주목 받는 보안 스타트업 ‘쿼드마이너’…NDR·XDR 넘어 ‘AI보안운영’ 자동화로 간다
[바스리] 박범중 대표에게 듣는 쿼드마이너의 과거와 현재, 그리고 길게 이어질 미래
“모든 정보보안 사고의 원인과 해결 방법은 다 네트워크 패킷 데이터에 있다. 정보기술(IT)망이든 운영기술(OT)망이든, 폐쇄망이든 관계없이 모두 동일한 기반 기술로 활용 가능하다.”
박범중 쿼드마이너 대표의 이야기다. 쿼드마이너(대표 박범중·홍재완)는 지난 2017년 11월에 설립된 사이버보안 기술 기업이다. 박 대표가 언급한 기반 기술은 바로 ‘네트워크 풀 패킷 분석’ 기술이다.
쿼드마이너는 기업의 모든 네트워크 트래픽을 캡처하고 수집해 검사하는 풀 패킷(Full-packet) 분석 기술을 바탕으로 보안 위협을 탐지하고 대응하는 네트워크 위협 탐지 대응(NDR) 솔루션인 ‘네트워크 블랙박스(Network Blackbox)’를 개발하면서 사업을 시작했다.
‘네트워크 블랙박스’는 기업 내부 네트워크에서 흘러다니는 모든 패킷을 수집하고 분석해 외부에서 들어온 보안위협은 물론 내부 직원에 의한 비정상 행위 분석을 가능하게 해준다. 특허 받은 고성능 패킷 스트림 저장 기술로 모든 네트워크 패킷을 빠르게 수집하고 전수 검사해 분석하기 때문에 사고 원인을 파악할 수 있는 증적 자료와 데이터 원본을 모두 확보할 수 있다. 이를 바탕으로 침해나 위협 관련 다양한 분석이 가능해 침해사고 후 심층 조사와 원인분석을 통해 향후 선제적으로 대응할 수 있도록 지원한다.
최근에는 ‘네트워크 블랙박스’ 중심의 NDR 솔루션을 센서로 활용해 증적 데이터를 확보하는 것을 넘어, 사이버위협 인텔리전스를 비롯해 분석된 데이터를 자동으로 통합해 즉각적인 대응까지 자동 지원하는 ‘쿼드엑스(QUADX v2.0)’ 제품까지 출시, 확장했다. NDR과 다양한 보안 정보 이벤트 관리(SIEM), 보안 오케스트레이션 자동화 대응(SOAR) 솔루션을 연계하고 AI 기술을 접목해 보안운영 자동화를 지원하는 이른바 ‘오픈 XDR’ 솔루션이다.
사업 초창기, 쿼드마이너가 NDR 기술을 개발해 선보이던 때에는 이같은 네트워크 풀 패킷 분석 기반의 보안 솔루션이 시장에 드물었다. 외산 제품 딱 한 곳을 제외하고는 국내 경쟁사가 없는 상황이었고, 이는 현재까지도 마찬가지다.
쿼드마이너는 기반 기술과 솔루션을 먼저 개발한 뒤에 정식으로 회사를 설립했는데, 그 후 지금까지 고속 성장가도를 달리고 있다. 그동안 쿼드마이너가 걸어온 이력을 살펴보면 매우 화려하다.
첫 제품인 ‘네트워크 블랙박스’를 개발한 이듬해부터 매출이 발생하기 시작해, 지난해 매출 108억원을 기록했다. 회사를 설립한 지 단 6년만에 매출 100억원을 돌파했다. 쿼드마이너는 매년 평균 30% 이상 높은 성장세를 꾸준히 기록하고 있고, 올해도 이같은 추세는 유지할 것이라는 게 박 대표의 이야기다.
그리 길지 않은 업력을 가졌지만 시중은행을 비롯한 금융사, 유수의 대기업, 정부·공공기관·군까지 모든 산업군을 망라해 굵직한 레퍼런스를 구축하고 있고, 고객사 수는 70여곳에 달한다.
국내뿐 아니라 해외에서도 매출이 발생하기 시작했다. 창업 초기부터 해외 시장 공략을 염두에 두고 준비해 일본·싱가포르 등에 빠르게 진출했고, 가트너 리포트 등에 4년 연속 등재되며 해외 시장 진출에도 더욱 가속도가 붙고 있는 상황이다.
창업 초기 팁스(TIPS) 프로그램에 선정된 것을 비롯해 쿼드마이너가 지금까지 투자를 받은 누적 금액만 280억원에 달한다. 국내뿐 아니라 해외, 일본에 있는 유수의 대기업으로부터 투자를 받았고, 이들 기업(관계사)이 직접 현지 총판을 맡고 있기도 하다. 내년에는 기업 공개(IPO)에도 본격 나설 계획이다.
스타트업 투자 호황기에도 투자업계에서 꺼리던 정보보안 사업을 주력으로 설립한 쿼드마이너만큼은 업계에서 주목받는 핫한 기업일 수밖에 없다.
그 비결은 무엇일까? 박범중 대표에게 물어봤다.
왜 ‘풀 패킷’이었나…창업 초기 쿼드마이너가 정한 두 가지 ‘말자’ 원칙
풀 패킷 분석 기술 기반 보안 제품을 개발하게 된 동기나 배경은 무엇인가.
글로벌 회사에 근무할 때부터 창업 준비 과정에서도 많은 글로벌 보안 제품들을 연구해봤다. 많은 글로벌 보안 제품들은 수많은 다양한 기술과 기능이 적용돼 있지만 보안 담당자들이 사용하지 않는 기능들이 많았다. 모든 걸 다 제공하는 것이 아니라 필요한 기술은 오픈 애플리케이션프로그래밍인터페이스(API)로 협업 분석을 할 수 있도록 열어놓고 핵심 기술만 개발하자는 것에서 시작했다. 시작할 때 ‘네트워크 풀 패킷’을 전수 검사할 수 있는 기술을 개발하기로 했는데, 이는 보안체계에서 봐야하는 걸 오탐지하거나 놓치는 것이 없도록 하기 위해서 잡은 콘셉트다.
보안 기술을 개발하면서 특별히 주안점을 둔 것이 있는지.
창업을 준비하면서 두 가지는 절대 하지 말자고 합의한 게 있었다. 에이전트 방식과 인라인 방식이다. 데스크톱에 에이전트를 설치하는 방식은 절대 하지 않는다는 것과, 인라인이 아닌 미러링 방식의 제품을 개발하겠다는 것이다. 이 두 가지 원칙 아래 네트워크 풀 패킷 수집과 분석이 가능한 보안 기술을 개발하다보니 네트워크 포렌식이 나왔다. 당시에는 NDR이란 표현이 없었다. 네트워크 포렌식에서 네트워크 트래픽 분석(NTA)으로 발전되고 그 이후 NDR 기술이 나왔다. 쿼드마이너는 NDR로 시작했지만 클라우드 위협 탐지 대응(CDR)까지 확장했고, 이제 SIEM, SOAR, 확장형 위협 탐지 대응(XDR)까지 협업 사업으로 점점 확대하고 있다. 이들 솔루션을 NDR에 붙여 협업 분석을 할 수 있도록 하고 있다.
창업 직후부터 성공 조짐, 이유는 바로 ‘실제 환경(현장)’과 ‘고객(보안 담당자)’ 중심 개발
사업 초창기부터 성과를 거두게 된 이유는 무엇이라고 보는가.
아시다시피 스타트업 제품이 대기업이나 금융사에 들어가는 것은 매우 어렵다. 보통 개념검증(POC) 기술검증을 적어도 3개월에서 1년 6개월 동안 진행한다. RSA, 다크트레이스 같은 유수의 글로벌 보안기업들과 가혹하고 치열한 경쟁을 거쳐 우리가 이기면서 많은 레퍼런스를 만들 수 있었다. 그 핵심 이유는 기업의 보안 담당자가 정말 필요로 하는 기능, 이들이 가진 문제를 해결할 수 있는 보안 기술을 개발했기 때문이다.
대부분의 주요 보안 기업들은 연구소, 랩실에서 기술 개발을 한다. 기반 기술은 당연히 연구소에서 할 수밖에 없긴 하다. 하지만 문제의 원인과 해결 방법은 고객에게 있다. 쿼드마이너는 게임사, 커머스 회사같은 실제 기업 환경에 우리 시스템을 놓고 기술을 개발하고 검증했다. 실제 데이터를 가지고 제품을 고도화하면서 기업들이 가진 문제들을 해결했다. 이후 고객사 피드백을 받아 이들이 필요한 것과 불필요한 것을 반영했고 API로 엔드포인트 위협 탐지 대응(EDR)이나 SIEM같은 다른 보안 솔루션과 손쉽게 연동할 수 있도록 개발했다.
주력 제품인 ‘네트워크 블랙박스’ 기술의 강점을 설명해달라.
쿼드마이너가 채택한 보안전략은 ‘오픈’ 전략이다. 스마트폰 운영체제로 말한다면 애플이 아닌 안드로이드 전략이라고 설명할 수 있다. 풀 패킷을 수집해 비정형 데이터를 정형화시키고 메타데이터로 만들고 레이블링을 해서 학습을 시켜 분석해 대응할 수 있는 일련의 모든 과정을 제품 콘솔에서 협업 분석할 수 있도록 만들었다. 해킹 공격이나 비정상 행위, 데이터 유출, 악성코드 감염 모두 잡아낼 수 있다.
우리 기반 기술의 핵심은 고속의 대용량 환경에서 패킷 손실 없이 모든 패킷을 수집할 수 있는 것에 있다. 풀 패킷 안에는 IP 플로우, 메타데이터, 이메일을 비롯한 다양한 콘텐츠 본문 텍스트와 첨부파일 등까지 모두 다 있다. 이 모든 것을 종합적으로 본다. 기본적으로 내부망 안에 있는 모든 데이터를 가지고 있고, 그 데이터를 분류해 정상 행위인지, 정보 유출인지, 악성코드 감염인지 다양한 조건들을 가지고 분석한다. 마이터어택(MITRE ATT&CK) 프레임워크도 지원한다. 보안관제 과정에서 비정상 행위가 탐지됐을 때 공격이 성공해 내부 데이터가 유출됐거나 내부에 다른 영향을 미칠 수 있는지 분석해 조치를 취하려면 가지고 있는 데이터를 바탕으로 조사를 해봐야 한다. 풀 패킷 기반이어야만 연관된 데이터를 확보할 수 있고, 분석해 바로 대응할 수 있다.
가장 큰 강점은 외산 솔루션에도 밀리지 않는다는 점, 그 이유는 실제 현장에 있는 보안담당자들이 필요로 하는 기능에 초점을 두고 개발했다는 것이라고 할 수 있다. 기능이 너무 많아서 활용하지 못하는 경우가 많아 선택과 집중 전략으로 가장 필요한 기능을 중심으로 구현했고, 추가 확장 기능은 API를 활용해 SIEM, EDR, CTI 등을 연계해 협업 분석을 수행할 수 있도록 했다. 이를 두고 ‘오픈 XDR’이라고 이야기한다.
내부자 위협 방지·대응 수요 대부분…보안운영 자동화 솔루션으로 확장
네트워크 블랙박스는 고객사에서 어떤 용도로 많이 사용하는가.
처음에는 네트워크 포렌식으로 시작했지만 최근에는 가장 큰 이슈가 내부자 위협 대응이다. 예를 들어 중국에 있는 경쟁사가 내부 연구원에게 비트코인을 30억어치씩 제안하다 보니 수단과 방법을 가리지 않고 내부 정보유출 시도가 이뤄진다. 예전에는 외부에서 내부로 들어오는 인바운드 공격을 많이 봤는데, 요즘은 인위적으로 일부러 악성코드 감염시키는 사례들도 많다. 이게 어디서 시작이 됐고 어디까지 전파됐는지, 그리고 어떤 행위들을 하고 있는지, 만약 파일을 유출했다면 어떤 파일을 어떻게 쪼개서 내보냈는지 이런 걸 알려면 풀 패킷 기반 기술이 있어야 된다.
전체 고객사 중 90%가 내부 위협에 대응할 수 있는 용도로 사용한다. 보안운영 자동화 구성요소로 내부 위협을 더욱 빨리 찾고 분석할 수 있다. 비정상 행위나 비정상적인 공격을 분석하는 용도로도 많이 쓴다. 대기업과 금융사가 전체 고객사의 80%, 정부기관이 20%를 차지한다.
초기에는 네트워크 포렌식, 그 다음에는 위협 헌팅, 요즘에는 보안운영 자동화를 강조하는 것 같다.
기술 트렌드 변화에 맞춰 우리 솔루션의 기능도 더욱 강화하고 있다. 결과적으로 NDR 솔루션은 위협 탐지, 위협 헌팅, 포렌식과 대응 4가지 핵심 기능을 모두 제공한다. 알려지지 않은 비정상적 행위를 찾아내고, 위협이나 공격을 식별·파악하고, 분석·탐지된 위협을 확인해 증적을 확보하고, 또 실제 대응 조치를 수행해아 한다. 그리고 다양한 보안 솔루션과 연동해 통제할 수 있다.
위협을 탐지했다고 해도 분석 역량이 없다면 보안 운영을 할 수 없기 때문에 최근에는 자동화를 더 중요하게 보고 이 기능 강화에 집중하고 있다. AI 기술을 활용해 보안 전문지식이나 전문기술(skill)이 부족하더라도 몇 가지 질문만으로도 필요한 위협 정보나 공격그룹에 대한 행위가 식별되고 요약된 분석 결과를 받아볼 수 있도록 제공하기 위해 자동화 기술을 강화하고 있다.
쿼드마이너가 말하는 보안운영 자동화, XDR 신제품 ‘쿼드엑스’ 고도화 로드맵
쿼드마이너가 정의하는 보안운영 자동화 솔루션은 무엇인가.
쿼드마이너가 지향하는 보안운영 자동화는 우리가 가지고 있는 데이터를 기반으로 시스템이 (위협 상황을) 직접 판단하고 탐지하고 분석해 직접 대응하는, 탐지-분석-대응 각 단계를 모두 자동화시키는 것이다. 사실 자동화라고 하지만 실제로는 반자동화를 구현할 것이다. 완전 자동화는 어렵다. 최종 결정은 사람이 해야하기 때문에 사람이 개입할 수밖에 없다. 그 점에서 보안운영 효율성을 높이는 솔루션이라고 설명할 수 있다.
최근 출시한 XDR 신제품을 소개해달라.
올해 NDR과 SIEM, SOAR 기능을 합친 ‘쿼드엑스 v2.0’을 출시했다. XDR 제품으로 포지셔닝하고 있다. 차세대 SIEM 솔루션 개념의 1.0 버전을 거쳐 올해 3월에 2.0 버전이 나왔다. 위협 탐지-분석-대응 전 과정에서 보안운영 자동화를 지원한다. SIEM 엔진은 IBM 큐레이더를 활용하다 최근에는 엘라스틱을 접목하고 있다. AI 기술을 접목해 계속 고도화하고 있다. 내년에는 엘라스틱 기술을 바탕으로 AI 어시스턴트 기반의 ‘쿼드엑스 3.0’를 선보일 예정이다.
향후에는 네트워크 블랙박스에서 수집된 데이터를 기반으로 AI 어시스턴트를 활용해 보안운영 자동화 목표를 달성할 방침이다. 궁극적으로 지향하는 건 ‘AI섹옵스(AISecOPS)’다. 그 로드맵을 가지고 있다. 쿼드마이너는 AI(XAI) 기반 사이버위협 탐지대응·예측기술 연구개발 과제를 KISTI, KAIST, 가천대학교와 공동으로 수행하고 있다.
창업 초기부터 해외 진출 타진…일본, 동남아 시장 공략 본격화
일본 등 해외 사업 현황은.
쿼드마이너에 투자한 일본기업들이 제품 총판을 맡아서 사업을 함께 하고 있다. 회사 설립 초창기부터 해외 진출을 염두에 두고 준비했고 지난 4년간 투자해왔다. 처음 기술을 개발할 때부터 사용자 인터페이스(UI)와 사용자 경험(UX), 기술 개발 문서까지 모두 영문과 일본어 버전을 같이 준비해왔다.
일본 법인을 설립한 지 3년 됐다. 현재 도쿄와 나고야에 법인이 설립돼 있다. 올해부터 일본에서 공급 계약이 체결되고 매출이 나오기 시작했다. 올해 4억에서 7억원 규모 계약 수주를 목표로 하고 있다. 일본에서는 NDR 제품뿐만 아니라 클라우드 기반 NDR인 CDR 제품을 주력으로 사업하고 있다. 일본 외에도 올해 싱가포르 법인도 설립했다. 현재 싱가포르 외에 인도네시아 정부기관 고객사를 확보했다. 싱가포르를 동남아시아 거점으로 삼아 시장을 공략할 계획이다.
내년 IPO 추진, “해외서 성공하는 사이버보안 스타트업 첫 성공사례 만들겠다”
올해를 포함한 쿼드마이너의 단기, 장기 목표와 지향점을 알고 싶다.
올해 3분기까지 전년 대비 38% 성장했다. 매출 기준 지난해까지 매년 30% 이상 성장하고 있는데, 올해에도 이어갈 것이다. 가장 중요한 것은 드디어 일본에서 매출이 발생되기 시작했다는 것으로, 내년부터는 2~3배 성장을 할 수 있을 것으로 기대하고 있다. 일본 시장은 뚫기가 매우 어렵지만 한 번 뚫으면 굉장히 많은 기회가 있다. 한국보다 시장이 훨씬 크고 수익성도 훨씬 좋을 것으로 기대하고 있다. 현재 일본 시장에서 정치사회적으로 사이버 보안이 핫이슈로 떠오른 상황이다. ‘능동적인 보안’이 화두로 떠올랐는데, NDR이 제공하는 증적 데이터가 바로 능동 보안을 이루는 근간이 될 수 있다고 보고 있다. 가장 중요한 건 해외 법인을 통해 해외 매출과 고객을 더 많이 만드는 것이다. 전체 매출 가운데 20%를 해외 매출로 만드는 것이 목표다. 손실도 매년 줄여나가고 있다. 흑자 달성 시점은 내후년으로 보고 있다.
그리고 내년 10월에 코스닥 상장 준비를 하고 있다. 기술특례 상장으로 지원할 것이다. 주관사도 이미 선정했다. 하나증권이다.
장기적으로는 쿼드마이너가 일본을 비롯해 해외에서 성공하는 사이버보안 스타트업으로 첫 성공사례를 만드는 것을 목표로 하고 있다. 사이버보안 회사들이 투자 시장에서 인기가 없지 않나, 그 이유가 바로 한국 시장에서만 주로 집중하고 해외에서 성공한 기업들이 없기 때문이다.
[바스리]는 바이라인네트워크에서 스타트업을 리뷰하는 꼭지입니다. 줄여서 ‘바스리’. 투자시장이 얼어붙어도 뛰어난 기술력과 반짝이는 아이디어, 새로운 비즈니스 모델을 가진 스타트업은 계속해 탄생하고 있습니다. 세상을 깜짝 놀라게 하겠다고 출사표를 던진 이들을 바이라인 기자들이 만나봅니다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network