[디지털데일리 이종현기자] 점점 다양해지고 있는 사이버공격에 대응하기 위해 새로운 사이버보안 모델들이 주목받고 있다. ‘위협 헌팅(Threat Hunting)’은 기대받고 있는 미래 사이버보안 모델 중 하나다.

위협 헌팅은 이미 알려진 위협을 탐지·차단하는 전통적인 보안 패러다임과는 달리 데이터분석을 통해 알려지지 않은, 기존의 방식으로 탐지하지 못한 ‘제로데이’ 위협을 찾아내는 과정 또는 기술을 의미한다. ‘모든 시스템은 침해당했다’는 인식을 기반으로 한 ‘제로트러스트’ 보안 모델 중 하나이기도 하다.

◆위협 헌팅 보안 스타트업 쏘마=20년 이상 엔드포인트 보안 기술에 대한 연구·개발을 해온 노용환 대표<사진 위>는 2016년 위협 헌팅 전문 보안 스타트업 ‘쏘마’를 창업했다.

‘해커스랩’이라는 사이트를 통해 해킹에 관심을 두게 된 그는 웹젠, 브이엠크래프트, 안랩 등에서 보안 전문가로 활약해왔다. 안랩에서 근무할 때는 안랩 클라우드 기반 안티바이러스 시스템 ‘ASD’를 개발하는 등의 성과를 인정받아 ‘올해의 안랩인상’을 수상한 바 있다. 한국정보기술연구원(KITRI)의 보안전문가 양성 프로그램 ‘BoB’의 멘토로도 꾸준히 활동 중이다.

쏘마가 노 대표의 첫 창업은 아니다. 그는 2010년 특수목적용 수사시스템·여론조사 솔루션을 개발하는 ‘FSK 시큐리티’를 공동 창업한 적이 있다. 당시에는 큰 성과를 거두지 못하고 문을 닫았다. 안랩이라는 ‘좋은 직장’을 박차고 나와 험난한 보안 스타트업에 뛰어든 것은 ‘위협 헌팅’ 분야에 대한 열망 때문이다.

노 대표는 위협 헌팅을 ”위협행위 추적에 필요한 정보를 PC로부터 실시간으로 수집·분석해 의심스러운 행위를 찾고 이를 추적해 인지되지 않았던 위협을 찾는 것”이라고 정의했다. 지능형지속공격(APT)처럼 정상도구를 악용하거나 알려지지 않은 공격기법을 활용해 기존 보안체계를 무너뜨리는 공격을 막는 기술이라는 게 그의 설명이다.

쏘마가 개발 중인 것은 위협 헌팅 플랫폼 ‘몬스터’다. 몬스터는 데이터 수집부터 분석, 대응까지의 과정을 자동화하는 것을 목표로 개발 중인 플랫폼이다. 다양한 외부 위협 인텔리전스의 정보를 수집하고 이를 분석한 뒤 대응하는 방식이다. 업무협약을 통해 세인트시큐리티, 안랩의 악성코드 정보를 활용하고 있다. 한국인터넷진흥원(KISA)의 사이버위협정보분석·공유(C-TAS) 시스템과도 연동 중이다.

◆공격자의 행위 추적, 숨겨진 위협 탐지=기존 보안체계와 가장 큰 차이점은 ‘데이터의 행위 분석’이라는 데 있다. 가령 백신이나 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS) 등의 경우는 ‘악성코드로 알려지거나 의심스러운 데이터’를 탐지·차단하는 방식이다. 위험성이 알려진 위협에는 유효하지만 전혀 알려지지 않은 위협이나 ‘트러스트’한 것으로 위장된 위협에는 취약하다.

이에 반해 위협 헌팅은 흔적 또는 가설을 통해 공격자의 행위를 추적하는 것으로 시작한다. 로그를 수집·저장해 그 관계를 추적한다는 점에서 빅데이터 기반 보안관제 시스템(SIEM)과 통합보안관리시스템(EMS)과 유사한 면이 있다. 그러나 ‘데이터’ 자체에 초점을 둔 기존 보안 모델과 달리 위협 헌팅은 데이터의 흐름을 쫓는 ‘행위 기반 분석’이 이뤄진다.

가령 기업에 정보유출이 발생할 경우, 기존 보안체계에서는 해당 악성코드의 이상 행위를 특정하거나 위협 인텔리전스에 악성코드의 정보가 등록되길 기다려야 한다. 하지만 위협 헌팅은 악성코드를 특정하지 못한 상태에서도 ‘유출’이라는 결과를 바탕으로 해 유출에 이르기까지의 과정을 추적한다. 그 결과 전혀 알려지지 않은 위협에도 대응할 수 있게 된다.

이는 침해사고 대응에 걸리는 시간을 대폭 줄여준다. 통상 침해사고대응에 1주일가량의 시간이 걸릴 경우, 4~5일은 데이터 수집·분석을 하게 된다. 만약 위협 헌팅 제품을 활용할 경우 그 시간을 대폭 줄일 수 있다. 1주일가량 걸릴 업무를 2~3일 수준으로 줄일 수 있는 셈이다. 분석해야 할 데이터의 양이 많을수록 효율이 높아진다.

노 대표는 “2년 전 어느 미국에 사무실을 둔 게임사에서 침해사고가 발생했을 때 개발 중이던 몬스터를 활용해 대응한 적이 있다”며 몬스터 활용 사례를 밝혔다.

침해사고를 겪은 게임사는 최신 보안체계를 갖춘 곳이었다. 어느 순간 악성코드 알람이 발생해 시스템을 포맷했으나 1주일마다 같은 악성코드 알람이 반복해서 뜬 것. 이 내용을 상담받은 노 대표는 몬스터에 해당 기업 데이터를 입력해 확인했다. 그 결과 15분 만에 문제를 발견해 미국 출장은 흐지부지됐다.

원인은 마이크로소프트(MS)의 명령어 인터프리터 ‘파워셸’을 통한 해킹. 당시 파워셸을 통한 해킹이 다수 있었기에 기업의 전체 시스템에서 파워셸이 이용된 사례를 전체 수집·분석했더니 의심스러운 파워셸 사용 이력이 다수 확인됐고, 이를 통해 문제를 해결했다.

◆연내 EDR, ARES 등 제품화 목표=몬스터는 아직 ‘제품화’는 되지 않은 상태다. 쏘마의 올해 목표는 구축해둔 몬스터 플랫폼을 엔트포인트 위협 탐지 및 대응시스템(EDR), APT 시뮬레이터(ARES) 등의 형태로 제품화하는 것이다.

노 대표는 “위협 헌팅은 EDR 제품의 탐지·대응 성능을 높이기 위한 요소 기술이다. 결국은 데이터 분석의 일환”이라며 “데이터분석은 분석가의 통찰력과 위협 인텔리전스의 양과 질에 따라 결과가 달라진다. 몬스터는 통찰력과 위협 인텔리전스를 클라우드로 소싱하고, 이에 대한 리워드를 제공하는 형태의 플랫폼으로 기획했다. 연내 이 플랫폼을 EDR 등 솔루션으로 제품화할 계획”이라고 말했다.

쏘마가 추구하는 보안 모델은 ‘사용자가 편해지는 보안 모델’이다. 그는 “늘어나는 위협에 대응하기 위해 점점 복잡·다양해지는 보안체계가 사용자들을 불편하게 만들어왔다”고 지적하며 궁극적으로 ‘관리형탐지대응(MDR)’ 서비스 제공에 필요한 기술을 제공할 수 있는 기업이 되는 것이 목표라고 전했다.

노 대표는 “일반적으로 보안 관제 서비스라고 하면 네트워크 보안이나 서버 보안을 떠올리기 쉽다”며 “최근 사이버공격은 보안체계를 피해 개별 PC를 겨냥하고 있다. 쏘마가 바라는 것은 이런 개별 PC 단위까지 관제 영역에 포함하는 것”이라고 피력했다.

<이종현 기자>bell@ddaily.co.kr