닫기

글로벌이코노믹

[뉴스인] 임차성 시큐레터 대표, 속도내는 '글로벌 시큐레터'..."AI로 랜섬웨어 공격 차단한다"

공유
2

[뉴스인] 임차성 시큐레터 대표, 속도내는 '글로벌 시큐레터'..."AI로 랜섬웨어 공격 차단한다"

"코로나 이후 비실행 파일 악성코드 진단 솔루션 중요성 더욱 커져"

임차성 시큐레터 대표. 사진=글로벌이코노믹이미지 확대보기
임차성 시큐레터 대표. 사진=글로벌이코노믹
악성 사이버 공격인 랜섬웨어가 기승을 부리며 피해가 갈수록 증가하고 있다. 지난 추석 연휴 기간에도 국내 대기업과 은행 여러 곳이 랜섬웨어 공격을 받는 사고가 발생했다. 전통적인 패턴 분석 기반의 방어 체계로 더 이상 보안 시스템을 유지할 수 없을 지경에 이른 것이다.

악성 프로그램의 일종인 '랜섬웨어'는 몸값(ransom)과 소프트웨어(software) 합성어다. 공격자가 특정 조직 내 시스템을 잠그거나 데이터를 암호화해 사용자가 접근할 수 없도록 만든 뒤, 이를 인질 삼아 금전을 요구하는 방식을 말한다.
임차성 시큐레터 대표는 글로벌이코노믹과의 인터뷰에서 비실행파일인 문서 형태의 파일로 들어오는 악성코드를 사전에 탐지하는 게 중요해졌다고 강조했다. 그는 "기존 악성코드 진단 솔루션은 .exe 파일로 대표되는 '실행 파일'을 통한 행위 기반 취약점을 분석하는 데 초점이 맞춰져 있다면 최근 들어 비실행파일(Non-PE)인 문서파일로 악성코드가 감염되고 있다"면서 "현재 비실행파일의 악성코드를 전문적으로 분석하는 솔루션은 우리가 유일하다" 고 말했다.

임 대표는 보안 기업 안랩에서 악성코드 분석가로 근무한 경험을 바탕으로 비실행파일에서 익스플로잇 트리거를 찾아 공격을 탐지하는 기술의 필요성을 느꼈다고 했다.

그는 "시그니처나 행위 기반에서 진단하기 어려운 해킹사고가 터지면 샘플이 회사로 접수된다"면서"접수 사례를 통해 실행파일 분석과 익스플로잇 취약점 분석은 엄연히 다른 영역이라는 걸 알게 됐다"고 말했다. 이어서 그는 "익스플로잇을 분석할 수 있는 사람이 많지 않고 알고리즘을 만들어 내는 기술을 사람이 하다 보니 하루에 처리할 수 있는 일의 양이 많지 않아 자동화에 대해 고민하게 됐다"면서"시큐레터는 악성문서를 역분석 하는데 이 과정을 자동화해 패키지 솔루션으로 만든 것"이라고 설명했다.

역분석으로 익스플로잇을 찾아내는 기술은 세계에서도 시큐레터가 유일하다. 임 대표는 "시큐레터는 문서와 같은 비실행파일에서 익스플로잇 트리거를 찾아 공격을 탐지하는 특화된 기술을 갖고 있다"며 "비실행파일만을 분석하기 때문에 오진이나 과탐을 최소화해 빠르게 분석이 가능하다”고 말했다.

임차성 시큐레터 대표가 직원들과 기념촬영을 하고 있다. 사진=글로벌이코노믹이미지 확대보기
임차성 시큐레터 대표가 직원들과 기념촬영을 하고 있다. 사진=글로벌이코노믹

그는 2015년 9월 시큐레터㈜를 설립했다. 시큐레터는 시그니처나 행위 기반의 보안 솔루션들이 진단하기 어려운 악성코드 공격을 리버스엔지니어링 진단 기술을 이용해 탐지·진단·분석·차단하는 보안제품을 개발해 공급하는 보안 전문 회사다. 시큐레터 보안 솔루션은 파일 전송 구간에서 유입되는 다양한 전자문서(HWP, MS Office, PDF)의 보안상 취약점을 분석해 사용자들을 악성코드 위협으로부터 보호해 준다.

악성코드도 시대별로 진화한다. 기존 시그너처 방법은 알려진 악성코드를 데이터베이스로 같은 공격이 들어을때 차단해 주는 백신 같은 역활을 했다. 그러나 시그너처 방법으로는 진화하는 악성코드를 차단하기 힘들어 행위기반 APT 솔루션이 출시됐지만, 이 솔루션들은 실행파일 같은 파일들만 분석·진단할 수 있고, 최근 악성코드의 유입의 대다수를 차지하는 전자문서에 대해서 진단율과 진단하는 속도가 낮다는 문제가 있었다.

또한 우회하는 악성 해킹 기술들과 탐지에 대한 한계점이 있어 보다 전문화된 고급 공격을 막을 수 있는 시큐레터 솔루션 같은 기술이 필요하게 됐다. 시큐레터는 자동화된 리버스엔지니어링을 통해 악성코드를 진단하는 것에 대한 독자적인 기술력을 보유하고 있다.

임 대표는 "악성코드가 APT 솔루션인 행위기반 솔루션을 우회 할수 있는 기술로 진화 하였기 때문에 정교한 악성코드를 탐지하기 어려워졌다" 면서 "우리 제품은 파일의 최소 단위인 어셈블리 레벨에서 분석해 악성코드를 가려낸다"고 설명했다.

임 대표는 어셈블리 레벨까지 분석하는 자사의 솔루션을 아픈 환자가 의사에게 진단받고 치료받는 것에 비유했다. 그는 "환자가 오진, 과잉 진료 등으로 잘못된 약과 치료를 받게 되면 큰 위험에 빠지는 것처럼 악성코드도 현재 나와 있는 대부분의 보안 솔루션들은 시그너처를 기반으로 현재까지 알고 있는 악성코드에 대해서만 차단할 수 있다. 그렇기 때문에 알려지지 않은 악성코드나 새로 출몰하는 악성코드에 대해서는 진단할 수 없어, 악성코드로 인한 위협을 완전히 막을 수 없다"고 말했다.

이어, 임 대표는 "우리 제품은 악성코드가 발생시키는 취약점의 발생원인을 진단하고 파악한다"면서 "기존 시그니처 기반, 또는 행위기반 솔루션들이 진단할 수 없는 악성코드들을 정확하게 진단한다"고 덧붙였다. 더구나 악성코드를 타 솔루션 대비 5배 빠른 속도로, 빠르게 진단하는 것도 큰 장점이라는 게 그의 설명이다.

해외도 악성 사이버공격에 시달리긴 마찬가지다. 태국의 한 대형 병원에서는 랜섬웨어에 감염돼 약 4조억 원 송금을 요구받은 사례가 있었다. 랜섬웨어 공격자들은 암호화폐로 돈을 낼 것을 요구했다. 요하네스버그의 전력 공급기관인 시티파워(City Power)도 랜섬웨어 공격으로 큰 피해를 입어 도시 대부분의 지역에서 정전사태가 발생, 시티파워 웹사이트 접근은 물론 각종 전기 관련 납세 등의 행정처리가 마비되는 사건이 발생했다.

서둘러 남아프리카공화국 IT 보안기업 아프리코(Afriko)와 태국의 정보보안기업 블루지브라(BlueZebra)는 알려지지 않은 악성코드(악성파일)을 정확하고 신속하게 진단하고 차단하는 기술을 가진 시큐레터 솔루션을 찾았고 파트너십 계약을 체결했다.

이처럼 임 대표는 계속해서 세계 시장에 자사의 제품을 공급해 파트너사를 늘려갈 계획이다. 아울러 통합보안서비스를 제공하는 기업들과도 기술적 제휴 등을 통해 해외 시장에서 역량을 강화할 예정이다. 임 대표는 "해외 시장 진출을 위해서는 클라우드 제품이 꼭 필요하기 때문에, 시큐레터는 기존 시큐레터의 클라우스 서비스의 기술적 완성도와 기능들을 업그레이드하는 작업들을 진행 중이다"면서 "내년부터 해외시장에 실제적인 공급사례가 나올 것으로 기대한다"고 말했다.

임 대표에게 글로벌 시장 진출은 시큐레터 설립 초기부터 구상했던 목표다. 그는 "국내 보안 시장은 세계 시장의 1% 정도로 작다. 우수한 제품이 있다면 전 세계 99% 시장에도 충분히 공급할 수 있다고 생각했다. 최근 미국의 파트너사와 미국 시장 진출을 준비하고 있는데 그들에게 자사의 기술적 가치와 시장 잠재력을 매우 높게 평가받았다. 한국을 넘어 세계에 시큐레터 솔루션을 공급해 매출 1조원대의 회사로 만들어 나갈 계획"이라고 설명했다.

스타트 기업으로 애로사항에 대해 묻자 임 대표는 "정보보호 시장에 영세한 스타트업이 진입하기엔 어려움이 있다"며 부족한 자본력으로 고객의 신뢰를 얻고 기술을 인정받기까지 버티고 유지하는 게 쉽지 않다고 강조했다. 그는 "대부분 정보 스타트업은 영세하기 때문에 안랩이나 파이어아이 같은 대기업들이 주를 이룬 시장에서 비지니스 하기엔 힘든 부분이 많다. 그래서 사업 초기에 기술 개발에 집중하기 어렵고 외부컨설팅이나 교육 사업으로 회사를 유지하는 데 집중할 수밖에 없다. 그래도 우리는 올해 2월 UTC인베스트먼트로부터 200만달러 투자를 유치해 그나마 좀 나은 편이다"라고 말했다.

현재까지 시큐레터의 누적 투자유치액은 총 120억 원에 이른다. 투자사는 KDB산업은행, 한국투자파트너스, 사우디아라비아 정부투자기관 RVC 등이다.

코로나가 기업에 미친 영향에 대해 임 대표는 "코로나로 비대면 문화가 확산되면서 전자문서 교환 시 온라인으로 전송되는 바이러스 전파가 계속 증가할 수 밖에 없다"면서 "모든 전자 문서가 실행파일을 전송하기보단 거의 비실행 파일인 이미지 문서 파일이기 때문에 비실행 파일 악성코드를 진단하는 솔루션이 더 중요해진 상황"이라고 말했다.


한현주 글로벌이코노믹 기자 kamsa0912@g-enews.com