초연결 시대, 사이버 위협으로부터의 안전지대 구축
초연결 시대, 사이버 위협으로부터의 안전지대 구축
  • 김남근 기자
  • 승인 2020.03.04 10:59
  • 댓글 0
이 기사를 공유합니다

[이슈메이커=김남근 기자]

초연결 시대, 사이버 위협으로부터의 안전지대 구축
 
 
노용환 주식회사 쏘마 대표사진=김남근 기자
노용환 주식회사 쏘마 대표사진=김남근 기자

 

4차 산업혁명은 IT(정보기술)와 OT(운영기술) 분야를 접목한 신기술로 기반 시설과 제조업에 혁명을 가져왔다. 하지만 그럴수록 치밀하게 야기되는 것이 사이버 위협이다. 영화로 만들어질 만큼 유명한 스턱스넷(Stuxnet) 침투는 핵발전소 원심분리기의 반 이상을 가동 중단시켰고, 노르웨이와 대만의 제조업체는 랜섬웨어 감염으로 수천억 원의 손해를 보았다. 해킹에는 과연 안전지대가 없는 것일까.
 
공격자의 행위를 추적하고 숨겨진 위협을 탐지
2009~2010년 사이 사상 최악의 사이버 무기라고 불리는 악성코드 스턱스넷이 이란 나탄즈의 지하 핵발전소를 공격한 것은 바로 USB 메모리였다. 감염 USB를 윈도우 OS에 꽂아 침투시키면 내부 네트워크를 검색해 해당 프로그램이 기능에 장애를 유발하고 결국 가동을 중단시키게 된다. 이를 'USB를 꽂는 행위가 불러오는 나비효과'라고 말하는 주식회사 쏘마(이하 쏘마) 노용환 대표는 “벌써 10년 전의 일입니다. 강산이 또 한 번 바뀌면서 공격자들은 더욱 정교하고 고도화된 기술로 보안 솔루션을 무력화하고 있습니다. 한 번도 본 적 없는 새로운 공격을 예측해야 할 때입니다”라며 보안 없는 4차 산업혁명이 얼마나 위험한가에 대해 피력했다.
 
국가 기반 시설을 해킹할 경우, 대규모 정전 사태나 방사능 유출 등 상상을 초월한 피해를 입게 될 것이라는 노 대표는 미래 사이버 보안 모델인 ‘사이버 위협 헌팅 플랫폼, 몬스터’(Cyber Threat Hunting Platform, Monster)로 2018 정보보호 스타트업 피칭에서 당당히 우승을 거머쥐었다. 20년 이상 엔드포인트 보안 기술에 대한 연구·개발을 해온 노 대표는 웹젠, 브이엠크래프트, 안랩 등에서 활약한 보안 전문가로 안랩 클라우드 기반 안티바이러스 시스템 ‘ASD’를 개발해 ‘올해의 안랩인 상’을 수상한 바 있다.
 
그런 노 대표가 흔히들 말하는 ‘좋은 직장’을 박차고 나와 험난한 보안 스타트업에 뛰어든 것은 ‘위협 헌팅’ 분야에 대한 열망 때문이었다. 위협 헌팅이란 ‘흔적 또는 가설을 통해 공격자의 행위를 추적하고 드러나지 않았던 위협을 찾아내는 행위’다. 이를 기반으로 탄생한 몬스터는 기존의 보안 제품들이 수집하지 못했던 공격자의 행위를 역으로 추적하는 데 최적화된 데이터를 위협 인텔리전스 플랫폼(Threat Intelligence Platforms, TIP) 기반, 머신러닝과 AI 기반의 탐지를 통해 수집·분석·저장하는 자동화 플랫폼이다.
 
기존의 보안체계가 위험성이 알려지지 않은 위협이나 위장된 위협에는 취약한 반면, 몬스터는 흔적이나 가설을 통해 공격자의 행위 자체를 추적, 수집·저장해 그 관계를 추적하기 때문에 전혀 알려지지 않은 위협에도 대응할 수 있다는 게 노 대표의 설명이다. 또한 시스템의 모든 행위를 분당 20만 건 이상 실시간으로 처리할 수 있으며, 독립적인 데이터 접근 API 제공과 수평 확장 가능한 구조의 분산 데이터베이스를 지원해 빅데이터의 처리 효율을 향상시켰다.
 
노 대표는 “위협 헌팅(Threat Hunting)이라는 용어는 2000년대 초에 등장한 개념으로 알려져 있으며, 2016년 창업 초기만 해도 보안 전문가들조차 생소해 하던 말이었습니다. 처음에는 데이터 분석을 통한 위협 탐지 기술, 즉 위협 헌팅 기술만을 개발하고자 했으나, 필요한 데이터를 충분히 수집할 수 있는 기존 솔루션도 없었고, 기존 솔루션의 데이터만으로는 턱없이 부족했기 때문에 데이터 수집기 또한 자체 개발하게 되었습니다”라며 “최신의 공격에 대응하는 솔루션을 제시해야 했기 때문에 APT(Advanced Persistent Threat/지능적 지속 위협) 공격을 시뮬레이션해주는 소프트웨어인 ‘ARES’(아레스)까지 개발하게 되었습니다. 결국 공격기술, 데이터 수집기술, 데이터분석 및 위협 탐지 기술의 전 영역에 대한 R&D 역량을 키울 수 있었습니다”라고 말을 이었다.
 
 
주식회사 쏘마는 전통적인 보안의 형태인 ‘경계’에서 한 걸음 나아가 가설-조사-발견-추적·분석 과정을 통해 드러나지 않았던 위협을 찾아내 보안의 패러다임을 바꿔나가고자 노력하고 있다.ⓒ 주식회사 쏘마
주식회사 쏘마는 전통적인 보안의 형태인 ‘경계’에서 한 걸음 나아가 가설-조사-발견-추적·분석 과정을 통해 드러나지 않았던 위협을 찾아내 보안의 패러다임을 바꿔나가고자 노력하고 있다. ⓒ주식회사 쏘마

 

최신의 공격기술로 최선의 위협 탐지 기술 구현
다소 황당한 해킹 사건들이 우리 주변에서 빈번히 발생하고 있다. FBI, CIA와 같은 특수기관은 물론 거대기업과 같은 특정 조직을 겨냥해 개인정보나 기밀을 유출한 사례가 있는가 하면, 인터넷 쇼핑몰과 은행을 노린 해킹 사고도 발생한 바 있다. 이들의 공통점은 하나다. 차세대 보안 위협으로 지목되고 있는 ‘APT’ 공격을 당한 것이다.
 
APT는 지능적으로 때를 기다리면서 회사와 관련한 모든 정보를 천천히 시간을 들여 살펴본 후 흔적을 남기지 않고 은밀히 활동하며 보안 서비스를 무력화시키고 정보를 유출해 달아난다. 흔적을 꼼꼼히 지우면서 들키지 않게 조심스레 공격하기 때문에 공격을 당하는 기업이나 기관이 한참 뒤에야 해킹 사실을 알게 된다. 주식회사 쏘마의 인텔리전스 팀은 이러한 APT의 공격 관련 데이터를 확보해 공격 대응 능력을 평가하는 ‘ARES’(Advanced Attack Simulator) 시뮬레이터를 개발했다. 기존 시뮬레이터와 달리 공격 시나리오를 최대한 다양하게 활용하기 위해 데이터 포맷에 최대한 유연하게 적용할 수 있도록 설계되었다.
 
“2019년은 APT 시뮬레이터의 해라고 봐도 과언이 아닐 만큼 많은 시뮬레이터가 개발되었습니다. 하지만 유연성에서 한계가 있었습니다”라며 “그러나 아레스는 공격 기법이 보안솔루션에서 탐지되는지를 확인이 가능하며, 테스트를 할 때 한 번에 특정 그룹의 다양한 공격 조합으로도 시뮬레이션을 할 수 있어 보다 자유롭고 지속적인 대응 능력을 기대할 수 있습니다”라고 밝힌 노 대표는 최신의 공격기술을 기반으로 최고의 위협 탐지 기술을 만들기 위해 오늘도 사이버 위협들과 전쟁에 여념이 없다.
 
중소기업 로드맵에 따르면 지능형위협 보안시장의 규모는 2020년 국내 1,200억 원, 전 세계 7,000억 원에 이를 것이라고 한다. 이는 어느 기업이 세계시장에 선진기술력을 알려 글로벌 기업으로 성장할 수 있는 황금 같은 기회라는 말과 같은 맥락이다. 국내 유수의 기업들로부터 R&D 사업을 수주하며 지속적으로 성장하고 있는 노 대표의 쏘마가 이 같은 기회를 잡고 굴지의 보안 정보보호 업체로 우뚝 설 날을 기대해 본다.
 
 
‘겸손한 오픈마인드’와 ‘최고의 열정’을 가진 이들이 모여 위협 헌팅(Threat Hunting) 분야에서 유의미한 약진을 펼쳐나갈 주식회사 쏘마.ⓒ 주식회사 쏘마
‘겸손한 오픈마인드’와 ‘최고의 열정’을 가진 이들이 모여 위협 헌팅(Threat Hunting) 분야에서 유의미한 약진을 펼쳐나갈 주식회사 쏘마. ⓒ주식회사 쏘마

 

스타트업으로서 위협 헌팅 보안 분야로의 도전이 쉽지는 않았을 것 같다.
“위협 헌팅 보안으로 크고 작은 기업이 최근 많이 등장했다. 때문에 이들과의 경쟁에서 우위를 점하기 위해 많은 노력을 하고 있다. 일각에서는 ‘스타트업이기에 어렵지 않느냐’는 말을 많이 하는데, 저는 오히려 그 반대라고 생각한다. 쏘마는 여느 스타트업보다도 민첩한 의사결정과 실행력, 그리고 유연한 구조를 갖췄기에 빠르게 시장으로 치고 나갈 수 있다고 생각한다”
 
기업의 사업 내용이 사회적으로 어떠한 영향을 가져오길 바라는가?
“사회적 영향은 너무 거창한 것 같다. 다만 제가 바라는 게 있다면 보안을 보다 쉽고 편하게 대중들에게 인식시키는 데 이바지했으면 한다. 사람들이 편하도록 만든 보안 프로그램인데, 새로운 보안 프로그램이 나올 때마다 사용자들은 이에 대한 교육을 받거나 공부를 해야 한다. 이 부분이 저는 앞뒤가 맞지 않다고 생각한다. 그래서 쏘마의 몬스터는 악성코드나 바이러스, 혹은 공격 시도가 탐지됐을 때 이에 대한 처리를 사용자에게 묻는 방식이 아니라 몬스터 서비스 프로바이더가 직접 이를 판단해 해결해준다. 이 부분이 제가 보안 업계에 던지는 하나의 메시지다”
 
올해 새로운 도약을 위해 대규모 확장을 준비하고 있다고 들었다.
“올해는 쏘마가 하나의 팀에서 어엿한 기업으로 도약하는 원년이 될 것이다. 지난해까지 플랫폼 개발에 매진했다면, 올해는 이를 활용해 시장에 제품을 공급하는 것을 목표로 잡았다. ‘겸손한 오픈마인드’와 ‘최고의 열정’을 가진 이들이 모여 위협 헌팅(Threat Hunting) 분야에서 유의미한 약진을 펼쳐나갈 주식회사 쏘마의 2020년을 기대해주길 바란다”


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 영등포구 국제금융로8길 11, 321호 (여의도동, 대영빌딩)
  • 대표전화 : 02-782-8848 / 02-2276-1141
  • 팩스 : 02-2276-1116
  • 청소년보호책임자 : 손보승
  • 법인명 : 이슈메이커
  • 제호 : 이슈메이커
  • 간별 : 주간
  • 등록번호 : 서울 다 10611
  • 등록일 : 2011-07-07
  • 발행일 : 2011-09-27
  • 발행인 : 이종철
  • 편집인 : 이종철
  • 인쇄인 : 신진민
  • 이슈메이커 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2020 이슈메이커. All rights reserved. mail to press1@issuemaker.kr
ND소프트