트루컷시큐리티 “선천 면역 중심의 보안 패러다임 변화 시급”
[인터뷰] 심재승 트루컷시큐리티 대표 “도둑이 아니라 도둑질 잡아야”
수십년간 사이버 보안 업계는 ‘이미 알려진 공격’을 막는 데 집중해왔다. 백신은 패턴을 수집해 탐지하고, 엔드포인트 탐지 및 대응(EDR) 솔루션은 과거 데이터를 학습해 이상 징후를 예측한다. 하지만 모두 공격이 한 번은 발생한 뒤에야 반응한다는 점에서 한계가 있다는 지적이 나온다.
최근 KT 소액결제 피해, 공공기관의 시스템 해킹 등으로 국가 사이버보안의 신뢰는 흔들리고 있다. 해킹은 점점 더 지능화되고, 공격자는 인공지능(AI)을 활용해 방어체계를 우회한다. 그럼에도 대부분의 보안 제품은 여전히 ‘알려진 공격만 막을 수 있는 구조’에 머물러 있다.
이 같은 한계를 절감한 한 엔지니어는 ‘처음부터 침투 자체를 원천 차단’하는 새로운 접근법을 제시했다. 바로 20년 전 인체 면역체계에서 착안한 ‘선천 면역 보안’으로 해킹 방어의 패러다임을 바꾸자고 제안한 심재승 트루컷시큐리티 대표다. 그는 “기존 보안 기술과 패러다임의 문제점이 뭐냐“고 묻는 기자의 질문에 이렇게 답했다.
해커는 늘 새로운 수법을 쓴다. 반면 우리는 늘 옛 패턴으로 막으려 한다. 사고 후 수습하는 보안은 이미 한계에 다다랐다. 공격을 당하기 전에, 애초에 공격이 불가능한 체계를 만드는 게 이제 진짜 필요한 보안 기술이다.
해커는 알려진 공격을 쓰지 않는다
트루컷시큐리티의 출발은 ‘패턴 기반 보안의 구조적 한계’를 깨달은 순간이었다. 시스템 엔지니어였던 심 대표는 보안의 원리를 기술적으로 연구하다가 기존 백신의 태생적 약점을 직시했다.
백신은 누군가 한 번 당해야 패턴을 만든다. 이미 감염된 다음에야 다른 사람을 보호할 수 있는 구조다. 그건 인체로 치면 병이 생긴 다음에 치료하는 것과 같다.
심 대표는 최근 급증하는 ‘지능형지속공격(APT)’이 바로 이런 구조적 한계를 가장 극명하게 보여주는 사례라고 지적했다.
APT 공격은 해커 입장에서는 당연한 것이다. 누가 알려진 공격으로만 공격하겠나. 그렇게 해커는 수개월, 길게는 수년간 잠복하면서 변칙을 사용해 내부 시스템을 교란한다. 이미 내부에 들어온 뒤에는 정상 행위로 위장하기 때문에, 기존의 시그니처 기반 보안으로는 탐지조차 어렵다.
그는 “APT를 막으려면 ‘누가 들어왔는가’가 아니라 ‘무엇을 하려 하는가’를 봐야 한다. 트루컷시큐리티의 기술은 바로 그 지점에서 작동한다. 행위가 포착되는 순간 즉시 차단하기 때문에, 침투 여부와 상관없이 실질적인 방어가 가능하다”고 강조했다.
도둑이 아니라 도둑질을 잡아야 한다. 도둑이라도 와서 훔쳐가지 않으면 잡지 않는다. 하지만 행위가 포착되면 즉시 막는다. 선천 면역 방식의 해킹 방어가 우리가 말하는 보안 패러다임의 핵심이다.
해킹에도 선천 면역이 필요하다
이런 문제의식 속에서 탄생한 개념이 ‘선천 면역 보안’이다. 심 대표는 인체의 면역체계를 보안의 모델로 삼았다. 그는 “우리 몸은 처음 보는 균이라도 공격 징후가 있으면 즉각 반응한다. 이를 시스템 보안에도 적용할 수 없을까 고민했다”고 설명했다.
이 철학을 실제 기술로 구현한 것이 트루컷시큐리티의 핵심 엔진 ‘CoA(Cut off Active)’다. CoA는 시스템 내 모든 프로세스의 행위를 감시하고, 사용자의 입력 없이 자동 실행되는 비정상 행위를 즉시 차단한다.
심 대표는 “도둑도 훔칠 때 잡아야 현행범이지, 다 훔치고 나서 잡으면 늦다. 트루컷시큐리티의 기술은 바로 그 ‘현행범 포착’에 초점을 둔 것”이라고 설명했다.
AI 보안도 결국은 후천 면역
최근 인공지능(AI) 기술을 적용한 보안 기술이 각광받고 있다. 이에 대해 심 대표는 “AI도 결국 후천 면역을 위한 기술에 해당한다”며 “AI 기반의 보안도 여전히 한계점이 명확하다”고 설명했다.
AI는 과거의 데이터를 학습한다. 공격자도 AI를 쓰는 시대다. 같은 방식으로 싸우면 방어자가 백 번 불리하다. 공격자는 한 번만 뚫으면 되지만, 방어자는 한 번만 뚫려도 끝이다. AI는 이미 일어난 사건은 잘 이해하지만 역시나 ‘처음 보는 공격’엔 약하다. 공격자가 AI를 활용하고 변칙을 적용해서 처음 보는 공격을 하면 그 많은 공격을 AI라고 어떻게 다 막을 수 있겠나. 학습한다고 해도 끝이 없다.
심 대표는 “학습을 하지 않아도 알아서 막는 비학습형 방어 방식이 필요하다. AI가 학습하기 전에 막는 구조가 그렇다”며 “이게 진짜 보안업계에서 말하는 ‘제로트러스트(Zero Trust)’를 구현하는 방식에 해당한다”고 설명했다.
선천 면역 방식을 적용한 트루컷시큐리티의 ‘trueEP(서비스명 파라솔, PARASOLE)’은 이런 비학습형 구조를 구현한 ‘엔드포인트 통합보안 솔루션’이다.
trueEP는 모든 실행 프로세스를 모니터링해 사용자 개입 없이 일어나는 모든 비정상적 행위를 즉시 차단한다. 시그니처도 룰셋도 필요 없다. 정상 프로그램의 합법적 동작은 방해하지 않으며 오탐지 없이 악성 행위만 걸러내는데 초점을 맞춘다. ‘침입 주체‘보다 ‘행위 자체‘에 집중하는 것이다.
심 대표는 “AI 기반 보안은 데이터에 의존하지만, 우리는 행위 자체를 본다”며 “그래서 신종 공격에도 훨씬 빠르게 반응할 수 있다”고 강조했다.
엔드포인트 통합보안 솔루션 ‘trueEP’, 단일 에이전트로 방어
심 대표는 “우리(트루컷시큐리티)의 대표 제품 ‘trueEP‘은 하나의 에이전트로 엔드포인트를 방어할 수 있다”고 강조했다. 단일 설치만으로 자동 보호가 시작되며 별도 서버나 클라우드 연동 없이 로컬에서 탐지·차단이 가능하다. 망분리 환경, 운영기술(OT) 설비, 국방, 제조 등 폐쇄망에서도 문제없이 작동한다는 것이 심 대표의 설명이다.
윈도우·리눅스 전반을 지원하고, 포스(POS)·키오스크·산업용 단말에도 가볍게 배포할 수 있다. 심 대표는 “OT 환경은 대역폭이 좁고 네트워크 제약이 많다. 우리는 그 조건에서도 완벽히 동작하도록 경량화해서 설계했다. 이를 위해서 10년간 기술을 고도화했다”고 설명했다.
trueEP의 내부 구조는 세 가지 핵심 요소로 구성된다. 먼저 ‘행위 분석(CoA, Cut off Active) 엔진’은 실시간으로 모든 프로세스의 실행 흐름을 추적하고, 사용자 입력 없이 자동 실행되는 비정상 동작을 탐지한다. 다음으로 ‘자체 방화벽 및 실행제어 모듈’은 외부 네트워크 통신, 파일 접근, 시스템 명령 실행을 계층별로 통제하며, 악성 행위가 확인되는 즉시 해당 프로세스를 차단·격리한다. 끝으로 ‘행위 로그 기반 포렌식 모듈’은 공격자의 침입 경로, 실행 스택, 감염 시도 파일 등을 자동 기록해 관리자가 사후 원인 분석과 정책 강화에 활용할 수 있게 한다.
이 세 요소는 클라우드 연결 없이 독립적으로 동작한다. 네트워크가 차단된 환경에서도 실시간 방어가 가능하며, 외부 서버와 주고받는 데이터가 없어 보안 리스크가 발생하지 않는다.
심 대표는 “일반적인 EDR은 서버에서 분석 후 대응 지시를 내려보내지만, trueEP는 현장에서 직접 판단하고 즉시 차단한다. 그 자체로 보안관제 기능이 내장된 셈이다”라고 말했다.
기능 면에서도 trueEP는 탐지에 그치지 않고 ‘차단’ 단계까지 수행한다. 예를 들어 파일 암호화를 시도하는 프로세스가 발견되면, trueEP는 해당 행위를 중단시키고 관련 경로를 봉쇄한다. 이후 관리자 콘솔에서는 프로세스 이름, 생성 위치, 해시값, 실행 시간 등 세부 데이터를 즉시 확인할 수 있다.
트루컷시큐리티는 여러 기능을 억지로 붙여 제품의 성능을 부풀리지 않는다. 단일 엔진으로 차단한다. 그래서 ‘EDR보다 더 EDR답다’고 표현하기도 한다.
특히 로컬 실행 기반 구조 덕분에 클라우드 의존도를 최소화하면서, 제로트러스트 환경에서 요구되는 ‘자동 실행 차단·사용자 검증·행위 중심 방어’ 원리를 그대로 구현한다. 로컬 실행 구조는 클라우드 서버를 거치지 않고 단말이 스스로 악성 행위를 판단·차단하는 방식이다. 기존의 클라우드 중심 EDR이 탐지 정보를 서버로 보내 분석 결과를 기다리는 구조라면 트루컷시큐리티의 trueEP은 PC나 서버가 바로 악성행위를 판단해 즉시 차단한다는 것이다.
랜섬웨어로 입증된 실전 성능
랜섬웨어의 등장 이후, 트루컷시큐리티의 기술은 더욱 빛을 발했다고 한다. 심 대표는 “랜섬웨어는 피해가 바로 눈에 보이기 때문에, 기존 보안제품이 막았는지 아닌지가 즉시 드러난다”고 말했다. 그는 자사 기술을 검증하기 위해 직접 랜섬웨어를 만들어 테스트하기도 했다.
(과거에는) 샘플 랜섬웨어를 구하기 어려워 직접 랜섬웨어를 만들었다. 만든 후 바이러스토탈(VirusTotal)사이트에 올렸더니 해외 보안 업체가 ‘코리안 랜섬웨어’라는 이름을 붙여 공론화했고, 그게 국내에도 알려져 결국 우리나라 경찰이 회사를 랜섬웨어 조직으로 오해해 압수수색을 받기도 했다.
심 대표는 그만큼 직접 만든 보안 기술을 검증하려는 의지가 강했다고 회상했다. 그 사건 이후 실제 고객 사례에서도 효과가 입증되기 시작했다.
20년 보안 기술에 대한 진심, 시장도 조금씩 반응
한 제조 기업은 랜섬웨어로 억대 피해를 입은 뒤 trueEP를 도입했다. 그 후 1년 동안 수십 차례 공격이 있었지만 단 한 건의 피해도 발생하지 않았다. 공공기관 역시 트루컷 제품 도입 후 상급기관의 모의해킹 시험을 무사히 통과했다.
심 대표는 “공격자가 도저히 침투하지 못하자, 1년 뒤 공격을 포기할 정도였다”고 말했다.
최근 트루컷시큐리티의 TrueEP는 여러 공공기관과 금융권의 기술검증(PoC)에서도 경쟁 솔루션을 능가하며 성능을 입증하고 있다.
심 대표는 “AI 기반 제품들이 탐지 정확도나 응답 속도에서 한계를 보이지만, 우리는 스스로 판단하고 즉시 대응하는 선천 면역 구조로 차별화된다”며 “올해부터 제로트러스트 보안 모델을 지향하는 기관 중심으로 시장을 확대하고 있다”고 말했다.
트루컷시큐리티는 이런 실전 성능을 바탕으로 시장에서도 조금씩 입지를 넓혀가고 있다.
심 대표는 “우리는 마케팅보다 기술로 증명해왔다”며 “최근 공공기관과 제조기업을 중심으로 여러 PoC에서 국내외 대형 보안 솔루션을 제치고 성능을 입증하는 성과를 냈다”고 말했다. 이어 “20년간 제품 완성도를 높여왔고 이제 설명을 하면 선천 면역 보안 기술에 누구나 공감하고 있다”며 “보안 시장에서도 이제 점차 기술 중심의 평가가 이뤄질 것으로 기대한다”고 설명했다.
이어 심 대표는 “올해 각종 해킹 사고로 보안 인식이 바뀌면서 기술이 실제로 검증된 기업들이 다시 주목받고 있다”며 ”앞으로 기술력을 입증하기 위해 더 노력해갈 것”이라고 덧붙였다.
보안 솔루션은 명품이 아니다, 잘 막는 게 본질이다
끝으로 심 대표는 연이어 발생한 대형 해킹 사고를 언급하며 “최근 한국이 해커들의 놀이터가 됐다. 그럼에도 여전히 보안 담당자들이 브랜드와 외형에 집착하는 경향이 참 안타깝다”고 했다.
명품을 좋아하듯 보안 제품도 외산이나 대기업만 찾는다. 하지만 해커는 그런 알려진 제품부터 연구한다. 이미 해커들이 연구하고 뚫어본 제품을 또 쓰는 것만큼 어리석은 게 또 어디 있겠나.”
또한 그는 보안을 상품으로만 대하는 업계의 형식적인 문화에 대해서도 안타까움을 표했다.
보안 컨설팅이나 실적 보고서 점수엔 예민하면서 실제로 해킹을 막을 수 있는지에는 (보안 담당자들이) 무관심한 경우도 많다. 보안의 본질은 결국 ‘얼마나 잘 막느냐’ 하나뿐이다. 선천 면역, 이 보안 기술을 한 번 확인할 때가 왔다고 본다.
심 대표는 보안 컨트롤타워로서의 정부의 역할도 언급했다.
정부와 보안 관련 부처가 ‘성능이 좋다‘는 보안 제품을 모아 객관적인 성능 테스트를 해 결과를 공개할 필요가 있다. 소비자원이 여러 가전제품을 비교해 그 결과를 대중에 공개하듯, 보안 제품도 공정하고 객관적으로 평가하는 방식이 필요하다. 그래야 국내 보안 기술에도 발전이 있다고 본다.
최근 트루컷시큐리티는 보안업계 발전을 위해 무료 해킹 알림 서비스와 보안 인식 개선 자료를 직접 만들어 무료로 배포하며 대중의 보안 교육과 인식 개선에도 힘쓰고 있다.
끝으로 보안업계에 하고 싶은 말이 있냐는 질문에 심 대표는 이렇게 당부했다.
보안은 남의 일이 아니다. 이제 현실을 똑바로 보고 정말 진짜 해킹을 막을 수 있는 기술이 뭔지 고민해서, 새로운 방향으로의 전환을 국내 보안업계 전체가 진심으로 고민했으면 좋겠다. 트루컷시큐리티의 선천 면역 보안 기술에 관심이 있다면 언제든 연락 달라.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
