한국이 글로벌 방산수출의 새로운 강자로 부상하면서 세계의 주목을 받고 있다. 하지만 갈수록 소프트웨어 비중이 높아지는 무기체계 연구개발에서 망분리 위주의 방산보안이 업무 효율성을 저해하고 있는 데다, RMF·CMMC 등 방산수출에 요구되는 새로운 보안 이슈가 현실로 다가오고 있다. 뉴스투데이는 이와 같은 방산보안의 문제와 이슈를 인식하고 전문가 인터뷰를 통해 해법을 알아보는 [방산보안Q] 시리즈를 시작한다. <편집자 주>

---

 

 

 

[뉴스투데이=김한경 안보전문기자] ‘에이아이스페라(AI SPERA)’는 국내 최초의 사이버위협정보(CTI, Cyber Threat Intelligence) 기반 글로벌 기업으로 성장 중인 회사다. 이 회사는 넥슨의 게임보안팀장을 역임하고 ‘인프라 보안’, ‘리버스 엔지니어링 바이블’ 등의 저서를 집필한 강병탁 대표가 이끌고 있다. 그는 “공격표면관리(ASM, Attack Surface Management)를 통한 선제적·능동대응으로 보안 패러다임이 변화해야 한다”고 최근 강조하고 있다.

 

지난 26일 회사를 방문한 기자에게 강 대표는 “글로벌 시장의 보안 패러다임이 사후대응에서 선제적·능동대응으로 변화하고 있으나 한국은 아직 사후대응 수준에 머물러 있는 보안솔루션이 86% 이상을 차지한다”며 특히 국방·방산보안 분야의 선제적 대응 필요성을 주장했다. 그는 “IT 보안의 취약점을 사전에 식별 및 모니터링해 해커가 문제를 찾아내 공격하기 전에 먼저 문제를 보완하는 대응이 이뤄져야 한다”고 설명했다.

 

2017년 설립된 AI SPERA는 2019년 사이버위협정보(CTI) 검색엔진인 ‘크리미널(Criminal) IP’를 출시했다. IP 주소 기반의 모든 정보와 사용자가 원하는 정보를 제공하는 Criminal IP는 AI와 머신러닝(ML) 기반 기술력을 통해 전 세계 모든 IP에 접속을 시도하고 수집된 IP가 어떤 정보를 가졌는지 AI로 분류·탐지해 보안 취약점(CVE)과 악성의심 IP를 찾아낸다. 현재 IP 주소 42억개, 도메인 30억개와 3억 1천만개의 CVE·악성의심 IP를 수집한 상태다.

 

이처럼 Criminal IP는 온라인으로 CTI를 제공하는 검색엔진 서비스이자 공격표면관리 서비스이다. 현재 영어·일어·아랍어·프랑스어 등 5개 언어로 글로벌 서비스를 진행 중인데, 150개국의 회원을 보유하고 40여 개국에서 온라인 구매 중이며, 10개국 40곳 이상의 글로벌 보안기업과 비즈니스 또는 기술·전략적 파트너십을 체결하고 있다. 이를 위해 회사는 미국, 일본, 싱가포르에 해외 법인을 보유하고 있다.

 

고려대학교 해킹대응기술연구소에서 출발한 ‘AI SPERA’는 해커 출신 교수(고려대 정보보호대학원) 1호인 김휘강 전 엔씨소프트 정보보안실장이 공동 창업자이며, 핵심인력 대부분은 글로벌 서비스 경험이 많은 넥슨 출신의 다양한 보안전문가들로 구성돼 있다. CTI 분야의 뛰어난 기술력을 인정받아 2022년 110억원의 시리즈 A 투자까지 유치했다. 다음은 그와의 일문일답. 

 

Q. 해커가 공격하기 전에 먼저 보안 취약점을 찾아내 보완하는 선제적 대응을 강조했는데, 현재 방산업체들의 보안 상태는 어떤 수준이라고 생각하나?

 

A. 방산업체 또는 협력업체들의 보안 상태는 좋지 않은 편이다. 사무실이나 공장에 출입할 때에는 여러 가지 검증 장치를 두는 등 물리 보안은 빡빡하게 되어 있지만, 인터넷이나 클라우드 상에는 별다른 보안 조치가 없거나 설정 실수로 많은 중요한 서버나 파일들이 무방비로 노출되는 경우가 많다. 이럴 때 북한 해커는 물론 일반인도 방산 관련 중요데이터에 쉽게 접근할 수 있다. Criminal IP에는 이런 보안 문제가 계속 발견되며, 굉장히 심각한 상태도 많다. 

 

Q. Criminal IP가 공격표면관리(ASM)에 적합한 서비스라는데 ASM이란 무엇을 하는 것이며 이로 인해 방산보안에 어떻게 도움이 되는가?

 

A. 공격표면관리(ASM)란 사이버상에서 해커가 침투할 수 있는 일차적인 루트를 모두 자동화해 탐지하는 방법이다. 방산업체들은 자사의 서버나 어플리케이션이 잘 관리되고 있다고 생각하겠지만, 정작 ASM으로 기업을 점검해보면 담당자가 전혀 알지 못하는 서버나 장비가 발견되곤 한다. 또한, 취약점 문제가 방치된 서버도 매우 많이 발견된다. 

 

국방 관련 주요 설계도라던가, 무기 관련 핵심 데이터들이 다크웹에서 발견된다는 뉴스들은 정작 국방부 내에서 유출된 자료라기보다 방산 관련 업체들이 원인이 된 경우가 많다. 즉 방산업체나 협력업체들이 어떻게 서버나 데이터를 사이버상에서 관리하는지 전혀 감독이 되지 않고 있어 이런 사건이 발생하고 있다.

 

ASM은 기업들의 관리 미흡으로 방치된 자산을 탐지해주거나 취약점을 가진 서버 등을 자동으로 찾아준다. 따라서 방산 관련 업체들은 ASM으로 정기적인 점검을 하면 데이터가 유출되기 전에 문제를 예방할 수 있다. 데이터가 유출되고 난 이후에 다크웹에서 모니터링하는 것은 늦다. 유출되기 전에 ASM으로 매일 스캐닝하는 것이 문제를 예방하는 근원적인 조치다. 

 

Q. 선제적·능동대응이 이뤄지려면 수집한 데이터의 오탐율이 현저히 낮아야 할텐데 여타 CTI 업체들보다 오탐율을 낮추는 특별한 방법이 있나? 

 

A. Criminal IP는 타 CTI 시스템보다 어플리케이션 핑거프린팅 식별 기술이 뛰어나다. 가장 많은 종류의 자산을 탐지해주고 있으며, 이를 위해 개발자 수십 명이 일일이 패킷을 뜯어보며 수년간 한땀 한땀 개발에 전념했다. 또한, 데이터의 신선도를 보증하기 위해 날짜 단위의 데이터 정제 기술을 사용하고 있다. 

 

보통 CTI 업체는 데이터가 많게 보이려고 한 번 악성으로 진단된 IP 주소는 몇 년이 지나도 여전히 악성으로 진단하는 경우가 많다. 하지만 Criminal IP는 전 세계 43억개 IP를 매일 재점검해 문제가 사라졌으면 데이터베이스에 이력은 남겨두되 즉각 악성에서 제외한다. 그래서 오탐율이 압도적으로 낮으며, 데이터의 신선도가 뛰어나다는 평가를 받고 있다. 

 

Q. 국내업체들이 외국 CTI 업체의 서비스를 이용할 경우 어떤 문제가 나타날 수 있는가? 

 

A. 외국 서비스는 데이터를 과도하게 탐지하는 경우가 많다. 국내 제품은 담당자가 꼭 확인해야 할 데이터들 위주로 탐지하는 반면, 외국 제품은 이것저것 다 탐지한 다음에 담당자가 직접 판단해 거르는 방식을 선호한다. 결국, 위협의 최종 결정을 사용자와 제조사 중 누가 하느냐의 차이인데, 외국은 전자가 트렌드이고 국내는 후자를 더 선호한다. 

 

각자의 장단점이 있지만, 외국 방식은 담당자가 데이터 정제에 너무 많은 시간을 쏟아야 하므로 국내 성향에 적합하지 않고, 그래서 외국 서비스는 오탐이 많다는 얘기로 이어지기도 한다. 따라서 사용자 본인이 기술력이 뛰어나 모든 걸 확인하고 들여다볼 수 있으면 외산이 좋을 수 있지만, 데이터를 정제할 시간이 없으면 외산을 쓰지 않는 것이 좋다. 

 

그리고 ASM이나 CTI는 보통 SaaS 서비스로 모든 시스템이 클라우드에 있어 외국 서비스를 사용하면 그 서버는 해외에 존재한다. 즉, 국내업체가 외국 서비스를 쓰면 위협으로 탐지된 내용이 해외로 넘어갈 수 있다. 국내 방산업체의 보안 문제가 외국기업에 넘어가 활용될 수도 있다는 얘기다. 국내의 방산 데이터가 외국기업의 서버에 존재하는 것이 문제가 없는지 살펴볼 필요가 있다.

 

Q. 국내 보안기업 중 보기 드물게 글로벌 기업들과 다양한 협력 관계를 만들어 가고 있는데, 그동안 어떤 방식의 협력이 이루어졌고 앞으로 역점을 두는 협력 방안은?

 

A. 현재 미국 본사와 파트너쉽 계약서 날인까지 완료한 글로벌 기업은 시스코, 구글(바이러스토탈), 테너블, 수모로직, 크라우드스트라이크, 스노우플레이크, 스플렁크, 쿼드9, 폴리스웜 등 약 40개 정도이다. 협력 관계는 크게 3가지 방식인데 첫 번째는 화이트 라벨링이다. 예를 들어 시스코의 XDR 제품에 Criminal IP 기능을 얹고, 기능을 무료로 제공하는 대신 시스코 유저가 Criminal IP 로고가 붙은 채로 XDR을 사용하는 방식이다. 

 

두 번째는 API 교환, 데이터 쉐어링 방식으로 서로 가진 데이터를 교환하거나 API를 주고받으며 서로 없는 기능을 추가하는 방식이다. 세 번째는 마켓플레이스 입점, 플러그인 연동인데, 앱스토어나 구글플레이 외에도 해외에는 수많은 사이버보안 마켓, 플러그인 시장이 있다. 이 시장에 Criminal IP를 입점시켜 사용자를 늘리고 글로벌에 이름을 알리는 방법이다.

 

이 3가지 방법을 통해 Criminal IP는 파트너쉽을 맺었고, 이제 국내에서 글로벌 보안기업과 가장 많이 협업하는 사이버보안 업체가 됐다. 처음에는 세계 시장에서 회사 인지도가 전혀 없었기 때문에 협력 파트너쉽을 맺는 것이 매우 어려웠다. 하지만 지금은 그 단계를 지나서 마음만 먹으면 새로운 파트너쉽을 맺을 수 있을 정도로 인지도가 올라왔고, 앞으로 이런 협력 관계를 200개 이상 기업으로 늘려 세계 시장에 진출하는 것이 목표다. 

 

 

---

◀  강병탁 프로필 ▶ AI SPERA 대표이사, 前 고려대 정보보호대학원 겸임교수, 前 고려대 융합보안전공 산학협력중점 교수, 前 네오플 인프라기술실 실장(CTO), 前 넥슨 코리아 게임보안팀 팀장, ‘월간 마소’ 정기칼럼 작가, ‘인프라 보안’과 ‘리버스 엔지니어링 바이블’ 저자