지능형지속위협(APT)으로 통칭되는 매우 정교한 사이버위협이 기승을 부리면서 사이버보안 분야에서 ‘위협 헌팅(Threat Hunting)’ 기술이 최근 주목받고 있다.

많은 글로벌 사이버보안 기업들이 선보이는 엔드포인트·네트워크 보안 등 다양한 보안 솔루션에 위협 헌팅 기술이 적용돼 있다고 부각하는 사례도 많아졌다.

국내에서는 이미 3년여 전인 2016년 12월에 위협 헌팅 기술 전문 보안 스타트업이 등장했다. 노용환 대표가 창업한 쏘마(SOMMA)다.

당시는 ‘위협 헌팅’이란 용어나 개념이 국내에 널리 알려지지 않았을 때다.

노용환 대표는 정보보안 분야에서만 20년 간 경력을 쌓았다. 해킹 기술에 관심과 재미를 붙여 이 분야에 발을 들였다. ‘해킹과 보안 내가 최고’라는 책도 썼다. 2000년에 보안회사에 취업한 뒤 방화벽, 침입탐지시스템(IDS), 통합보안관리(ESM) 시스템, 게임 보안 서비스, 가상화, 안티바이러스(백신)와 클라우드 기반 위협 분석 플랫폼까지 다양한 보안 기술과 솔루션을 직접 개발하고 경험했다. 창업 직전 마지막으로 몸담았던 기업은 안랩이다.

노 대표는 유명 미드(미국드라마) ‘24’를 보던 중에 위협 헌팅 기술을 적용한 보안 솔루션을 개발해야겠다는 아이디어를 얻었다고 한다. 그는 “드라마를 보는데, 한 명이 컴퓨터를 전문으로 다루는 직원에게 특정 날짜에 무슨 일이 일어났는지 물어보는데 직원이 검사를 하면서 PC에서 어떠한 일이 일어나서 데이터가 외부로 나간 것 같다고 이야기 하는 장면이 나왔다”며 “의심스러운 흔적 하나를 추적해 원인을 찾아냈다. 보안도 이렇게 해야 한다, 왜 이런 보안을 할 수 없을까 하는 생각이 들었다. 이게 가능해지려면 방대한 데이터를 분석할 빅데이터 분산처리 기술이 필요한데, 이전에는 기술적 한계가 있어서 할 수 없었던 것”이라고 설명했다.

이어 노 대표는 “기존 보안 제품들은 패턴을 기반으로 알고 있는 것을 악성과 정상으로 분류해 차단하고 허용했다. 모르는 건 어떻게 할지 물어보거나 회사 정책을 따르는 방식으로 운영했다. 그런데 악성인지 정상인지 모르는 것을 다 막으면 불편해지기 때문에 대부분 허용해왔다. 하지만 해킹은 모르는 것 안에 있다”고 지적했다.

알지 못하는 위협에 초점, 기존 보안 개념을 뒤바꾼다

노 대표는 위협 헌팅이 “기존 보안 개념을 뒤집는다”고 했다. 알고 있는 것을 탐지하는 것이 아니라 알지 못하는 것을 찾아내는 접근방식이라는 것이다. “위협 패러다임이 바뀌었다. 이젠 보안 패러다임도 바꿔야 한다”고 강조했다.

위협 헌팅은 공격의 흔적을 찾아내고, 그 흔적을 추적해 위협을 찾아내는 것을 말한다. 그 과정이 바로 기존에는 모르던 위협을 탐지하는 과정이다.

그동안 공격자는 단 한 번만 공격에 성공하면 되고, 이를 위해 하나의 취약점만 찾으면 됐다. 반면에 방어자는 한 번만 뚫려도 실패하기 때문에 모든 공격을 막아내야 했다. 이로 인해 공격자와 방어자는 비대칭 싸움을 벌인다는 인식이 있었다. 즉 공격자가 방어자보다 우위에 있다는 것이다.

노 대표는 “생각을 바꿔보자. 하나의 공격자 흔적만 찾게 된다면 이를 바탕으로 공격자를 추적해낼 수 있다면 반드시 방어자가 열세에 처해있는 것은 아니다”라면서 “위협 헌팅은 알려지지 않은 위협을 찾아내 고도화된 위협, APT 공격을 대응하는데 기반이 된다”고 말했다.

위협 헌팅 플랫폼 ‘몬스터’ 개발

쏘마는 데이터를 수집, 분석해 위협을 탐지하고 대응하는 전 과정을 자동화하는 기술을 개발했다. 이게 바로 쏘마의 위협 헌팅 플랫폼인 ‘몬스터’다.

이를 바탕으로 사이버위협에 대응할 수 있는 솔루션을 제공할 예정이다. 쏘마는 우선 엔드포인트단 위협 헌팅에 주력하고 있다. 몬스터는 PC단 데이터를 수집하는 ‘몬스터 에이전트’와, 공격 행위 추적에 필요한 데이터를 수집, 저장하고 분석할 수 있는 플랫폼인 ‘몬스터 쓰렛 헌팅 클라우드’로 구성된다.

노 대표는 “현재 에이전트와 플랫폼에 5600대 PC가 운용되고 있다”며 “내부 인프라에서 탐지하지 못했던 위협을 관제하는데 필요한 안정성과 성능을 검증하면서 플랫폼을 계속 고도화하고 있다”고 설명했다.

몬스터 에이전트는 위협 헌팅에 필요한 각종 시스템 이벤트 수집을 담당한다. 수집된 이벤트는 시스템에 유입된 악성코드 행위 추적, 비정상적인 네트워크 활동 탐지 등 다양한 분야에 활용 할 수 있다. 이 에이전트는 몬스터 위협 헌팅 클라우드라는 분석 플랫폼과 연동돼 있다.

위협 탐지뿐 아니라 공격자 행위 추적하고 숨겨진 위협도 탐지할 수 있다. 어디에서 시작됐고 내부에 어떠한 영향이 끼쳤는지 알아내 문제를 해결하는데 역량을 집중하고 있다고 노 대표는 전했다.

공격 시뮬레이터 ‘아레스’로 위협 탐지 강화, 협업도 활발히

노 대표는 데이터 수집 기술을 힘들게 만들고 난 후 분석 기술을 개발하는데 딜레마에 봉착했다. APT 공격 분석에 필요한 데이터가 필요했기 때문이다.

위협 헌팅 기술도 결국 방대한 데이터를 잘 분석해 알려지지 않은 위협을 탐지한다. 쏘마도 빅데이터 분석 플랫폼과 머신러닝·인공지능 엔진도 활용하고 있다. 고도화된 위협을 탐지하는 기능을 잘 수행하기 위해서는 기반이 되는 데이터, 그리고 지능형 공격 행위에 대한 경험이 매우 중요하다. 특히 공격 기술은 계속 바뀌기 때문에 최신의 공격 데이터를 확보해야 하지만, 은밀하고 정교하게 수행하는 지능형 공격은 데이터 확보가 매우 어렵다.

그래서 쏘마는 최신의 공격 데이터를 만들어내고 지능형 공격 행위를 실제와 유사하게 시뮬레이션할 수 있는 ‘아레스(ARES, Advanced Attack Simulator)’를 개발했다. “이 시뮬레이터를 통해 공격을 해보면서 데이터를 수집하고 이 공격을 역추적하는 것을 검증한다”는 게 노 대표의 이야기다.

쏘마는 자체 기술뿐 아니라 방대한 악성코드와 사이버위협 인텔리전스 정보를 확보하고 있는 안랩, 세인트시큐리티, 한국인터넷진흥원(KISA) 사이버위협정보 분석·공유시스템(C-TAS)과 연동해 몬스터의 탐지 능력을 향상시키는데 주력하고 있다.

쏘마의 창업 초기 투자사인 지란지교시큐리티와 그 자회사로 빅데이터 분석 플랫폼을 가진 모비젠과도 협력하고 있다.

오는 3분기 제품 출시 예정…EDR·MDR 서비스 협력 추진

쏘마는 엔드포인트단에 특화된 행위 기반 위협 헌팅 기술을 패키지화해 정식 제품으로 출시할 계획이다. 중소기업용 제품으로 오는 3분기 출시를 목표로 하고 있다.

궁극적인 목표는 클라우드 기반 서비스 제공이다. 먼저 소프트웨어서비스(SaaS) 형태의 클라우드 보안 제품인 ‘SECaaS(SEcurity as a Service)’를 선보일 계획이다. 단순히 보안 기능을 제공하는 데 그치지 않고 월 과금 방식으로 기업 전체의 엔드포인트를 보안관제까지 가능한 전문화된 매니지드 탐지·대응(MDR) 서비스를 제공한다는 포부다.

대다수 보안 솔루션·서비스 기업들처럼 직접 기업 대상(B2B) 제품 공급과 서비스 제공 사업을 벌일 수도 있지만, 쏘마는 사업 범위와 대상을 제한하고 있지 않고 있다. 노 대표는 오히려 위협 헌팅 기술과 플랫폼을 필요로 하는 모든 기업들이 대상이 될 수 있다고 시사했다. 대신에 쏘마는 “가장 잘할 수 있는 기술 분야만 심층적으로 다루고 싶다”는 얘기다.

예를 들어 차세대 엔드포인트 보안 솔루션으로 부각되는 엔드포인트 위협 탐지·대응(EDR)과 차세대 보안관제서비스로 부상한 MDR 서비스를 제공하려는 보안 솔루션·서비스 기업들과의 사업 협력이다.

노 대표는 “우리가 개발한 엔진과 플랫폼을 기반으로 EDR 솔루션을 만들 수 있을 것이다. 여기에 MDR 서비스까지 결합할 수 있다. 보안관제서비스 등 다양한 서비스제공업체들이 활용할 수 있는 전문 기술을 제공하고 싶다. MDR 서비스 파트너를 만날 수 있길 바란다”고 언급했다.

관련 협업은 이미 진행하고 있다. 안랩 등 국내 기업들과의 사업 협력 논의는 물론, 해외 기업과의 라이선싱 공유 협력을 맺었다. 싱가포르의 보안업체인 센티넬이 쏘마의 몬스터 에이전트와 엔진을 기반으로 제품 출시를 준비하고 있다.

쏘마는 아직 정식 제품을 출시하지는 않았지만, 대기업에 공급 사례를 확보했다. 핵심 국가기관에도 5000사용자 규모 라이선스를 공급했다. 또 방산업체인 LIG넥스원과 파트너십을 체결해 올해부터 다년간 진행되는 군 사업도 두 건이나 수주했다.

이를 바탕으로 설립한지 이제 만 3년을 갓 넘겼지만 이미 10억원 넘는 매출액을 확보해놓은 상태다. 다양한 협력이 추진되고 제품 정식 출시를 예정하고 있는 만큼 올해부터 두드러진 성장을 예상하고 있다.

쏘마는 ‘최신 공격 기술 연구로 최고의 공격 방어 기술과 탐지 기술을 만들겠다’는 비전을 내세우고 위협 헌팅 분야를 선도적으로 연구개발해왔다. 이제는 국내 보안업계에서 떠오르는 스타트업 가운데 하나가 됐다.

지란지교시큐리티에 이어 한국과학기술지주로부터 투자를 받았고. 여러 건의 투자 제안도 받고 있다. 지난해 K-글로벌 시큐리티 스타트업 프로그램 대상, 2019 시큐리티 스타트업 IR 페스티벌 우수상 등 여러 보안 전문 스타트업 대회에서 수상하기도 했다. KISA가 운영하는 정보보호 클러스터 입주 기업으로 입주해있다 최근 졸업했다.

‘바스리’는 <바이라인 스타트업 리뷰>의 줄임말로, 바이라인네트워크가 유망 스타트업을 다루는 꼭지명입니다. 스타트업 관계자분들과 독자님들의 많은 관심 부탁드립니다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network