전덕조 씨큐비스타 대표
씨큐비스타는 아시아에서 최초로 네트워크 기반 사이버 위협 헌팅 기술 개발해 보급하고 있다. 고도화된 트래픽 분석 기술, 인공지능(AI) 및 머신러닝과 같은 혁신적인 기술, 고성능 네트워크 트래픽의 실시간 처리 원천기술을 바탕으로 기존 보안 기술들을 우회하는 지능형 위협의 실시간 탐지 및 대응 기술을 확산 중이다. 전덕조 씨큐비스타 대표는 “국내 시장을 넘어 아시아태평양지역(APAC) 최고의 보안 기술 기업으로 성장하겠다”는 포부를 드러냈다.
"씨큐비스타는 실시간 트래픽 처리 및 분석을 통해 지능형 위협을 효과적으로 발견 및 방어할 수 있는 차세대 위협 탐지 및 대응(Network Detection and Response·NDR) 기술을 보유하고 있다.
또한 증가하고 있는 암호화 트래픽에 은닉돼 있는 위협을 탐지하기 위해 암호화된 보안 프로토콜(TLS) 트래픽을 실시간 수집 및 분석해 해킹과 침입에 즉각 대응할 수 있는 ‘네트워크 기반 실시간 TLS 트래픽 분석 및 가시화’ 기술을 올해 4월에 개발했으며, 연내에 상용화할 예정이다.
특히 풍부한 소프트웨어 및 보안 기술 개발 경험을 갖춘 소수 정예 팀(Computer Science: 전공 석사 3명 포함)이 회사에 합류했으며, 이사진의 경우 전체 약 110년 이상의 국내 외 개발 경력(Total Man Years)을 보유하고 있다."
사업을 시작한 동기는 무엇인가.
"창업 초기 자사의 목표는 ‘아시아 최고의 사이버 위협 헌팅 기술 기업’이 되는 것이었다. 이는 기존 보안 기술로는 해결하기 어려운 위협을 탐지 및 대응하는 기술을 개발해 세상을 보다 안전하게 함으로써 기업의 존재감 및 가치를 높이자는 취지다."
오늘날 해킹의 위험성에 대해서 설명한다면.
"오늘날의 해킹은 한 마디로 말씀드리면 '지능형'이라고 축약할 수 있다. 우리는 이미 많은 보안 기술들을 사용하고 있지만 이런 기술들을 우회하는 위협에 의해 다양한 피해가 발생하고 있다. 따라서 날이 갈수록 고도화하는 지능형 위협을 탐지해 이에 대응할 필요와 수요가 증가하고 있다."
회사가 보안 솔루션 기업으로서 입지를 다질 수 있었던 터닝포인트가 있다면.
"우리는 지난 10여 년간 기존 보안이 놓치는 위협을 실시간에 찾아내는 기술을 개발하려고 노력했다. 위협을 실시간 단위로 찾아내고 또 보안관제요원이 위협을 특정해 대응할 수 있도록 함으로써 기술의 모호성을 제거했다. 이를 통해 실질적으로 보안팀의 업무를 경감시킬 수 있는 제품을 개발했고 그 효과가 다양한 고객들에 의해 검증되기 시작했다."
그동안의 성과가 있다면.
"자사가 자체 개발한 원천기술로 금융 및 공공 고객을 확보했고, 이를 기반으로 위드 코로나 시대를 맞아 공격적으로 시장을 확대하고 있다. 이미 중앙부처, 국방 분야의 잠재고객을 확보했고 비약적인 성장도 기대하고 있다."
자사만의 특화 전략은 무엇인가.
"우리 솔루션과 유사한 외산 제품들은 AI를 사용해 네트워크 이상을 탐지하는 기술을 제공한다. 통상 1개월 정도 정상 통신을 학습해야 하는 메커니즘을 가지고 있으며, 이후 탐지 모드로 전환하면 학습한 정상과 다른 이상 통신 세션을 탐지하는 방식이다.
하지만 이런 기술의 문제점은 위협이 이미 침입한 환경에 적용 불가능하며 찾아주는 이상을 보안관제요원이 해석하기 어렵다는 것이다.
또 자사 제품과 유사한 국산 제품들은 모든 패킷을 일단 디스크에 저장하고 저장된 패킷에서 통신 세션 및 파일을 추출하는 메커니즘을 가지고 있다. 이런 기술의 문제점은 위협을 자동으로 탐지해주는 기능이 취약하고 수많은 수작업에 의한 분석 작업이 수반돼야 해서 시간 및 인력이 많이 든다.
반면 씨큐비스타는 실시간에 트래픽을 디코딩해 통신 세션 및 파일을 추출한다. 추출한 통신 세션을 학습 없이 실시간 단위로 해커의 행위와 유사한 행위를 탐지하며, 추출한 파일의 악성 여부를 실시간에 판별하는 메커니즘을 갖추고 있다. 더불어 탐지한 위협을 어떻게 추가 분석 및 대응해야 하는지에 대한 명쾌한 방안을 제시함으로써 보안관제요원에게 부담을 주지 않는다는 장점이 있다."
사이버 위협을 당한 고객에 대해 기억나는 에피소드를 얘기해주신다면.
"경기도에 있는 지방자치단체 중 한 곳에서 폐쇄망으로 운영 중인 폐쇄회로(CC)TV망의 침해사고가 의심스러운 상황이 발생했다. 담당 주무관은 친한 보안 업체를 통해 글로벌 업체의 지능형 위협 대응(APT) 기술을 2주간 적용했으나 문제를 전혀 해결하지 못한 바 있다.
이를 해결하기 위해 글로벌 AI 기반 네트워크 이상탐지 솔루션을 적용하려고 했으나, 앞서 말씀드린 1개월 정도의 학습 기간이 별도로 들어가기 때문에 당장 적용은 불가능한 상황이었다.
씨큐비스타의 경우에는 학습 없이 실시간에 해커의 행위와 유사한 행위를 탐지하고 탐지한 위협을 어떻게 추가 분석 및 대응해야 하는지에 대한 명쾌한 대응 방안을 제시하는 메커니즘을 적용함으로써 깔끔하게 CCTV망 침해사고를 해결했다. 이 사례를 계기로 고객으로부터 ‘세계 최고의 보안 솔루션’이라는 극찬을 받은 바 있다."
국내 보안 시장이 취약했던 이유가 있나.
"대부분의 규모가 있는 기관에서는 다양한 보안 솔루션과 탐지 이벤트를 진행할 때 통합보안관제(SIEM) 플랫폼을 이용한다. 이러한 보안 관리 방식도 물론 기업 내부의 보안 이벤트를 모니터링하고 대응하는 데 중요한 역할을 수행하는 것은 사실이지만, 이런 방식의 보안 관리는 특정 시그니처와 규칙에 의해 사전에 정의된 위협에 대해 탐지하고 대응하므로 새로운 공격의 탐지에 취약하다.
글로벌 보안 업체의 2022년 침해사고 보고서에 따르면 위와 같은 방식으로 관리할 수 있는 보안 위협은 전체의 약 80% 정도로 보고 있다."
"네트워크 상에서 일어나는 모든 트래픽을 수집하고 분석해 실시간에 기존 보안 관리에서 놓친 위협을 탐지한다. 특히 기존의 시그니처나 규칙에 의존하지 않고 고급 분석 기술 및 AI 기술 등을 활용해 실시간에 네트워크 트래픽을 분석해 위협을 탐지하고 즉각 대응할 수 있어서 보안 사고의 위험을 크게 줄일 수 있다."
고객사들은 어떤 회사들인가.
"고객은 주로 이미 보안관제센터를 보유하고 있는 금융기관 및 공공기관이다. 즉, 어느 정도 규모를 갖춘 고객들이며 보안 관리에 많은 투자를 하고 있는 기관들이 우리 회사의 주요 고객들이다."
향후 기대하는 사업이 있다면.
"구글 등 관련 업계에 따르면 전체 웹트래픽 중 암호화된 네트워크 트래픽 비율은 2013년 50% 이하에서 최근 95%로 꾸준히 상승해 왔다. 이에 따라 해커들의 암호화 네트워크 트래픽 사용 비율도 꾸준히 증가해 2021년 공격의 57%가 암호화된 채널을 사용했으나 2022년에는 80%로 급증해 대응책 마련이 시급한 것으로 지적돼 왔다.
해커들이 암호화된 트래픽에 숨은 악성코드를 탐지 및 차단하려면 암호화 전 단계로 복구하는 '복호화' 작업을 거쳐야 하는데, 현재 보안 업계에서 사용 중인 암복호화 장비는 리소스가 많이 소모돼 네트워크 성능을 떨어뜨리고 암호화 복구 시 프라이버시 침해 문제, 복호화에 실패할 경우 위협 자체를 탐지할 수 없다는 문제 등을 해결해야 한다.
해외에서는 이 같은 암복호화 장비의 문제를 보완하기 위해 복호화 없이 암호화된 트래픽에 내재된 보안위협 탐지기술을 연구·개발(R&D) 중이며, 일부 제품이 출시된 상황이다. 우리나라도 올해부터 다부처연구과제로 암호화 트래픽 분석(ETA) 기술을 개발하고 있지만 아직 상용 제품은 없는 실정이다.
씨큐비스타는 암호화된 트래픽을 복호화하지 않고 실시간 분석할 수 있는 기술을 개발하고 있다. 우리가 개발 중인 기술이 국내 보안 시장에서 암복호화 장비와 ETA 제품을 보강할 유력한 대안이 될 것으로 주목받고 있다."
단계적으로 투자 방향을 알려준다면.
"현재 자사 제품의 마케팅 및 암호화된 보안 프로토콜(TLS) 트래픽을 실시간 수집·분석해 해킹과 침입에 즉각 대응할 수 있는 네트워크 기반 실시간 TLS 트래픽 분석 기술을 개발했고, 올해 안에 상용화를 진행할 예정이다.
이번에 개발한 네트워크 기반 실시간 TLS 트래픽 분석 기술은 미국 국가안보국(NSA) TLS 위협 관리 가이드에 맞춰 암호화 보안 프로토콜 트래픽을 정밀하게 탐지하고, 실시간 수집·분석해 보안 취약점을 즉각 조치할 수 있게 해준다는 특징을 가지고 있다.
우리의 실시간 TLS 트래픽 분석 기술이 국내 보안 시장에서 암복호화 장비와 ETA 제품을 보강할 유력한 기술이 될 것으로 전망하고 있다. 네트워크 기반 실시간 TLS 트래픽 분석 기술은 기존 암복호화 장비의 문제점을 보완한 기술로 암호화된 공격 관리 및 보안 강화에 큰 도움이 될 것으로 보인다. 또 실시간 트래픽 처리 기술을 기반으로 자사의 네트워크 위협 헌팅(NDR) 플랫폼 '패킷사이버 v2.0'과의 시너지 효과도 기대하고 있다."
앞으로의 포부는 무엇인가.
"씨큐비스타가 보유하고 있는 실시간 지능형 위협 탐지 및 대응 기술을 바탕으로 암호화 트래픽 분석 기술 개발을 추가해 국내 시장을 넘어 APAC 시장에 진출하는 것이다. 이를 통해 본래 목표로 잡았던 ‘아시아 최고의 사이버 위협 헌팅 기술 기업’으로 도약할 것이다."
정부에 바라는 점이 있는가.
"국내 공공기관 판매를 위해서는 관리기관 인증을 받아야 하는데, 관리기관이 일반 기업에서는 소통하기 어려운 구조를 가지고 있다. 이러한 조직적인 구조가 좀 개선됐으면 하는 바람이 있다.
향후 자사는 실시간 암호화 트래픽 분석 제품을 추가해 시장을 확대하고, ETA 기술로의 확장 그리고 클라우드 보안 시장에 진출하는 것이다."
글 정유진 기자 사진 김기남 기자
© 매거진한경, 무단전재 및 재배포 금지