“우리 회사는 정말 안전한가?” 나루씨큐리티가 말하는 침해 증명
[인터뷰] 나루씨큐리티 김혁준 대표
나루씨큐리티가 구독형 침해평가 서비스 ‘제로티카(ZeroTiCA)’를 중심으로 내부망 침해 검증 체계와 서비스를 고도화하고 있다. 김혁준 나루씨큐리티 대표는 지난 27일 바이라인네트워크와의 인터뷰에서 “보안이 잘 되고 있느냐의 기준이 특정 보안 제품 도입 여부에 머물러서는 안 된다”며 “실제 현장에서 침해 여부를 검증하고, 확인된 문제를 해결할 수 있어야 한다”고 강조했다.
김 대표가 말하는 보안의 핵심은 ‘침해를 증명하는 일’이다. 그는 “기업이 여러 보안 장비를 도입했다고 해서 실제로 안전하다고 말할 수는 없다”며 “내부망에 공격자가 들어와 있는지, 들어왔다면 어디까지 이동했는지, 비즈니스 피해로 번지기 전에 막을 수 있는지를 실제 데이터로 확인해야 한다”고 강조했다.
나루씨큐리티는 네트워크 기반 사이버 위협 관리와 침해사고 대응에 특화된 보안 기업이다. 지난 15년간 침해사고 현장에서 축적한 네트워크 데이터 분석 기술을 바탕으로 구독형 침해평가 서비스, 네트워크 위협 탐지·대응(NDR) 솔루션, 표적형 위협 인텔리전스 서비스, 사이버 공방훈련 플랫폼을 제공해 왔다.
나루씨큐리티는 국가사이버안보센터, 한국인터넷진흥원(KISA), 국가정보원 등 주요 국가기관이 주관한 다수의 침해사고 민관합동조사에 참여해 왔다. 김 대표는 인터넷과 국내 보안산업이 형성되던 초기부터 20년 넘게 보안 현장을 지켜본 인물이다. 한국인터넷진흥원(KISA)에서 민관합동조사 전문가로 활동했고, 현재는 경찰청·국방부·과학기술정보통신부 보안 자문위원, 성균관대학교 과학수사학과 겸임교수를 맡고 있다.
김 대표는 “보안 기업이 자기 제품의 기능만 들고 가서 설명하는 시대는 이제 끝났다”며 “고객이 겪는 보안 문제를 실제로 풀어야 한다”고 말했다. 이어 “보안은 제품만으로 안심시키는 일이 아니라, 고객이 지금 자기 환경을 면밀히 들여다보게 해서, 통제하고 있다는 효능감을 갖게 하는 일”이라고 강조했다.
보안의 역할은 ‘안전하다는 믿음’이 아니라 ‘실제 검증’
김 대표는 국내 보안 시장이 오랫동안 몇몇 보안 제품을 중심으로 움직여 왔다고 진단했다. 방화벽, 침입방지시스템, 백신, 엔드포인트 탐지·대응(EDR), 관제 시스템처럼 각각의 장비는 늘었지만, 사고가 발생했을 때 공격자의 침투 경로와 피해 범위를 명확히 파악하지 못하는 경우가 여전히 적지 않다는 지적이다.
그는 특히 “보안 솔루션을 많이 갖췄다는 인식과 실제 보안 상태를 아는 것은 다르다”고 짚었다. 보안 장비가 고도화됐더라도 장비와 장비 사이, 조직과 조직 사이, 보안팀과 개발팀 사이에는 공백이 생길 수 있고, 공격자는 바로 이 공백을 파고든다는 것이다.
김 대표가 말하는 좋은 보안은 정상 업무의 부담을 줄이면서 공격자의 이동은 어렵게 만드는 구조다. 정상 사용자는 불필요한 제약 없이 일할 수 있어야 한다. 반대로 공격자가 계정을 탈취하거나 내부망에 들어왔을 때는 이동 경로가 제한되고, 이상 행위가 곧바로 드러나야 한다.
나루씨큐리티가 말하는 ‘침해 검증’은 이 지점에서 출발한다. 사고가 났는지 나지 않았는지 막연히 추정하는 것이 아니라, 내부망에서 실제로 어떤 통신 변화가 있었는지, 공격자가 남긴 흔적이 있는지, 핵심 자산으로 이어지는 경로가 열려 있는지를 확인한다. 보안을 ‘도입 여부’가 아니라 ‘검증 가능성’의 문제로 보는 셈이다.
보안 제품의 기능보다 ‘침해 검증 체계’에 방점
나루씨큐리티의 솔루션은 개별 제품보다 침해 검증 체계로 보면 이해하기 쉽다. 중심에는 ‘제로티카(ZeroTiCA)’가 있다. 제로티카는 고객 내부망의 침해 여부를 지속적으로 확인하는 ‘구독형 침해평가 서비스’다. 고객은 정기적으로 침해 상황에 대한 리포트를 받고, 내부에 이미 들어와 있을지 모를 공격자의 흔적과 그에 따른 우선 조치 항목을 확인할 수 있다.
이 검증을 가능하게 하는 기술의 축은 ‘ConnecTome NDR’과 ’NTIS’다. ConnecTome NDR은 내부망 통신 위협 징후를 탐지하고 대응한다. 엔드포인트나 방화벽 로그만으로 보기 어려운 내부 이동, 이상 통신, 공격자의 행위 변화를 네트워크 관점에서 추적한다.
NTIS는 ‘표적형 위협 인텔리전스 서비스’다. 악성 IP나 도메인처럼 이미 드러난 침해지표를 제공하는 수준을 넘어, 공격자 인프라의 연결성과 이동 가능성을 구체적으로 분석해 보여준다. 내부망에서 발견된 이상 통신이 실제 공격 인프라와 닿아 있는지 판단하는 데 쓰인다. 침해지표는 침해 여부를 판단하는 단서를 말한다.
제로티카는 고객이 체감하는 침해 검증 서비스이고, 커넥텀 NDR은 내부망의 변화를 보는 눈이며, NTIS는 외부 공격 인프라와의 연결성을 해석하는 기술이다. 김 대표가 “단순히 제품의 기능만 파는 회사가 아니라 침해를 증명하는 기업”이라고 말하는 이유가 여기에 있다. 김 대표는 “세 솔루션은 따로 떨어지지 않고, 고객이 “우리 회사가 정말 안전한가”라는 질문에 답하도록 만드는 하나의 검증 체계로 연결된다”고 설명했다.
제로티카, ‘이미 들어온 공격자’ 찾는다
제로티카의 핵심은 ‘이미 침해됐을 가능성’을 전제로 기업 네트워크를 들여다본다는 데 있다. 기존 보안관제가 들어오는 공격을 실시간으로 모니터링하고 차단하는 데 초점을 맞췄다면, 제로티카는 내부망에 이미 들어와 있을 수 있는 공격자의 흔적을 찾는다.
기존에 알려진 보안 점검과도 다르다. 보안점검이 설정 오류나 취약점 존재 여부를 확인하는 절차라면, 제로티카는 실제 네트워크에서 벌어진 행위를 관측한다. 공격자가 내부에서 정찰했는지, 다른 시스템으로 이동했는지, 외부 명령제어(C2) 서버와 통신했는지를 확인한다.
고객은 제로티카를 통해 정기적으로 정밀 침해 검진 리포트를 받는다. 이 리포트에는 내부 침투 흔적, 보안 사각지대, 이상 통신, 공격자의 내부 이동 흔적, 잠재적 백도어, 남아있을 수 있는 위협, 피해 가능 범위, 우선 대응 항목 등의 현황이 담긴다.
나루씨큐리티는 제로티카를 세 가지 형태로 제공하고 있다. ‘제로티카 인사이트(ZeroTiCA Insight)’는 1회성 집중형 침해평가 서비스다. ‘제로티카 워치(ZeroTiCA Watch)’는 상시 구독형 모니터링 서비스다. ‘제로티카 라이트(ZeroTiCA Lite)’는 웹 로그와 방화벽 로그를 활용해 백도어 채널과 웹셸 통신 가능성을 검증하는 간단 분석 서비스다.
김 대표는 ”제로티카는 지난 15년간의 침해사고 대응 경험에서 추출한 30여종의 변화관리 모델링을 기반으로 설계됐다”고 설명했다. 백도어 실행, 측면 이동, 거점 장악 같은 공격자 행위를 자동 분류하고 전문가 검증을 거쳐 실제 공격 진행 여부를 규명하는 방식이다.
ConnecTome NDR, 네트워크의 ‘기억’을 본다
ConnecTome NDR은 네트워크 통신 흐름을 분석해 공격자가 남긴 흔적을 찾는다. 공격자가 계정과 단말 로그를 숨기더라도, 내부망을 이동하며 만든 통신 관계는 데이터로 남는다는 점에 주목했다.
공격자는 정상적인 계정을 훔쳐서 쓸 수 있다. 정상 관리 도구를 악용할 수도 있다. 단말 로그를 삭제하거나 보안 장비의 눈을 피하려 할 수도 있다. 그러나 내부망에서 다른 시스템으로 이동하고, 외부와 통신하고, 거점을 만들며 남기는 통신 흐름까지 모두 지우기는 어렵다.
ConnecTome NDR은 이 흐름을 본다. 개별 단말에서 발생한 이벤트 하나만 보는 것이 아니라, 내부망 전체에서 발생하는 통신 관계와 시간의 변화를 분석한다. 평소 접속하지 않던 시스템으로 접근했는지, 일반적인 업무 시간과 다른 시간대에 통신했는지, 짧은 시간 안에 여러 자산에 접근했는지 등 다양한 각도에서 변화를 추적한다.
김 대표는 이를 “정상처럼 보이는 비정상을 찾는 일”이라고 설명했다. 공격자는 정상 계정과 정상 도구를 쓰기 때문에 겉으로는 정상처럼 보일 수 있다. 그러나 공격 목적에 따라 움직이는 순간 시간적·공간적 변형이 생긴다. 커넥텀 NDR은 이 변형을 잡아낸다.
이는 단순한 시그니처 탐지와 다르다. 시그니처는 이미 알려진 악성 패턴을 찾는 방식이다. 김 대표는 “내부망 침해 검증은 전체 행위의 맥락을 봐야 한다. 같은 로그인이라도 누가, 언제, 어디에서, 어떤 시스템으로 이어졌는지에 따라 의미가 달라진다”고 했다.
NTIS, 공격 인프라의 연결성 추적
NTIS는 공격자 인프라의 연결성을 추적하는 표적형 위협 인텔리전스 서비스다. 기존 위협 인텔리전스가 악성 IP, 도메인, 파일 해시값처럼 이미 드러난 침해지표를 제공하는 데 머무는 경우가 많았다면, NTIS는 공격에 활용되는 인프라가 서로 어떻게 연결돼 있는지 분석한다.
공격자는 한 개의 고정 IP에서 곧바로 공격하지 않는다. 사물인터넷(IoT) 장비, 노출 서버, 중간 경유지, 감염 장비를 거쳐 자신의 원점을 숨긴다. 이 경우 악성 IP 하나를 차단해도 공격자는 다른 경로를 쓴다.
김 대표는 “침해지표의 주기가 너무 빨라져 단순 차단 목록만으로는 대응하기 어렵다”며 “공격자가 어느 IP에서 왔는지를 사후적으로 확인하는 것보다, 공격자가 어떤 인프라를 만들고 어디로 향하는지를 보는 것이 중요하다”고 설명했다.
NTIS는 공격 인프라의 계층 구조와 연결성을 분석한다. 내부망에서 발견된 이상 통신이 실제 공격자 인프라와 닿아 있는지, 특정 도메인이나 IP가 표적형 공격과 연관돼 있는지 판단하는 데 쓰인다. 나루씨큐리티가 제로티카와 커넥텀 NDR을 통해 내부망을 들여다본다면, NTIS는 그 이상 통신이 외부 위협 인프라와 어떻게 연결되는지 해석한다.
미토스가 던진 질문도 결국은 ‘침해 검증’
김 대표는 최근 보안업계에서 큰 화제로 떠오른 앤트로픽의 AI 모델 ‘클로드 미토스’ 논란도 이 흐름 안에서 봤다. 그는 “미토스를 갑자기 등장한 전혀 새로운 위협으로 보지 않는다”며 “오히려 예전부터 존재하던 고급 공격 기술이 더 넓게 퍼질 수 있다는 신호로 봐야 한다”고 말했다.
김 대표는 “미토스는 공격 기술의 일반화를 보여준다”며 “과거에는 공격 의도가 있어도 능력이 없어 실행하지 못한 사람이 많았다면, 이제는 문턱이 낮아질 수 있다”고 말했다.
그는 위협을 ‘의도’와 ‘능력’의 결합으로 설명했다. 랜섬웨어 공격을 하고 싶어도 기술과 자원이 없으면 실행하기 어렵다. 그러나 AI가 취약점 탐색, 코드 분석, 공격 경로 구성을 도와주면 더 많은 사람이 공격을 시도할 수 있다. 공격자의 능력 격차가 줄어드는 셈이다.
다만 김 대표는 공포론에는 선을 그었다. 미토스 때문에 갑자기 기존 보안 체계의 모든 전제가 무너진 것이 아니라, 우리가 이미 알고 있던 위험이 더 넓게 드러났다는 것이다. 그는 “그래서 단순히 ‘AI가 위험하다’고만 말할 게 아니라 ‘현재 우리 네트워크에 무엇이 있는지 검증할 수 있느냐’를 돌아볼 필요가 있다”고 강조했다.
‘제로 트러스트’로 공격자의 선택권 줄여야
김 대표는 ‘’제로 트러스트’의 필요성도 강조했다. 그는 “제로 트러스트는 무조건 믿지 않고 사용자, 기기, 접근 권한, 통신 흐름을 계속 검증하는 보안 원칙”이라며 “이 원칙의 핵심이 침해 이후의 통제에 있다고 본다”고 설명했다.
이어 그는 “공격자가 한 번 들어왔더라도 핵심 자산으로 이동하지 못하게 하고, 비즈니스 피해로 이어지기 전에 차단하는 구조가 필요하다”고 설명했다.
김 대표가 말하는 해법은 ‘방어 가능한 네트워크’다. 공격자가 핵심 자산으로 갈 수 있는 길이 100개라면 방어자는 100개를 모두 봐야 한다. 하지만 길을 줄이고 중요한 경로를 계속 관측하면 방어자의 선택지는 많아진다.
그는 “공격자의 선택권을 줄이면 방어자의 방어력이 커진다”며 “주요 자산으로 가는 길이 하나라면 그 길을 지키는 일은 훨씬 쉬워진다”고 말했다.
나루씨큐리티의 제품 체계도 이 방향에 맞춰져 있다. 제로티카는 현재 내부망이 방어 가능한 상태인지 검증한다. 커넥텀 NDR은 내부망의 흐름을 보고 사각지대를 찾는다. NTIS는 외부 공격 인프라와의 연결성을 분석한다. 김 대표는 “결국 목표는 보안 장비를 더 많이 붙이는 것이 아니라, 공격자가 움직일 수 있는 공간을 줄이고 방어자가 볼 수 있는 시야를 넓히는 데 있다”고 짚었다.
AI 에이전트로 침해평가 자동화
최근 나루씨큐리티는 침해평가 서비스에 AI 에이전트 기능을 접목하는 작업도 진행하고 있다.
김 대표는 “AI를 방어에 활용하려면 먼저 네트워크 구조와 문제 범위가 정리돼야 한다”고 했다. 이어 “’우리 회사를 안전하게 지켜달라’는 요청은 너무 추상적이다. AI로 방어 체계를 고도화하려면, 현재 네트워크가 어떻게 생겼는지, 어떤 자산이 중요한지, 어느 경로를 보고 있는지, 어디까지 차단할 수 있는지가 정리돼 있어야 한다”고 강조했다.
그는 “사람이 잘하는 일을 가르칠 수 있으면 AI도 잘한다”며 “공격 기술은 비교적 정형화된 부분이 많아 AI가 학습하기 쉽지만, 방어는 환경마다 달라 구조가 먼저 필요하다”고 말했다.
나루씨큐리티는 방대한 로그와 네트워크 데이터를 분석해 시간 흐름에 따른 행위의 연관성을 하나의 공격 시나리오로 구조화하는 방향으로 AI 기술을 고도화하고 있다. 그는 “에이전틱 AI 모델의 프로토타입 검증을 마쳤으며 올해 하반기 정식 출시를 목표로 하고 있다”고 설명했다.
구독형 침해평가로 중소·중견기업 시장 공략
AI 에이전트 도입을 통해 나루씨큐리티는 구독형 침해평가 서비스를 계속 고도화해갈 계획이다. 일회성 진단이나 장비 공급만으로는 고객이 현재 보안 상태를 지속적으로 확인하기 어렵다고 보기 때문이다.
특히 중소·중견기업 시장은 주요 공략 대상이다. 대기업 1차 협력사, 방산 협력사, 중견 제조기업은 기술 자산과 사업 중요도는 높지만 보안 전담 조직이나 분석 인력이 부족한 경우가 많다. 이들 기업에는 고가 장비를 직접 도입해 운영하는 방식보다 외부 전문가가 침해 여부를 지속적으로 검증해주는 서비스형 모델이 현실적인 대안이 될 수 있다.
나루씨큐리티는 최근 호스팅 기업 비아웹과 손잡고 중소·중견기업용 제로트러스트 호스팅(ZeroTrust Hosting) 모델도 내놨다. 이 모델은 나루씨큐리티의 제로티카와 비아웹의 호스팅 인프라를 결합한 구조다. 별도 보안 인력과 장비를 갖추기 어려운 기업도 호스팅 인프라 단계에서 위협 탐지와 침해 검증을 받을 수 있도록 하는 것이 목표다.
해외 진출도 추진 중이다. 나루씨큐리티는 룩셈부르크 자회사 설립을 출발점으로 유럽 시장 확대를 준비하고 있다. 보안 인력 확보가 어려운 유럽 중소·중견기업을 우선 공략하고, 현지 파트너십과 공동 연구를 통해 제로티카를 글로벌 서비스 모델로 키운다는 계획이다.
실적 목표도 높였다. 나루씨큐리티는 지난해 약 85억원의 매출을 기록했으며, 올해 매출 목표를 200억원으로 세웠다. 김 대표는 “제로티카 확산, AI 에이전트 기능 출시, 제로트러스트 호스팅 협력 모델을 주요 성장 동력으로 보고 있다”고 했다.
“우리 회사는 정말 안전한가에 답해야“
끝으로 김 대표는 “국내 기업 보안담당자들이 보안의 기준을 ‘무엇을 도입했는가’에서 ‘현재 안전한지 검증할 수 있는가’로 바꿀 필요가 있다”고 조언했다.
그는 “중요한 것은 복잡한 장비를 계속 늘리는 것이 아니라 현재 환경에서 침해 여부를 확인할 수 있는 검증 체계를 갖추는 일”이라며 “필요하다면 외부 전문 역량을 활용해 객관적인 판단 근거를 확보하는 것이 현실적인 선택”이라고 말했다.
김 대표는 “보안은 제품을 많이 도입했으니 안전하다고 믿는 것이 아니라, 실제 침해가 있는지 데이터로 확인하는 증명의 영역으로 이동하고 있다”며 “기업은 결국 ‘우리 회사는 정말 안전한가’라는 질문에 답할 수 있어야 한다”고 거듭 강조했다.
나루씨큐리티는 2010년 김혁준 대표가 설립한 사이버 위협 관리·침해사고 대응 전문기업이다. 내부망 위협징후 탐지체계 ‘ConnecTome NDR’, 표적형 위협 인텔리전스 서비스 ‘NTIS’, 구독형 침해평가 서비스 ‘제로티카’, 사이버 공방훈련 플랫폼을 운영하고 있다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
