AI·상관관계 분석·내장된 인텔리전스로 위협 탐지 정확도 높여
가벼운 에이전트로 장애 없이 운영…보안 조직 업무 줄여
[데이터넷] 통신사업자가 해킹으로 2년 이상 고객의 중요 정보를 탈취당했다는 사실이 알려지면서 큰 파장을 몰고 왔다. 사이버리즌이 ‘오퍼레이션 소프트 셀(Operation Soft Cell)’이라고 명명한 이 공격은 통신사 웹서버의 웹쉘 취약점을 이용한 것으로, 피해자가 어디에서 누구와 통화하고 있는지, 어떤 이야기를 하는지 등을 파악할 수 있는 일종의 도청 프로그램이었다. 사이버리즌은 이 공격이 2012년 부터 진행되어온 사이버 스파이 활동과 연관 있으며, 중국과 관련이 있거나 국가가 후원하는 공격일 가능성도 있다고 밝힌다.
찰스 코트(Charles Cote) 사이버리즌 아시아 지역 부사장은 “오퍼레이션 소프트 셀을 통해 몇 년간 사이버 스파이들이 주요 인사의 이동 정보를 알아내고 도청을 벌여왔을 가능성이 있다. 정확하게 누가 피해를 입었는지 특정하기 어렵지만, 고위 공직자, 정치인, 기업인 등이 타깃이 되었을 것이라고 본다”고 말했다.
사용자 단에서 동작해 장애 없이 운영
통신사업자는 고객정보와 통신 데이터를 보호하기 위한 보안 투자를 아끼지 않고 있지만, 오퍼레이션 소프트 셀과 같은 민감한 사이버 스파이 활동을 몇 년 동안이나 탐지하지 못했다는 사실은 큰 충격으로 다가온다. 사이버리즌은 통신사업자의 30%가 이러한 위협에 처해있다고 보고 있다.
사이버리즌이 정밀한 사이버 스파이 활동을 밝혀낼 수 있었던 것은 사이버 군대와 같은 수준의 위협 탐지 기술을 이용했기 때문이다. 사이버리즌은 사이버 범죄 분석 전문가들이 설립한 엔드포인트 위협 탐지 및 대응(EDR) 솔루션 전문 기업으로, 사용자 레벨에서 위협 행위를 찾아내 장애와 노이즈 없이 정확하게 위협을 탐지할 수 있는 기술력을 제공한다.
경쟁사 솔루션은 정밀한 위협 탐지를 위해 커널 레벨에서 분석하는데, 이 때문에 다른 엔드포인트 모듈과 리소스 경합으로 잦은 장애를 일으킨다. 또한 백신 엔진을 사용하지 않아 너무 많은 오탐을 발생시키거나, 백신 엔진을 따로 배포해 엔드포인트 부하를 높인다는 문제가 있다.
사이버리즌은 단일 에이전트에서 차세대 백신(NGAV)과 EDR을 통합 운영할 수 있으며, 모바일 위협 탐지 엔진을 연계 분석해 엔드포인트를 타깃으로 하는 위협을 정밀하게 분석할 수 있다. 사이버리즌은 인메모리 DB를 이용해 1초에 800만건의 쿼리를 분석할 수 있어 위협이 확산 되기 전에 차단할 수 있다. 또한 내장된 라이브 인텔리전스, 행위분석 엔진, AI 기반 상관관계 분석 엔진을 사용해 전체 공격을 가시화하고 대응 방법을 알려준다.
찰스 코트 부사장은 “경쟁사는 광범위한 상관관계 분석이 어렵기 때문에 전체 공격을 가시화하지 못하고 위협 스코어링 정확도가 떨어진다. 클라우드 인텔리전스와 비교해 탐지 속도와 정확도를 높인다고 하는데, 클라우드 인텔리전스는 결국 시그니처 기반 분석이라는 것을 인정하는 것”이라며 “사이버리즌은 로컬 AI 엔진에서 연관관계 분석, 행위분석, 라이브 인텔리전스를 통해 정확한 위협의 수준을 알려준다. 클라우드 연결 없이도 지능적인 공격을 찾아낼 수 있는 진정한 AI 기반 보안 탐지 기술”이라고 강조했다.
한국 시장 성장 가능성 높다
사이버리즌은 가장 완성도 높은 EDR 솔루션으로 인정받고 있다. 그러나 국내 일부 사이트에서는 도입에 어려움을 겪기도 했다. EDR은 자동 탐지와 차단이 가능한 솔루션이 아니다. 탐지된 위협을 분석해 적절한 대응을 할 수 있는 전문가가 필요하다. 자체 SOC를 운영하는 조직이나, 분석가를 충분히 고용한 대규모 조직이 아니면 EDR 운영이 쉽지 않다.
사이버리즌은 MDR을 통해 전문가의 분석 역량을 서비스로 제공하고 있는데, 한국 고객만을 전담하는 MDR 조직이 마련되지 않아 국내 확산은 어렵다. 또한 MDR 서비스를 받으려면 클라우드 연결이 되어야 하는데, 공공·금융기관의 내부망은 클라우드 연결이 쉽지 않아 도입에 많은 장벽이 있다.
이러한 한계에도 불구하고 찰스 코트 부사장은 우리나라에서 사이버리즌이 성장할 가능성은 매우 높다고 보고 있다. EDR 솔루션 중 가장 빠르고 정확한 탐지 성능을 제공하며, 가볍게 동작해 장애·충돌 없이 운영 가능하다는 장점이 있다고 역설한다.
또한 글로벌 솔루션이지만 비교적 경쟁력 있는 가격으로 제시하고 있어 국내 시장 공략이 어렵지 않다고 강조한다. 이미 경찰청, 중부발전, 남동발전, 신한금융지주 등에서 사이버리즌을 사용하고 있다.
찰스 코트 부사장은 “한국총판 스맥, 리셀러 패트로눅스 등 한국의 여러 파트너들이 사이버리즌의 가치를 고객에게 효과적으로 전달하고 있다. 주요 공공기관, 금융기관에서 사이버리즌 성공사례가 발표되고 있어 한국 시장에서도 높은 성장을 보일 수 있을 것”이라고 자신했다.
