터를 저장하도록 설정할 수 있다. 시스코 웹엑스 미팅은 다음과 같은 기능을 활용하여 유휴 데이터를 보호한다.[4]

  • SHA-2(단방향 해싱 알고리즘) 및 Salt를 사용하여 모든 사용자 비밀번호를 저장한다.
  • 회의용 또는 녹화용 비밀번호도 함게 암호화 한다.
  • 저장된 네트워크 기반의 녹화 데이터를 암호화 한다. 웹엑스 녹화 데이터는 파일 단위와 논리 볼륨 단위로 암호화되며, 파일 키는 256비트 블록 AES GCM 키이다. 이 파일 키는 정책에 따라 순환되는 AES HmacSHA256 기반의 마스터 키로 암호화된 후 데이터베이스에 저장된다. 재생 및 다운로드의 경우 작업 이전 또는 도중에 암호화된 녹화 파일이 해독되며, 시스코는 고객을 위해 위의 키들을 안전하게 관리한다.

활용

시스코의 화상회의 소루션 '웹엑스(Webex)'가 정부의 언택트 소통 채널로 관심받고 있다. 2021년 1월 18일 진행한 신년 기자회견에서 청와대는 웹엑스 기반 비대면 간담회를 함께 진행했다. 2020년 9월 국회도 비대면 회의 도구로 웹엑스를 선택했었다. 코로나19의 전 세계적인 유행으로 인해 떠오른 비대면 트렌드에서 '줌'이나 마이크로소프트 '팀즈' 다양한 비대면 화상회의 도구들이 새롭게 등장했다. 반면, 웹엑스는 국내에서 다소 낯설다는 평가가 있었는데, 정부는 국산 솔루션, 혹은 더 유명한 외산 솔루션들 대신에 '웹엑스'를 선택했다. 국회 관계자는 '블로터'와의 통화에서 "국회는 법안이나 정부 정책 등을 다루는 곳으로 화상회의 도구를 고를 때 보안이 중요할 수밖에 없다. 일정 규모 이상의 회의에선 보안성이 높은 웹엑스를 사용하고 있다."라고 설명했다.[2] 국회는 사무처와 의회, 의원시까지 국회 구성원 업무방식을 가상 회의실 기반으로 전환할 방침이며, 법안 검토와 공청회, 상임위원회와 소위원회 회의록 작성, 의정 연수, 해외 의회 교류, 인사 청문, 소관 부처 소통, 의원실 주최 정책 세미나, 보좌진 채용 등을 모두 비대면으로 전환될 것을 기대했다. 국회법이 개정되면 국회 본회의 역시 영상을 통해 질의와 발언을 진행한 후 표결할 수 있다. 정당가운데 처음으로 미래통합당이 웹엑스를 활용해 온라인 기자간담회를 개최했다. 코로나19 사태 이후 엡엑스가 미국 의회 청문회에 도입되었으며, 미국 의회는 본회의 발언을 영상으로 진행할 목적으로 국회법을 개정했다. 한국의 국회가 웹엑스를 채택함으로서, 호환성과 국제 연동성이 보장되고 미국 의회와의 교류도 가속화 될 것으로 보인다.[3]

삼성전자

2021년 2월 25일 업계 및 웹엑스 총판에 따르면 시스코시스템즈삼성전자㈜와 '웹엑스' 도입 계약을 맺고 내부 적용에 돌입했다. 삼성전자㈜ 사업부 일부가 웹엑스를 도입한 것이다. 삼성전자㈜는 국내를 포함해 해외 지사에도 웹엑스를 도입했다. 화상회의 기업용 웹엑스 솔루션의 아이피(IP)당 가격은 월 20만원을 넘는다. 삼성전자㈜ 사업부문당 1만~5만명의 인력이 추정된다. 1만명을 기준으로 웹엑스를 도입한다고 하면, 월 비용은 20억이다. 보통 연간 계약을 하기때문에 240억의 비용이 드는 것이다. 다만 계약 기간과 계약 수량, 추가옵션 그리고 동반 구매하는 여러 시스템에 다라 가격 조정이 발생할 수 있다. 화상회의로 유명한 시스코의 웹엑스는 화상회의를 포함한 리모트콜, 보안솔루션 등을 포함한 기업용 원격 근무 시스템이다. 삼성전자㈜는 기존에도 부서마다 웹엑스와 녹스미팅 등을 함께 사용했다. 계열사의 솔루션을 쓰는 것이 암묵적 관행이었음에도 불구하고 일부 사업부는 계속해서 웹엑스를 사용했다. 에스아이(SI) 계열사인 삼성 에스디에스(SDS)가 독자 개발한 녹스미팅은 화상회의 솔루션이다. 삼성그룹 계열사는 삼성 에스디아이가 개발한 화상회의 솔루션인 녹스미팅과 원격 협업 솔루션인 녹스를 주로 사용했다. 2020년 9월 '브리티웍스'라는 협업솔루션을 선보인 삼성 에스디아이는 비대면 업무 소루션 시장 공략에 집중하고있지만, 주요 계열사인 삼성전자㈜가 삼성 에스디아이의 새로운 솔루션을 외면한 셈이다. 소프트웨어(SW) 업게 한 관계자는 "삼성전자는 해외 기업과의 협업을 위해 호환성이 좋은 제품을 필요로 했을 것이다. 강한 보안이 필요한 사업부에서는 녹스를 쓰는 등 필요한 경우에 따라 솔루션을 다양하게 사용하는 전략을 택한 것으로 보인다."라고 말했다. 삼성전자㈜가 녹스를 외면하고 웹엑스를 선택한 배경은 호환성이었다. 웹엑스는 포춘 500대 기업 95%가 사용 중인 솔루션 중 하나이다. 해외 지사나 해외 기업의 고객사인 경우 시스코의 소프트웨어가 자연스럽고 익숙한 소통 수단이라 할 수 있다. 녹스미팅은 삼성 그룹사에서는 많이 사용되지만, 타 기업과의 화상회의 시에 매번 활용하기는 어렵다. 인지도가 낮아서 타 기업이 새로 설치하는 등의 불폄함이 발생할 수 있다. 반면, 인지도가 높은 시스코의 웹엑스는 기업이 사용하는 그룹웨어와 연동할 수 있고, 커스터마이징도 지원한다. 또한, 시스코는 보안 사업도 진행중이기 때문에 '웹엑스'의 보안에 대한 기업들의 신뢰도 역시 높다고 평가된다. 시스코 측은 규제 준수가 요구되는 금융, 공공, 헬스케어 등의 업계에서도 활용될 수 있다고 설명했으며, 시스코 관계자는 "웹엑스는 사용자들의 보안을 최우선으로 삼고, 클라우드 환경에서도 높은 수준의 엔드-투-엔드 암호화를 제공한다. 또한 네트워크를 다루는 회사기 때문에 이를 바탕으로 장애 발생 시 빠르게 대응과 복구가 가능하다."라고 말했다. 자체 아이디시(IDC)를 구축한 시스코는 클라우드 기반의 서비스를 제공하며, 전 세계 25개 아이디시센터를 운영하고 있다.[1]

평가

각주

  1. 1.0 1.1 류은주 기자, 〈(단독) 삼성, 시스코 웹엑스 쓴다〉, 《아이티조선》, 2021-02-26
  2. 2.0 2.1 이건한, 〈시스코 웹엑스, 국회·청와대 언택트 소통 채널로 부상〉, 《블로터》, 2021-01-19
  3. 3.0 3.1 오다인 기자, 〈시스코 '엡웩스', 보안성 힘입어 국회 입성〉, 《전자신문인터넷》, 2020-09-08
  4. 4.00 4.01 4.02 4.03 4.04 4.05 4.06 4.07 4.08 4.09 4.10 4.11 4.12 4.13 4.14 시스코, 〈Cisco Webex Meetings의 보안〉, 《시스코》, 2020-02-19

참고자료

같이 보기


  질문.png 이 문서는 로고가 필요합니다.  

  검수요청.png검수요청.png 이 웹엑스 문서는 솔루션에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.